小宮山氏のミッションは、国内外のセキュリティ情報を収集して危険度を分析し、必要に応じて関連機関や一般ユーザーに情報を発信すること。その1日はオフィスで各種Webサイトを巡回し、セキュリティ情報をチェックすることから始まる。「まずは何か危険なことが起きていないか、起きていたらそれをどこに伝える必要があるかを調べます。それを基にドキュメントを作成したり、足を運んで有識者の話を聞いたりします」

セキュリティを究めたいのなら、ほかのセキュリティベンダを選ぶという方法もあっただろう。なぜJPCERT/CCだったのだろうか。「社会のために働いている組織だから。前職ではお客さまのセキュリティ向上のために日々頑張っていましたが、それ以外の人たちは？という質問には答えられません。JPCERT/CCは日本全体を変えていく組織ですから」と小宮山氏は説明する。仕事を通して社会に貢献できるという点が大きな魅力だったようだ。

確かにセキュリティ情報の収集・分析は、作業自体が心躍るものではないかもしれない。情報が誰かの役に立ってこそ意味があるものだともいえそうだ。しかし話を聞いていると、社会貢献という面以外にも、小宮山氏はセキュリティに面白み、やりがいを感じているように思える。

　「セキュリティでは、3年前の常識はもう通用しません。新しいことが常に起きています。変化が激しいというのはIT業界全体にいえることですが、セキュリティはさらにそうです」。セキュリティという分野のこの性質が、「新しいものを追いかけるのが好き」という小宮山氏の性格とぴったり合っているのかもしれない。

　実は小宮山氏は転職後、見るべき情報の多さに戸惑い、悩んでいた時期があったという。「セキュリティ関連のニュースは大量にあり、ハッカーの活動も盛んです。そういうものを全部知らないと、自分は情報セキュリティアナリストとしてやっていけないのかなと」。そんなとき、証券アナリストである友人に聞いた話が大きなヒントになったそうだ。

　「彼らは公開されている情報しか判断材料にしないそうです。うわさや出所が不確かな情報があっても判断には使わない。彼らの仕事は、誰もが手に入れられる情報を使って、誰も思いつかない仮説を立てることです。脅威分析も同じで、誰も知らないことを知っていることが偉いのではなく、誰もが知っていることを基に『こういう背景があるから次はこれが危険』という結論を導き出すことが重要なのだと気付きました。そういうことができるようになりたい」