経産省が「2025年の崖」として警告するように、日本におけるIT人材不足は年々深刻度を増している。そうした中でもとりわけ人材不足が叫ばれているのが、情報セキュリティを専門とする「セキュリティ人材」だ。では、セキュリティ人材不足はなぜ起こり、これからセキュリティ人材を育成するためにはどうすればいいのだろうか──。連載最終回となる本稿では、日本屈指のセキュリティエンジニアとして知られる、SBテクノロジーの辻伸弘氏と、TISのセキュリティ専門家3名でさまざまな意見が取り交わされた。
※取材は感染防止対策に注意を払って行い、撮影時のみマスクを外しています
登場人物
TIS株式会社 |
|
TIS株式会社 |
|
TIS株式会社 |
|
SBテクノロジー株式会社 |
不足していると言われているセキュリティ人材──実は“頭数”は足りている?
横森氏: セキュリティ人材が不足しているとよく言われていますが、実のところ「頭数」だけを見れば、かなりの数がいるんです。いざというときに頼りになるようなセキュリティ人材が少ないというのが、本質ではないでしょうか。たとえば、ただ与えられた業務をこなしている場合は、一度業務の枠から外れてしまうと、何をどうすればいいのかわからなくなってしまいます。
辻氏: たしかにセキュリティ人材の数自体は、私たちの世代がセキュリティに取り組み始めた頃より圧倒的に増えていますよね。育成のためのプログラムや授業やトレーニングもあちこちで行われていますし、いまや情報セキュリティは大学や専門学校などのカリキュラムに組み込まれています。ただ、個人的に言えば「セキュリティ至上主義」な人が多すぎるのではないでしょうか。そして横森さんが言うように、そうした人たちは「自分にはコレしかできない」「コレは私の仕事ではない」と、自らの仕事の枠を決めてしまいがちです。職務分掌というのは当たり前のことですが、セキュリティというのは、不測の事態への対応の連続とも言えるので、そのように凝り固まっていたのでは、なかなか柔軟に対応できませんよね。加えて、組織がセキュリティ人材に求めるスキルを定義しきれていないというのもあるのではないでしょうか。
横森氏: まったく同感です。当社においてその役割を担っている山本さんはこれについてどう思いますか?
山本氏: その通りだと思います。社内のSI人材の管理育成システムは出来上がっているものの、サイバーセキュリティ人材については十分な育成システムがありませんでした。辻さんが言うように、セキュリティに関する学校もトレーニング機関も資格制度もあるのですが、実践で任せられるレベルに到達するにはなにか足りないように感じるというのが実状ではないでしょうか。
辻氏: そのあたりは、セキュリティ専門企業のセキュリティ人材と、ユーザー企業のセキュリティ人材とでも事情が変わってくるのでしょうね。セキュリティベンダーであれば、十分な知識がないまま入社してきたとしても、入社後に育成できるでしょう。しかしユーザー企業ではよほど大きな組織で専任のメンバーがいるなど、しっかりと体制を構築できている組織以外は、育成に何が必要かわからない中でなんとなくセキュリティのトレーニングをしたり、情報システム部門に対してセキュリティを学ぶよう命じたりしがちです。
セキュリティの根本は情報管理にあるのですが、そこをちゃんと理解できていないと、上辺だけの人材育成となってしまい、その結果としてセキュリティ部門に配属された人たちは、実際のセキュリティ現場で臨機応変な対応がしづらくなってしまいます。こうした背景から、具体的に何をどうすればよいのかわからないといった事態に陥るのではないでしょうか。
横森氏: そのような状況に陥ったときに行き着くのは「経営者に納得してもらえるような説明ができればそれでよし」という答えです。上層部に提出する報告書の作成が彼らの目標になり、結果として枠にはまった業務となってしまうのです。そこに我々のようなベンダーが介入したとしても「これでは経営者に説明できない」と言われてしまい、実環境へのセキュリティの適用ができないということが多々ありますね。
セキュリティベンダーはユーザー企業から学ぶべし……!? “炎上覚悟”の精神とは
横森氏: まず、セキュリティというのはユーザー企業とベンダー間の摩擦といった“炎上”を、ある程度は覚悟するべきだということを、双方理解すべきではないでしょうか。炎上を避けようとした結果、さらなる炎上を生んでしまうこともあるからです。
辻氏: ここでいう”炎上を避ける”はユーザー企業を納得させるために正しくない情報をベンダーが伝えてしまうということでしょうか。昨今流行りのEDR(Endpoint Detection and Response)もまさにそうです。EDRはうまく使えばすごく役に立ちますが、決して万能ではありません。それなのにベンダーは「アンチウイルスソフトはもう古い」などと極端な売り方をして、ユーザー企業もそれを真に受けてしまっています。そこを改善しないといけないのですが、売り手は予算などのしがらみがあってそうした売り方をしているのが実情でしょうから、まずはユーザー企業から変わっていくのが現実的だと思います。
ここ数年はユーザー企業もすごくセキュリティについて勉強されていると強く感じます。たとえばEDRにしてもさまざまなベンダーから話を聞けるので多角的な視点を持てます。それに対してベンダーは自社製品を売るという観点で他社製品を見ているので、ベンダーがユーザー企業に言い負かされるケースも実は増えています。間違った情報を質したり、多角的な考え方をユーザー企業に広めていくことがまずは大切なのだと思います。
横森氏: 要するに”お客様から学ぶべき”ということですよね。具体的にビシビシと質問してくるような顧客を単なる”モンスタークライアント”と捉えずに、最大限に寄り添うべきだといえるでしょう。顧客と衝突したときになだめるのではなく、ニーズの本質を理解することが最も重要なのです。私よりもお客様対応が多い丸山さんはこの点についてどう思いますか?
