SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

S&J三輪信雄のセキュリティ ニュースレター

「セキュリティ人材が足りない」件について


 最近、あちらこちらで「セキュリティ人材が足りない」「セキュリティ人材を募集」などと言われるようになった。以前から周期的に「セキュリティ人材」については話題になってきた。しかし、今回はかなり本格的に言われているようだ。

 一つのきっかけはCSIRT構築だろう。そもそもCSIRTを構築すれば、セキュリティ対応できる人材が必要になるのは必然なので、セキュリティ人材が足りないということになるのだろう。セキュリティ人材の足りないCSIRTって何…?という話は置いておいて、CSIRTで求められる人材像はとても幅広い。技術の範囲だけでなく、組織的、経営的にも幅広く高い能力が求められる。そもそも経営リスクであり、かつ、高度な事案に対処するのだから当然のことだ。

 ところが、最近言われている「セキュリティ人材」には具体的な「スペック」が提示されていないことがほとんどだ。高い技術力が求められるからこそ、具体的な能力を定義しないといけないのに、「トップガン」とか「抜きん出た人材」など、あいまいなイメージでしか語られないのだ。

 実際、最近目にする「セキュリティ人材募集」の募集要項には、資格など以外はほとんど触れられていない。そして、そういう組織では「面接する能力」が十分ではないケースが多いようだ。面接するためには、その能力を見極められる同等以上の能力が必要になる。逆に、見極める能力がない場合には、「有名な企業で働いていた」「○○さんの紹介」くらいの判断しか出来ないだろう。つまり、高い能力を見極められる面接官がいないと、高い能力の技術者は雇えない、という当たり前のことが、あまり認識されていないように思う。

 「セキュリティ人材が不足している!」と言う一方で「即戦力募集」というのは虫がよすぎる。そもそもCSIRTなどで必要な能力は極めて特殊で、経験と素養が必要だ。マルウェア解析が出来る、というのは、ほんの一部の能力に過ぎない。そもそも、感染を見つけるSOCを設計して構築、運用、監視していなければならないし、SIEMをポン付けしてる程度ではSOCやCSIRTとは到底言えない。

 ニワトリと卵の話になってしまうが、そもそも、しっかりとしたニワトリがいないと卵は生まれない。卵からだけでは立派なニワトリにはならない。では、ニワトリがいなかったらどうしたらいいのだろうか。社内に素養のある人間を見つけて、外部専門家にOJTを受けながら経験を積むことが解決策になる。中途採用でいきなり雇用するのはリスクが高すぎるし、「当たり」を掴む確率は極めて低い。セキュリティ対策を進める上で、あるいは、対応を行うには、その組織の文化が分からないといけない上に、必要な技術力が分かっていないのに、鳴り物入りで雇用するのはバクチでしかない。

 CSIRTには、SOCの設計、構築が欠かせないので、その段階から外部専門家と連携する必要がある。そして、検知されたイベントが事案かどうかの見極めをOJTとして行いながら、対処を行っていき「経験」を積んでいくことが遠いようで近道である。人によっては「10年かかる」、と言う経験者もいるくらいだ。

 ついでに、言ってしまうと、現在行われているセキュリティ人材募集は、高度な技術者を期間限定で使い捨てしようというものが目に余る。

 専門家を採用したいなら高度な技術者を見極められる面接官がいないといけない。そして、幸運にして雇用することが出来たなら、末永く評価を出来る環境を用意しなければならない。特別な能力とはいえ、IT技術者(稀に技術者でない場合もある)であるだけのことなので、あまり特別扱いもしてはいけない。当然ながら、本人のキャリアアップなどの社会人としての進路も用意してあげなければならない。間違っても「飼い殺し」「放置」してはいけない。

 そもそも、セキュリティ人材は、技術者である場合には、コンピュータのことを熟知している必要があるし、熟知していれば、セキュリティを理解するのには時間はかからない。つまり、社内でセキュリティ人材として育成するには、コンピュータについての深い知識と経験、そして好奇心が素養と言える。

 セキュリティ人材というと、サイバー攻撃やマルウェアなどの知識や技術が問われがちだが、それは、ちょっとした好奇心があれば身に付くものだ。基本となるコンピュータそのものについての基本がないと「知っているだけ」の技術者になってしまいがちだ。ハッカーの世界でも「スクリプトキディ」というのがある。ダウンロードした「ハッキングツール」を使うだけの見かけだけの「ガキ」という意味だ。

 これまでもセキュリティ人材については何度も各方面で書いたり講演してきたりしてきたが、いよいよ、企業や政府組織などで本格的にセキュリティ人材が必要になってきて、働く場もできつつあるので、ここで改めて、スクリプトキディのセキュリティ人材がはびこらないように注意して頂きたい。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
S&J三輪信雄のセキュリティ ニュースレター連載記事一覧

もっと読む

この記事の著者

三輪 信雄(ミワ ノブオ)

日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。ITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務める。 S&J株式会社 代表取締役

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6537 2015/02/05 18:03

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング