本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
前回は、高いスキルを持つセキュリティ人材が日本全体でまれな存在となっていること、その結果として人材バブルの状態になっていることを述べた。一般的に日本経済の「失われた30年」では、日本人の給与がほぼ変わっておらず、個人消費も伸びていない。また、労働力人口も1990年代をピークに、1000万人以上も減少した。このことは、日本経済の基盤が確実に低下していることを如実に示している。
今回は、そのような日本経済において、今後も長期間にわたってセキュリティ人材が特別な待遇を受け続けるのかにフォーカスしたい。それをつまびらかにすることでセキュリティを職業とする人たちの今後がどうなっていくかを述べる。
セキュリティ人材の需要と供給
連載でもさまざまな例を述べてきたように、過去の日本はセキュリティ人材の育成を怠ってしまった。その結果、ほかの先進国はもちろん、それ以外の多くの国々と比べても、日本の状況は決して褒められるようなものではないと言える。
しかし、近年になって日本もその課題にやっと気付くことができた。そして、多くの企業でこれまでの常識を覆すほどの高水準な待遇での採用が進んでいる。もちろん、セキュリティ人材と言っても、必要とされるスキルの範囲は広い。そのため全ての人が好待遇を受けているわけではない。
それでも、需要に供給が追い付いていないため、このような状況が短期的に解消されることは考えにくい。その理由は、セキュリティ人材がその専門性を備えるためには、単なるセキュリティの知識だけでなく、IT全般の多様な要素を必要とするからだ。
実は、セキュリティ人材に求められるスキルを定義し、必要な教育を施すことで、急速にその数を増やすことはそれほど難しくない。なぜなら、既にセキュリティ人材の待遇が改善し、それなりのキャリアパスが設けられているからだ。そのような職種は人気が高く、希望者の母数が増えるからだ。そのため、資格取得などの数値目標を立て、その人数を充足させることはできるかもしれない。
しかし、それでは結局、サイバー攻撃は防げない。システムを守るためには、システムの構築から運用までのさまざまな作業の積み重ねが必要であり、その広範なITの知見によって、攻撃者の意図を阻むことができるからだ。その積み重ねは、一朝一夕にできることではなく、地道な業務の連続となる。
例えば、インシデントが発生した際のコンピューターフォレンジック(科学的な調査分析)は、攻撃者が何をしたかを追跡調査するものであり、専門的な知識を持った技術者にしか対応ができない。端的に言えば、例えば、OSのディレクトリー構造に詳しいといった知識が必要だ。その習得には多くの時間がかかり、少なくともその過程は華やかなものではない。
また、脆弱性情報が公開された際のパッチ適用などの作業は、想像以上に地道なルーチンワークが求められる。その他にも、さまざまなログやパケットのデータ解析など、セキュリティ業務は、地道な作業のオンパレードとなることが少なくない。
