ハッカー集団からマルウェアを含むサイバー攻撃を受け情報漏洩(ろうえい)が起きているKADOKAWA。同社が現在、求人サイト上でセキュリティエンジニアを「予定年収592万円~800万円」で募集していることについて、「この状況でこれは安すぎ」「これでは優秀な人は来ない」「どこの日本企業もそんなもの」などとさまざまな反応が寄せられている。高度IT人材採用の相場として、この提示年収をどうみるべきか。また、セキュリティエンジニアの採用ニーズは現在、どのような状況なのか。業界関係者の見解を交えて追ってみたい。
KADOKAWAにサイバー攻撃を行ったとする犯行声明を出していたロシアのハッカー集団とみられる「BlackSuit」は、同社のシステム基盤を暗号化し、従業員やユーザの情報などを入手しており、同社が身代金の支払いに応じなければ7月1日にも盗んだデータを公開すると主張していた。同日には従業員の個人情報や取引先情報などの漏洩が確認され、2日には同社はハッカー集団が追加で情報を流出させたと主張していると発表した。ハッカー集団は7月3日、ダークウェブ上に公開していた同社への犯行声明を削除したが、同社が同日時点で外部流出している可能性が高いとしている情報は以下のとおり。
・社外情報
学校法人の角川ドワンゴ学園が運営するN中等部・N高等学校・S高等学校の在校生・卒業生・保護者のうち、一部の方々の個人情報
ドワンゴが取引する一部のクリエイター、個人事業主および法人との契約書
ドワンゴの楽曲収益化サービス(NRC)を利用している一部のクリエイターの個人情報
ドワンゴの一部の元従業員が運営する会社の情報
・社内情報
ドワンゴ全従業員の個人情報(契約社員、派遣社員、アルバイト、一部の退職者含む)
ドワンゴの関係会社の一部従業員の個人情報
ドワンゴの法務関連を始めとした社内文書
このほか、取引先との契約書・見積書、社内向け文書なども流出したとみられる。これにより、一部の「ニコニコ動画」(ドワンゴ運営)配信者の本名など個人情報の流出も起きている。
「グループの将来にとっても非常に重要度の高いものです」
そのKADOKAWAが現在、求人サイト上でセキュリティエンジニアを募集している。セキュリティエンジニアとは、企業の情報漏洩やウイルス感染、サイバー攻撃の予防などシステム全体のセキュリティ対策の企画から実装、運用を担う職種。IPA(独立行政法人情報処理推進機構)はサイバーセキュリティエンジニアに有用な情報処理技術者試験として「情報処理安全確保支援士試験」「ネットワークスペシャリスト試験」「応用情報技術者試験」をあげている。
今回「情報セキュリティコンサルタント」を募集しているのは、KADOKAWAグループが運営するサービスのインフラ開発・運用を担うKADOKAWAの子会社・KADOKAWA Connected。求人サイトに掲載された採用ページによれば、仕事内容などは以下のとおりとなっている。
●仕事内容(原文ママ)
・ガバナンス強化やコンプライアンス強化を目的に、グループ横断での情報セキュリティ管理体制の構築や社内規定の見直しを図っています。本プロジェクトは数年単位を想定しており、KADOKAWAグループの将来にとっても非常に重要度の高いものです。その中で0→1での情報セキュリティ体制の構築(現状の課題特定、制度設計、運用、改善までの一連の流れ)プロジェクトに携わっていただける方を募集します。
・グループ全体や業界に寄与する情報セキュリティマネジメントシステム構築。
・情報セキュリティロードマップ実施と情報セキュリティガバナンス強化という、戦略的な業務展開に携わることができる。
・グループ各社独自に設定していた情報ガバナンスをグループ統一にしていく大変革プロジェクト。役員直下組織のためレポートラインもシンプルな環境です。
●職務詳細
・情報セキュリティ管理体制の構築と運営
・情報セキュリティ関連文書整備
・情報資産管理
・情報セキュリティに関する教育、啓蒙活動
・情報セキュリティ実施状況のモニタリング
・情報セキュリティアセスメントによる課題抽出
・情報セキュリティ相談対応
・情報セキュリティインシデント対応 等
●応募資格/応募条件
必須条件:
・情報セキュリティマネジメントシステムに関する知識と設計の経験
・情報セキュリティ関連文書の作成、整備の経験
・情報システム構成(ネットワーク/サーバ/アプリケーション/クラウドなど)の知識や理解
歓迎条件:
・情報セキュリティ認証/規格(ISMS、SOC2/3、ISMAPなど)の取得や推進
・情報セキュリティフレームワーク知識とそれを活用した経験
・情報セキュリティインシデント対応経験
・情報セキュリティに関連する資格(情報処理安全確保支援士、CISSP等)
雇用形態は期間の定めなしの正社員で、予定年収は592万円~800万円。福利厚生や休日・休暇などは大手企業で一般的に設けられている内容だが、SNS上では以下のように疑問の声が多数あがっている。
<このレベルのトラブルを見直して再構築する仕事を任せるにしては、あまりにも安すぎ>
<しっかりした人がほしいならそれは安すぎ>
<ゼロイチでってことは小さい会社なら社長を任せられるぐらいのリーダーシップがある人じゃないと難しいでしょう>
<最低4桁からじゃないと見向きもしない>
<この価格でくる人いない>
<自前で安く済ませようとしている>
少し前には、システム障害で一部商品の出荷停止に見舞われた江崎グリコが、社内SEの募集で応募条件として高度なスキルを求めながら予定年収が「500万円~」となっている点について、「低すぎる」として疑問の声が続出するという事態が起きていた。ちなみに求人サイトで「セキュリティコンサルタント」「セキュリティエンジニア」系職種の求人をみてみると、以下のように予定年収の上限が1000万円を超える例も珍しくない。
・株式会社三菱UFJ銀行
600万円~1,300万円
・デンソー
600万円~1,150万円
・KPMGコンサルティング株式会社
575万円~2,000万円
・ソニーフィナンシャルグループ
1,150万円~1,800万円
・SBI証券
600万円~1,500万円
・NTT東日本
900万円~1,440万円
・富士フイルム
600万円~1,000万円
