久々に転職をするので今回の転職活動の振り返りも兼ねて「セキュリティの人」の転職事情と採用事情について思ったことを書き残しておく。今回の経験が、わたしと近い立場の人や、採用を考えている会社にとって何かのヒントになれば嬉しい。
わたし自身について
キャリアに影響しそうな属性について、思いつく限り列挙しておく。
慶應SFC卒
学生時代からセキュリティやってた
セキュリティ・キャンプ卒
92年生まれ、32歳
2015年新卒
NRI/NRIセキュア(2015/04 - 2017/12)
メルカリ(2018/01- 2025/05)
子なし
転職活動の振り返り
今回の経験を踏まえて話を進めていきたいので、大まかに今回の転職活動の流れを振り返っておく。2025年1月上旬に転職活動を始めて、3月末にどこに行くかの意思決定をして終了といった流れだった。退職の意思決定は3月初め。
初期のアクションとしては以下の通り。
友人の勤めている会社にヘッドカウントあるか聞いてみる
YOUTRUSTに登録していろんな会社とまずは話してみる
以前から声をかけていただいていた会社に連絡してみる
カジュアル面談は1月〜3月で12回おこなっていて、内容は純粋にカジュアル面談といえるものから、選考を受けることを前提としてどういう機会を求めているかのすり合わせをするものまで様々である。選考自体もそうだが、選考中・選考後の面談も含めると誰かと話す機会はかなり設けたし(設けてもらったし)、仕事もある中なので忙しくはあったがとても充実していた。コンタクト自体はいろいろな会社と取ったものの、最終的に選考を受けたのは3社だった。
選考を受けた3社とも、年単位で以前から会社として、あるいは中の人と何らかのコネクションがあった会社で、事前のコネクション作りが非常に重要だと感じた。カジュアル面談をして選考を受けなかった中にも気になる会社があったのも事実で、オファーを頂きながらお断りしてしまった会社も含めて、今回は縁がなかったものの今後の人生のどこかで交わる機会があれば嬉しいなぁと思う。
「セキュリティの人」
まず表題の「セキュリティの人」だが、ここではセキュリティエンジニアに限らずセキュリティマネジメントやいわゆる情シス寄りのセキュリティエンジニアなども含めた広い意味での「セキュリティの人」を意図している。
わたし自身をセキュリティエンジニアと定義することにちょっと迷いがあったり、そもそも組織によって求める「セキュリティの人」が全然異なることを踏まえて、ここではあえて曖昧な表現を用いている。
ひとことでいうと、我らのバイブル『転生CISOサバイバル・ガイド』でいうところの「チームの能力を広げる採用」の対象になる人を広く指している。

もっと特定の領域に絞った場合はまた話が変わってくる可能性はあるかもしれない。また、当然ながらIn-houseのセキュリティ組織での転職と採用を意図している。
事前の備えの重要性
まず事前の備えについて。これは求職側・募集側双方にとって大事なことだと感じたが、まず求職者の視点で述べる。
一番大きく感じたのがYOUTRUSTの利用で、1月上旬に初めて登録したがそれだとやはり遅くて、この文章を書き始めた3月中頃にぼちぼち面談の機会が増えてくるといった具合で、ウォームアップに最短2-3ヶ月はかかると見ておいた方がよい。たくさん繋がりを持っている状態でこそステータス変更が意味をなすものなので、YOUTRUSTに限らずだが、転職を意識していない時期から常に転職に備えておくのが重要である。
次に募集者の視点で、タレントプールが極端に小さい領域ゆえに、求めている人が市場に出てきたときにいち早く動けるかどうかは普段の備えに大きく依存する。転職への関心度合いはなかなか表に現れにくいものではあるものの、客観的に今の仕事とやりたいこととのギャップなどは話していると見えてくるものもあるはずだし、普段からどれだけコミュニケーションを取れているかが、転職活動をする際の第一想起の候補に自社をねじ込めるかどうかのポイントになっているはず。
1:1のコミュニケーションで認知してもらうのもひとつの手段である一方、個別のコネクションを持ち得ない段階ではイベントなどを通じてタレントプールを構築し、そこから(鬱陶しくない程度に)個別のアクションに繋げていくのも良いと思われる。
不定期に情報交換程度の面談をすることに抵抗のある人とそうでない人がいるはずなので、そこは受け手を気遣いつつ、とにかく可能な限り高い頻度で会話ができるとよい。
「そうは言っても今は採用の枠がないんだけど…」という会社もあるかと思うが、Head Countの有無に関わらずプレゼンスの向上とタレントプールづくりは継続しておこなうのが望ましい。というよりあらゆるコミュニケーションでアトラクトを前提としていたらお互いに疲れてしまうので、よきタイミングでの一本釣りを前提として、ゆるやかに関係性を構築するのがよい。求職者視点で場のウォームアップに時間がかかるのと同様に、募集者視点でもゼロからの採用はやはり時間がかかるので。
自分たちに足りないところの理解
求めている「セキュリティの人」の認知を獲得していく中で、自分たちの組織のケイパビリティや足りないところの理解はぜひ深めておきたいところである。ひと口にセキュリティと言っても領域としては幅広く、例えばセキュリティエンジニアという言葉の指す範囲はソフトウェアエンジニアという言葉の指すそれと大差ない。そこにセキュリティマネジメントなどの領域も加わるので、特に組織の立ち上げに伴う採用にあたっては、ソフトウェアエンジニアがそれぞれ得意とする領域が異なるように「セキュリティの人」にも得意/不得意や、やりたいこと/やりたくないことがあるのをまず認識するのが重要である。
それを踏まえて自社のJob Descriptionを見返してみて、例えば"セキュリティエンジニア"の募集にセキュリティ規程の整備から脆弱性診断、果てはCorpITセキュリティまで、すべてを詰め込んでいたりしないだろうか。全部できるという人もいないことはないのだろうが、それこそ採用の難易度が高すぎるし、あまり現実味がない。セキュリティ領域で採用をしようとしている以上は何らかのモチベーションを持った人が社内にすでにいるはずで、その人の見ている領域に近いところ(=連想しやすいところ)から、欲しい人材像を定義してJob Descriptionを書き上げていく、他社のJob Descriptionを参考にするなど、ポジションの解像度を上げる営みが大切である。
つまるところ今自社に何が足りないのかを、その正確さは棚上げしてでも言語化するところまではどうにかして頑張る必要があって、それは例えば候補者とのマッチングを図る意味でも重要で、自社に足りない何かと候補者の持つケイパビリティとがうまく噛み合うかどうかを見定めるためには必要不可欠な営みである。セキュリティという領域が幅広いからこそ、そこのミスマッチは起こりやすいと思っていて、カルチャーマッチのみならずケイパビリティのマッチングは特に組織の立ち上げ期の採用においては重視しておきたい。
まとめ
「セキュリティの人」が必要だな、と考えたところから実際の採用に繋げるまでは単に募集する以上に踏み込んでいく必要がある
とにかくコネクションを作って人の動きに気を配っておくとよい
自社のセキュリティ上の課題についての理解を深め、自分たちの言葉で説明できるようになることが大切