本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
セキュリティ人材にはシステムプラットフォームの知識が必須
今回は、「セキュリティ人材育成ブーム」と言って良いような状況にある日本のIT分野で、本当にセキュリティ人材を育成し、充足することができるのかということ、そして、それが実現されたとして、本当に人材の需要がユーザー企業にあるのかということを述べていきたい。
ここ数年、セキュリティ人材を育成するための幾つもの試みが進んでいるが、なかなかうまくいかないのが現実だ。なぜならセキュリティ人材は、セキュリティに関する知識だけでは機能せず、その土台となるシステムプラットフォームに関する全般的な知識と運用業務に関する知識が必要だからだ。このハードルは思いのほか高く、育成候補のセキュリティ人材の母数はこれだけで一気に減少してしまうのだ。
ここでの課題は、意外なシステムエンジニア(SE)の実態にある。実は、サーバやネットワークなどのシステムプラットフォームに詳しいSEは、それほど多くない。なぜなら、SEの大半はアプリケーション開発がメインだからだ。
もちろん、アプリケーション開発のSEもシステムプラットフォームや運用業務を知っていれば、それなりに役立つが、その知識や経験の有無でユーザー企業が彼らに支払うコストが大きく変わるわけではなく、プログラミングの腕があれば十分だ。システムプラットフォームに詳しいエンジニアは、一般に「インフラ技術者」などと呼ばれ、アプリケーション開発とは別の技術要素を持つSEである。
実際のSEの内訳はどうか。さまざまな統計があるし、インフラ運用もアプリケーション開発もできるという優秀なSEが一定数いるため正確な集計方法は難しい。筆者の感覚ではSEの70~80%がアプリケーションエンジニアであろう。そのSEがアプリケーションエンジニアだった場合、セキュリティエンジニアへの転換に当って、まずはシステムプラットフォームの構造や運用方法などから学ばなければならないのだ。