クラウド時代に必要なセキュリティ人材とは?
藤田 よく分かります。次にITセキュリティ人材に話を移します。セキュリティの専門家は歴史も底も浅く、まだ少ないと指摘されています。
二木 確かによく言われます。ただし実情を見ると本来セキュリティ専門家がやらなくてもいいことまでセキュリティ専門家に頼ってしまっているところもあります。例えばシステムのパッチをあてるなどは現場のエンジニアが日常的に実施する保守作業の一部です。ネットワークも、そもそもの設計がまずくては、十分なセキュリティ対策ができません。アプリケーション開発において、脆弱性の排除は品質管理の一貫です。こうした部分は、いわゆる「セキュリティ専門家」の手を借りるまでも無く、各分野のエンジニアが、その素養として身につけるべきことです。こうした部分が不十分だったが故にセキュリティの問題が発生し、セキュリティ専門家が対応にひっぱり出されてしまうのではいくらセキュリティの専門家がいても足りません。
本質的には現場のエンジニアの素養、つまり技術力を底上げできればセキュリティの状況は大きく改善できると考えています。そこで初めて、専門家が専門的な仕事を出来るようになるのだろうと思っています。
いまセキュリティ専門家として本当に不足しているのはジェネラルなエンジニアです。一通りの技術要素とセキュリティの幅広い分野を知り、全体を把握できるような人材です。ITを企画できる人材とともに、こうしたジェネラルなセキュリティ専門家はエンドユーザーのIT部門には特に必要です。特定の技術、たとえば攻撃、侵入技術やマルウエア解析技術などに特化したエンジニアをたくさん育成しても、こうしたエンジニアを適材適所で活用するためには全体を掌握できる人材が必須です。例えば情報セキュリティプロフェッショナル認証資格「CISSP」があります。こういう資格はジェネラリストでないと取得できませんし、もともとが、ユーザーサイドでセキュリティの全体をたばねる人たちを念頭に置いた資格でもあるのです。こうした資格の取得者が、ユーザー側で働けるようになると、セキュリティの状況は大きく改善するのではないかと思っています。
また、高い専門性を持ったセキュリティ専門家が現場のインシデント対応に追われてしまうと、自分の専門分野を磨く機会やそのモチベーションを失ってしまいかねません。そういう意味でも、育てるべき人材と役割構造を見直す必要があるのではないでしょうか。こうしたことを考えればクラウドをどう自分たちのシステムに採り入れるかというテーマの検討もスムーズに行えるのではないでしょうか。
藤田 人材の問題というのは予算とも関係していると思います。欧米ではIT予算の5%程度をセキュリティに充てていると聞きます。インシデント発生の有無とは別に常にその予算でセキュリティを固めています。しかし日本は事件が起きたり、BCP(災害対策)でようやく予算がつくという企業も少なくありません。セキュリティ担当者にしても、専任ではなく兼任が多いです。高度なセキュリティ人材をどう確保し、育てていくかも今後の課題ではないかと思います。
二木 その人材とは将来のCIOやセキュリティの素養がある経営層ということでしょうか。そうであれば、そこに到達するまでのキャリアアップのステップを考える必要があります。セキュリティも含め、情報システム全体を見ることができるCIOを育てることを目標に掲げてもいいかもしれませんね。
藤田 そうですね。日本だと経営課題も意識してセキュリティを考えることができる人材が乏しいと感じています。情報システムでクラウドを使おうとするとき、将来のインシデント対応ノウハウだけではなく、全体のシステム構成も含め、経営からの要請に対応してクラウドをどう使うか、どういうリスクがあるか、提案できる人材が少ないと感じています。
二木 難しいですね。もしかしたら、まだクラウドを使うニーズがさほど高くないからなのかもしれません。欧米は新しい技術を貪欲に採り入れてビジネスに勝とうというモチベーションが高いのに対し、日本はまだそこまで到達していません。
ただ何が何でもクラウドを使えばいいかというとそうでもありません。目的ではないですから。クラウドに出せるものは出していく。もし都合が悪ければクラウドから消す、撤退することも考える必要があり、その手段はあるのかも検討する必要があるでしょう。データを外部に出すのですから、暗号化などを含め、それをどう守って行くかの大枠をユーザー自らが考えられるようになる必要があります。
クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」
クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?
日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。
※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。
★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから!
★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから!
※クラウドセキュリティプラスはAWSを利用した演習を含みます。
基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」
HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。
★HP「セキュリティ研修」の詳細はこちらから!
