本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
現在、積極的にセキュリティエンジニアを志望する人が珍しくなくなってきたが、ほんの十数年前まであまりメジャーな存在ではなかった。当時のセキュリティは、IT業界の一部にセキュリティ分野があるという程度の認識しかないニッチな分野だった。セキュリティを専業とする企業は複数存在し、サイバー攻撃による被害の報道などもあったが、その仕事に携わる人の絶対数がそれほど多くはなかった。もちろん、当時でもセキュリティ製品を販売する企業などはそれなりに収益を上げていたが、そこに所属する人々は、セキュリティエンジニアというよりシステム基盤エンジニアの性質が強かった。
しかし、時代は変わった。現在のセキュリティは広いIT業界の中でも最も成長した分野となった。その結果、セキュリティエンジニアがあこがれの職業になった。だが、そうなると「何をもってセキュリティエンジニアなのか?」という古くて新しいテーマに頭をもたげる。セキュリティエンジニアだと証明するために本来必要なのは技術だ。しかし、それを持っていることを証明するのが難しい。なぜなら、技術力を定量的に評価する方法があまりないからだ。
それを評価するためにあるのが、セキュリティ資格だ。セキュリティの資格を取得していれば、その資格で要求される知識レベルに到達していることを証明できるからだ。この連載では、今回からこのセキュリティ資格について言及していく。ただし、ここでの論点は、エンジニアとしての技術力をどう研さんしていくかというような高尚な話ではなく、「稼げるセキュリティ資格」という少々下世話な題材だ。今回はセキュリティ資格を取り巻く背景や、セキュリティ市場における資格の位置付け、特徴などを述べる。
セキュリティはもうかるのか? 稼げるのか?
かつてのセキュリティは、ITの中でもうからないと言われることが多かった。その理由は非常に明確で、企業がサイバー攻撃対策を講じてセキュアなシステムにしても、その企業にとってコストが増大するだけで、全くもうからないものだったからだ。
つまり、セキュリティを費用対効果で考えると、貴重な企業のリソースを投資する対象には向かなかったのだ。それでも、「サイバー攻撃の被害に遭うのはまずい」と思う企業も少なからずあったが、その脅威が世の中に認められるようになったのは、この十数年ほどである。それまでは、企業の限りある経営リソースを、セキュリティよりも優先的に投じたい対象もたくさんあり、セキュリティへの投資の優先順位は低かった。
しかし、個人情報保護法や不正アクセス禁止法などの法整備が進み、国内外でサイバー攻撃の被害による事件報道などが珍しくない状況となった。さらに、経済産業省の「サイバーセキュリティ経営ガイドライン」の公開などもあり、企業がセキュリティをないがしろにすることが許されない世論が形成された。その結果、これまでセキュリティに積極的でなかった企業も、組織体制の整備などを含むセキュリティ強化のための対応がなされるようになった。
ただ、日本の企業の意思決定は海外とは異なる。特にITに関しては、経営者の考えで物事が動くことがそれほど多くはない。だから、世論が形成されたことで、ようやく各企業がセキュリティを「実行しなければならないこと」だと認識するようになったのだ。
「世論」というのは非常に奇妙だが、日本の企業においては意思決定に必須な要素となることが多い。筆者は、この他力本願に近い意思決定方法を「世論の合意形成」と呼んでいるが、いずれにせよ、こうしたさまざまな要因や経緯の積み重ねによって、現在のセキュリティは、もうかるビジネスとなり、セキュリティエンジニアも稼げる職業となった。
