本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティのスキルを向上させていくための視点やヒントを提示する。
前回まで「稼げるセキュリティ資格」というタイトルにより、セキュリティの代表的な資格、初心者・初級者向けの資格、複数資格を取得する際の考え方などを述べてきた。セキュリティ業界への注目度がこの10年程で高まってきたこともあり、結局のところ、この分野の上位資格を取得していればそれなりに評価されると思われることから、代表的なセキュリティ資格を持っていて損はないと言える。
また、セキュリティ人材が足りないとされる状況のもと、ある意味ではセキュリティ人材の「育成枠」のような位置付けから、初級以上のスキルを保持していることを証明するだけで待遇が向上する場合も少なくない。ありきたりな表現だが、これらを総合的に見ると、現在は「セキュリティ人材バブル」と呼べる状況になっているとも言える。
ただし、この恩恵を得るためには「転職」というイベントを経る必要があり、そのタイミングで待遇を向上させるためには、資格と転職の両方をそろえることが重要だ。待遇の向上とは、「稼げる」ことと同義であり、セキュリティの資格でそれを証明すれば、自然と稼げるようになる――これがこのシリーズで述べたいことだ。
既に「CISSP」など上位の資格については紹介しているので、今回は資格の話というよりこの分野や経験値の話になる。この話は、セキュリティ中上級者の方にお勧めしたい次のステップとして重要であり、この業界で長い期間稼いでいくために必要なこととして述べる。
IT市場の拡大とサイバーセキュリティの脅威
サイバーセキュリティの存在意義は、サイバー攻撃などの脅威から重要な情報資産を守ることだ。当たり前だが、サイバー攻撃がなければ、セキュリティ対策に多くの経営リソースを割く必要がない。しかし、残念ながら人間は争い(サイバー攻撃)をやめられない生き物のようで、サイバー攻撃がなくなるような予兆などは全く感じられない。
そして、それはある意味で当然な結果なのかもしれない。なぜなら、IT企業が株式時価総額の一定割合を占めるようになって10年以上が経過し、ITが「世の中を便利とするもの」というイメージ以上に、「富の集中」を表すようにもなってきたからだ。例えば、AIのベンチャー企業などでは、設立数年の企業の価値が数兆円となることも珍しくない。このような状況は、その当時は「バブル」などと表現されたが今では定常化し、米国のシリコンバレーではごく当たり前の風景だと言える。
そのようなIT企業あるいはシステムを“うまく”攻撃できれば、攻撃者はその多大な富を手に入れることができる。たとえ手に入れられるのがほんの少しだったとしても、数億円というレベルになることが少なくない。サイバー攻撃には、たった一度の成功で一人が一生かけて稼ぐ金額以上が手に入る可能性があるのだ。
このような明確なメリットがあるので、サイバー攻撃が無くなることは考えにくい。「サイバー攻撃の脅威が日々拡大している」とメディアがお題目のように唱えるのも、あながち間違いだとは言えない。つまりはIT市場の拡大に伴い、サイバーセキュリティの脅威も日々拡大している。