丸山氏: まさにある顧客から学びを得た経験があります。その企業はセキュリティに対する意識も知見も高く、自社でCSIRT(Computer Security Incident Response Team)を運用し、内部セキュリティもしっかり考えて対策を施しています。こうした企業は一歩ふみ込んだ質問をしてきます。その場で答えられない場合は一度会社に持ち帰って皆で検討するのですが、組織によって考え方が違うことや質問の意図を理解することで必要な知識が身に付いた実感がありましたし、自信も芽生えました。
横森氏: こうした取り組みをセキュリティ製品・サービスを得る側のもっと多くの人々に実践してほしいですね。
辻氏: すべてのセキュリティベンダーに「どんなお客様にも敬意を払うべし!」と、強く言いたいですね。
“ペーパーセキュリティ”から脱却し、まずは自分で考え行動できるように
横森氏: 冒頭で辻さんが言っていたように、セキュリティというのは不測の事態への対応です。マニュアルに書いてないからどうこうと言っていたのでは、とても実践できません。野球でたとえると、”バットの振り方”のマニュアルは存在するかもしれませんが、”プロ野球選手になる方法”のマニュアルは存在しませんよね。私はこうしたドキュメント至上主義のセキュリティを“ペーパーセキュリティ”と呼んでいます。
山本氏: マニュアルでも80点ぐらいまでは到達できるかもしれませんが、100点にしようとすると、自ら興味をもって勉強しないと伸びませんよね。
横森氏: ここで注意したいのは、すでに有名なセキュリティ専門家はマニュアルで学んだ80点の延長線上ではないということですね。
辻氏: どちらが良い悪いとかではなく、きっと経路と方向性が違うんですよね。以前、多くのセキュリティ専門家に「なぜこの道へと進んだのか?」という話を聞く機会があったのですが、誰もが“タイミングと運の巡り合わせ”だったということです。つまり誰かに教えてもらったり、セキュリティの道を目指して教育を受けたりしているわけではなく、たまたま自分が置かれた環境でセキュリティが必要になり自発的に学んでいったというわけです。
ひとくくりにセキュリティ人材といっても、マニュアルでミスなく確実にできるようになってから、その先のフレキシブルな対応に進むタイプと、セキュリティがもともと好きで自分の経験を元に提案をするタイプとでは活躍できるフィールドの範囲や深さがまったく違うのではないでしょうか。
横森氏: 辻さんが言うような”タイミングと運の巡り合わせ”は実はみなさん経験しているんです。そうしたチャンスをスルーしているケースがいまは多いように思います。せっかくバットを振る機会を与えてもらったのに、「バット振り方がわからないから」と言って尻込みしてしまい、自分の得意な領域でない限りじっとしているのがもったいないと感じています。つまり運をしっかり拾い上げるか、尻込みしてしまうかというところに差があると私は思っています。マニュアル教育の弱点と言えるかもしれません。
辻氏: 皆さん必要以上に失敗を避けようとしてしまうんですよね。結果的にそれがチャンスだったのかどうかはあとからわかることですから、まずは目の前に来た球を打ち返し続けるしかないです。考える前にまずは興味があるものを全部やってみて、うまくいってもいかなくてもそれを糧にすることが有益なのではと思いますね。それに、焦らなくてもいずれ打ち返していた「点」が「線」「面」となる日がくるはずです。
丸山氏: IT業界で「やったことありません」は通用しませんから、新しいことをどんどんやっておかなければいけないですよね。
辻氏: たとえばシステムを構築するときに何回もインストールしたり、設定を確認することは、ネガティブなものではなくて、失敗する確率を減らすための勉強だと思います。仮に失敗しても、一時はお客様に怒られるなど嫌な想いをするかもしれませんが、なぜ失敗してしまったのかと振り返る機会が生まれます。つまり成功と失敗、どちらに転んでも自分にとってプラスになるので、失敗を恐れないでほしいです。私もいまだに会社で怒られることがありますしね(笑)。
横森氏: 同感です。これは組織にも言えることで、前例がないからやってはいけないと制限するのでは、人材は育ちません。「経営者に説明できればいい」と責任回避の保身に走っている限り、セキュリティという分野で成果を上げることは難しいのです。誰かが何か言うまでは動かない、まずはその状況を変えていこうじゃないですか。自己否定するようですが、私や辻さんのようなセキュリティ専門家が何か言うのを待つのではなく、ぜひ自分たちから動いてみましょう。
[PR]提供:TIS