セキュリティ人材育成の最大の課題は“実戦経験”
そして、セキュリティ人材の育成ではもう一つ重要な点がある。それは、セキュリティ対策の実務に携わる機会が非常に難しいことだ。
サイバー攻撃は、「攻撃者」の存在が大前提にある。そして、その攻撃者は対策済みになった時代遅れの手法で攻撃などしてこない。攻撃者もビジネスとしてサイバー攻撃をしているため、そのような効率の悪いことをしていてはとても商売にならないからだ。
そのため攻撃者は、基本的に“想定外”のことだけを行うと思った方が良い。この想定外に対応するためには、サイバー攻撃とはどういうものか、その攻撃にどう対処するかのという“実戦”を経験しないと、攻撃を防ぐ手段を講じるのは難しい。もちろん攻撃者が使う手法は多種多様で、多少の経験では太刀打ちできないものも多いが、一定の行動パターンや傾向のようなものはある。そのような経験を積まなければ、セキュリティエンジニアがセキュリティ対策の最前線でいきなり戦うことは、なかなかできないだろう。
この状況を例えるなら、戦闘フィールドで経験値を積むことができないロールプレイングゲーム(RPG)のようなものである。戦闘でちょうどよい強さの敵キャラを倒して得た経験値を積み重ね、レベルアップしなければ、中ボスやラスボスに勝つことは難しい。だからこそ、経験値を積むための地道な繰り返しがRPGをプレイする時間の中でも最も長く、重要となるのだ。
もちろん、攻撃者はセキュリティ人材の育成に都合に合わせた、ちょうどよい強さのサイバー攻撃をしてくれるとは限らない。サイバー攻撃を受けた際、育成中のセキュリティ人材が攻撃の実態やその結果どのような脅威になるのかなどの情報を整理、理解をする前に、取り返しのつかない被害を受けてしまうことも十分あり得る。つまり、一定レベル以下の人材をいきなり実戦投入するのは被害が大き過ぎるのだ。
そのため、昨今のセキュリティ人材の育成では、実戦的な知識が学べるということで「キャプチャ・ザ・フラッグ(CTF)」と呼ばれる競技型演習などを実施するものが多くなって来ている。しかし、演習だけで十分な実戦経験を得ることは難しいだろう。やはり本気で金儲けを狙う攻撃者と対峙する方が多くの経験を得られることは確実だ。そして、できるだけ実戦に近い経験を得るための演習をするためには、非常に多くの時間とコストがかるのだ。
その結果、現在の人材市場では非常に少数しかいない即戦力を取り合う状況となっている。筆者は、このような遅々として進まない人材育成が現在のセキュリティ人材不足の実態だと考えている。