エンジニアのセキュリティへの配置転換
このように、国内ITベンダーから大きな収益源の1つが喪失されつつある。そのインパクトは決して小さなものではなく、日本のIT業界構造自体を大きく揺るがすものである可能性が高い。その上、ビジネス規模の大きなベンダーがより大きな影響を受ける。なぜなら、既にハードウェアで稼げる時代の終わりを経験しているコンピュータメーカーは、システム運用などを行う子会社などを再編して、利益構造の中枢にしているからだ。その結果、システムの運用フェーズを担う企業は、システムサイクル全体の中でも利益構造の核になっている場合も珍しくない。
しかし、そのように最適化されたせっかくの構造も、パブリッククラウドの普及によって一瞬で崩壊する。パブリッククラウドは国内ベンダーにシステム運用需要の減少をもたらし、これが収益の悪化に直結する。このような状況を解決する次の一手が、人員の配置転換だ。具体的には、人材不足が声高に騒がれるセキュリティ分野のエンジニアへの配置転換が有望視されている。
ただ、この配置転換という言葉に違和感を覚える読者が多いのではないだろうか。なぜなら、既にそのような大手ベンダーこそ、セキュリティエンジニアの宝庫であり、今さら人材を配置転換する必要性が無いはずである。さらに、「そもそもSEなら、専門的ではないにしても、セキュリティの知識を持っているはず」とイメージを持つ人が多いかもしれない。
しかし、それらは幻想だと言わざるを得ない。確かにユーザー企業へファイヤウォールなどのセキュリティ対策製品の導入してくれるのは、そのようなベンダーのSEである。しかし厳密に言えば、それだけではセキュリティエンジニアとは呼べない。彼らは、その製品が想定どおりに機能するための適正な設定を行って稼動させているに過ぎないからだ。また、故障時にオンサイトで保守対応をしてくれるのはSEですら無い場合もある。単に故障した機器から設定情報を抜き出し、新しい機器に再設定をして復旧をしている作業員でしかないケースも少なくない。このように、ユーザー企業が“セキュリティ人材”と思っている人々のほとんどは、実はセキュリティ製品の導入に特化したSEか作業者に過ぎないかもしれないのだ。
“何をもってセキュリティエンジニアと定義するか”は、諸説あり、広義と狭義のどちらを取るかでも大きく異なる。しかし、セキュリティ対策に最も重要なのは、インシデントが発生した際に適正に対処できるどうかだ。どれだけ事前に万全の体制を整備し、ルールを厳格にしても事故は起こる。どれだけ健康に留意し予防をしたとしても、永遠に生き続ける人間がいないのと同様だ。これがセキュリティ対策にもそのままあてはまる。どれだけ対策をしても、サイバー攻撃の被害を100%防ぐことは不可能だ。だからこそ、万一のインシデント発生時に対応できる人材を中心とした体制が必要だ。
残念ながら、一般にセキュリティエンジニアと考えられているセキュリティ製品の導入やオンサイト保守を行うエンジニアは、インシデント発生時に対応できないというのが現実である。そのためベンダーは、インシデントに対応できるセキュリティエンジニアの育成が急務になるのだ。
次回は、このようなセキュリティ人材への転換の動きと現時点での課題、そして本当にセキュリティ人材需要というのが想定どおりに増えるのかなどについて、もう少し深堀していきたい。
- 武田 一城(たけだ かずしろ)
- 株式会社ラック 1974年生まれ。システムプラットフォーム、セキュリティ分野の業界構造や仕組みに詳しいマーケティングのスペシャリスト。次世代型ファイアウォールほか、数多くの新事業の立ち上げを経験している。web/雑誌ほかの種媒体への執筆実績も多数あり。 NPO法人日本PostgreSQLユーザ会理事。日本ネットワークセキュリティ協会(JNSA)のワーキンググループや情報処理推進機構(IPA)の委員会活動、各種シンポジウムや研究会、勉強会での講演なども精力的に活動している。