本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
「セキュリティ人材不足」という古くからの課題
サイバー攻撃の脅威が日々高まっており、情報セキュリティ人材の育成が大きな課題になっている。このようなセキュリティ関連の記事を読むほとんどの方は、ご存じだろう。政府やシンクタンクなどの調査結果がいくつもあり、マスコミにも大々的に取り上げているからだ。本コラムでも折に触れて述べてきた。少々センセーショナルなタイトルだが、今回からこのことについて詳しく述べていきたい。
2020年に東京で開催されるオリンピック・パラリンピックは、世界中から注目されるビッグイベントだ。そして、それは同時に、この日本でサイバー攻撃を受ける可能性が高まることは過去の大会の例からも、まず間違いないだろう。さらに、このイベントを「ビジネスチャンスだ」として、無闇にサイバー攻撃の危機感をあおる輩も少なからずいる。このような特殊な状況ということもあり、今一度セキュリティ対策において非常に重要かつ難しい「セキュリティ人材」という課題を追求したい。
そもそも人材は、“モノ”ではなく、長期的・戦略的な見地で考えねばならない。このシリーズでは、その将来が「セキュリティ人材の末路」と呼ぶべき状況に陥らないような状況を目指したい。
セキュリティ人材育成のためのコスト
まず現実問題として、セキュリティ専業の事業者や一部のシステムインテグレーター以外には、セキュリティ対策に詳しい人間がそう多くはないという状況がある。そのため、一般企業にセキュリティ専任の担当者は少なく、セキュリティに詳しい人が多数在籍している環境など、そうあることではない。
その理由は非常に簡単で、一般的な企業や組織において、セキュリティをどれだけ高めても一銭のもうけにもならないからだ。企業や組織のほとんどは、利益を追求するために存在する。そのような存在意義の前では、セキュリティ対策はコストでしかない。利益を追求する組織において、コストとは削減すべきものである。何の理由も無しに、このコストを無為に増大させるような意思決定をすれば、その経営者はなんらかの責任を取らなければならなくなるだろう。
少なくとも日本においては多くの場合、その最大のコストは人件費である。つまり、セキュリティ人材の育成をすることは、その企業や組織のコストの増大に直結してしまう。セキュリティ人材もベンダー側にいればその人材は収益を生むが、ユーザー企業ではそうはいかない。つまり、セキュリティ人材の問題はコストの問題だということだ。