ITベンダーの起死回生策は成功するか?
パブリッククラウドの本格普及などの環境変化によって、セキュリティを担う人材育成にビジネスの舵を切ろうと考えているITベンダーは少なくない。しかしながら、その相手となるサイバー攻撃者たちは、ITベンダーよりも長い時間をかけて攻撃の経験値を溜め込んでおり、現時点でベンダーが育成を目指すセキュリティ人材候補者たちよりもはるかに先を行っている。
なぜなら、サイバー攻撃者にとって全世界に存在するサーバやIoT機器の全てが経験を積む場になるからだ。しかも、それらは日々増え続けるものであり、攻撃者はそれらに講じられたセキュリティ対策に跳ね返されながらレベルアップを繰り返していく。現在のIT環境および勃興しようとしているIoTの環境は、セキュリティ人材にではなく“攻撃者にとって”最適な環境とも言える。
攻撃者とセキュリティ人材の育成環境の違い
そもそもセキュリティ人材へと配置転換される当のSEの主な業務は、あらかじめ決まった仕様に沿ってシステムを構築・運用することである。つまり、ある程度想定できる定型的業務こそSEのそもそもの得意分野なのだ。
しかし、サイバー攻撃を主導するその相手も人間であり、基本的にセキュリティ対策を講じる側が想定できないことをしかけてくるものだ。孫子いわく「兵は詭道なり」とはよく言ったもので、セキュリティ対策を欺くことが攻撃者の目的であり、サイバー攻撃の成功要因だ。しかしながら、このような考え方や行動パターンへの対応が得意というSEはそれほど多くはいないだろう。そのため、候補となる人材の向き不向きを踏まえて、それなりの対応できる人材が一定数育つまでにまだ多くの時間がかかると思われる。