パーソルグループとSky株式会社は、sightを通してエンジニアの自分らしいキャリアを応援しています

虎の巻!セキュリティ論 #04/ 「セキュリティ人材不足」の影響~自社にとって必要なセキュリティ人材の考え方~

「セキュリティ対策における現在の課題は何か?」という各種アンケートの問いに対し、企業・組織の回答は「セキュリティ人材の不足」が上位を占めている。企業が求める人材とは?なぜ人材が不足するのか?果たしてセキュリティ人材は必要なのか?そもそもセキュリティ人材とはどういう人なのか?について考察する。

f:id:sky-pca:20191015132427p:plain

セキュリティ人材不足の現状と背景

「セキュリティ人材が20万人不足」2016年に経済産業省が公表した調査結果によると、2020年の東京五輪までに日本全体でセキュリティの専門性を有する人材が20万人不足するという。一定のレベルを超えるネットワーク(通信)や各種OSの知識、およびシステムプラットフォーム、アプリケーション(W e bアプリケーションを含む)の知識が不可欠であり、巧妙化しているサイバー攻撃と戦うためにはそれらの知識のみならず、少なくとも3年~5年の実務経験がないと実務レベルで活躍できるとは言い難い。セキュリティ人材をそう定義すると、不足する人数が20万人かどうかはともかく人材が不足する(している)ということは的を射ていると言わざるを得ない。

f:id:sky-pca:20191014124837p:plain

1995年ごろよりインターネットの商用利用が一気に普及したことでアンチウイルスやファイアウォールに代表されるセキュリティ対策製品が導入された。10年以上前の攻撃者はそのほとんどが興味本位か愉快犯的なものであり、現在のようにサイバー攻撃を効率的に実施し収益をあげることが目的ではなかったため、一定の効果が得られた。しかし、現在のセキュリティを取り巻く環境は大きく変化している。アクセスが匿名化され追跡が困難な「ダークウェブ」と呼ばれるアンダーグラウンドなサイバー空間での情報共有やツールの入手などによって、攻撃力の強化や攻撃の分業などが図られビジネス化の様相を呈している。これは、サイバー攻撃が巧妙化していく要因の一つと考えられる。巧妙化する攻撃に対抗するためセキュリティ対策製品も進化してきた。ユーザーにも製品を導入するだけではなく、機器から検知されたアラートに対して適切な対応ができるなどの高度な機能を駆使する運用スキルが求められるようになっている。しかし、企業側(特に中小企業)には前述のようなセキュリティ人材がいないことから効果的な運用をするに至っていないのが実情であり、セキュリティ人材の不足という課題認識へとなっている。

では、なぜセキュリティ人材は不足に陥ってしまうのだろうか?それはセキュリティ人材の育成には実務経験を含めて時間がかかることがあげられる。つまりコストがかかるのである。一般的な企業において、セキュリティ対策を強化しても業績向上には直結することがない。そのため、業績に貢献する人材育成にコストをかけることが優先となり、利益に貢献しないセキュリティ対策コストは必要最低限にならざるを得ないのが実情である。また、経験値があるセキュリティエンジニアは売り手市場でもあるため、自社でコストをかけて育成しても好条件の職場へ転職されてしまうなどのリスクも抱えてしまうことになり、セキュリティ人材の育成に注力する企業は今後も増加していくとは言い難い。

セキュリティ人材の必要性の是非

企業や組織に専門性を有するセキュリティ人材は果たして必要なのだろうか?これは経営感によるものであり一概に是非を論じることは差し控えるが、一つ言えるのは人材そのものが必要なのではなく、「自社のセキュリティ対策を運用する上でどのような機能(スキルセット)が必要かを把握し配置する必要がある」ということである。それが人なのか物なのか、またはサービスとして提供を受けるのかは企業ポリシー、またはコストパフォーマンスを考慮した上で判断すれば良い。

現代のセキュリティ対策は運営体制の構築などテクニカルな部分以外でも専門性が要求される知見は多岐にわたる。技術面にしても、通信、認証、OS、データベース、アプリケーション等々、業種、業態、企業規模によりさまざまな知識と知見が必要とされる。そのため1人では対応しきれなくなっているにも関わらず、総合的かつ多面的に対応できる「スーパーセキュリティエンジニア」の不足がセキュリティ人材の不足という認識へつながることに違和感を覚える。セキュリティ対策に必要なあらゆる要件をあげ、それらを総合的にこなせる人材がいるかということになると当然、希少となる。これがセキュリティ人材の不足が叫ばれるもう一つの側面である。

SKYSEA Client Viewは毎年バージョンアップを重ね、現在のメジャーバージョンは13。9つにカテゴライズされた多岐にわたる機能を実装し、他ベンダーの製品との連携も増加・強化されていることからIT資産管理ツールの域を超えたソフトウェアとなっている。では、これらすべての機能と特性を把握する人しかSKYSEA Client Viewを使いこなせないのだろうか?もちろんそういうことはない。自社に必要な機能がどれで、その特徴や特性を理解し、仮に機能が要求レベルに満たなくともほかのソフトウェアとの連携などを活用することで使いこなすことができる。人材も同様であり特性を見極めて登用または育成をすることで、人材不足の解消とセキュリティ対策の強化・改善につながっていくのではないだろうか。

第5回/セキュリティマネジメントにおける 「ハード」と「ソフト」~最優先すべき事柄は何か?~

 

インフォフラッグ株式会社 代表取締役:神戸 仁

クライアント管理ツールメーカー勤務を経て、2008年にインフォフラッグ株式会社を設立。IT関連企業の新規ビジネス企画、マーケティング戦略策定等のコンサルティングを行う。また企画だけではなく実動部隊を育成する社員教育(新入社員から幹部教育)事業にも注力。その傍らで、長年従事しているITに関わる講演活動および執筆活動を精力的に行っている。