一つのきっかけはCSIRT構築だろう。そもそもCSIRTを構築すれば、セキュリティ対応できる人材が必要になるのは必然なので、セキュリティ人材が足りないということになるのだろう。セキュリティ人材の足りないCSIRTって何…?という話は置いておいて、CSIRTで求められる人材像はとても幅広い。技術の範囲だけでなく、組織的、経営的にも幅広く高い能力が求められる。そもそも経営リスクであり、かつ、高度な事案に対処するのだから当然のことだ。
ところが、最近言われている「セキュリティ人材」には具体的な「スペック」が提示されていないことがほとんどだ。高い技術力が求められるからこそ、具体的な能力を定義しないといけないのに、「トップガン」とか「抜きん出た人材」など、あいまいなイメージでしか語られないのだ。
実際、最近目にする「セキュリティ人材募集」の募集要項には、資格など以外はほとんど触れられていない。そして、そういう組織では「面接する能力」が十分ではないケースが多いようだ。面接するためには、その能力を見極められる同等以上の能力が必要になる。逆に、見極める能力がない場合には、「有名な企業で働いていた」「○○さんの紹介」くらいの判断しか出来ないだろう。つまり、高い能力を見極められる面接官がいないと、高い能力の技術者は雇えない、という当たり前のことが、あまり認識されていないように思う。
「セキュリティ人材が不足している!」と言う一方で「即戦力募集」というのは虫がよすぎる。そもそもCSIRTなどで必要な能力は極めて特殊で、経験と素養が必要だ。マルウェア解析が出来る、というのは、ほんの一部の能力に過ぎない。そもそも、感染を見つけるSOCを設計して構築、運用、監視していなければならないし、SIEMをポン付けしてる程度ではSOCやCSIRTとは到底言えない。
ニワトリと卵の話になってしまうが、そもそも、しっかりとしたニワトリがいないと卵は生まれない。卵からだけでは立派なニワトリにはならない。では、ニワトリがいなかったらどうしたらいいのだろうか。社内に素養のある人間を見つけて、外部専門家にOJTを受けながら経験を積むことが解決策になる。中途採用でいきなり雇用するのはリスクが高すぎるし、「当たり」を掴む確率は極めて低い。セキュリティ対策を進める上で、あるいは、対応を行うには、その組織の文化が分からないといけない上に、必要な技術力が分かっていないのに、鳴り物入りで雇用するのはバクチでしかない。
CSIRTには、SOCの設計、構築が欠かせないので、その段階から外部専門家と連携する必要がある。そして、検知されたイベントが事案かどうかの見極めをOJTとして行いながら、対処を行っていき「経験」を積んでいくことが遠いようで近道である。人によっては「10年かかる」、と言う経験者もいるくらいだ。
ついでに、言ってしまうと、現在行われているセキュリティ人材募集は、高度な技術者を期間限定で使い捨てしようというものが目に余る。
専門家を採用したいなら高度な技術者を見極められる面接官がいないといけない。そして、幸運にして雇用することが出来たなら、末永く評価を出来る環境を用意しなければならない。特別な能力とはいえ、IT技術者(稀に技術者でない場合もある)であるだけのことなので、あまり特別扱いもしてはいけない。当然ながら、本人のキャリアアップなどの社会人としての進路も用意してあげなければならない。間違っても「飼い殺し」「放置」してはいけない。
そもそも、セキュリティ人材は、技術者である場合には、コンピュータのことを熟知している必要があるし、熟知していれば、セキュリティを理解するのには時間はかからない。つまり、社内でセキュリティ人材として育成するには、コンピュータについての深い知識と経験、そして好奇心が素養と言える。
セキュリティ人材というと、サイバー攻撃やマルウェアなどの知識や技術が問われがちだが、それは、ちょっとした好奇心があれば身に付くものだ。基本となるコンピュータそのものについての基本がないと「知っているだけ」の技術者になってしまいがちだ。ハッカーの世界でも「スクリプトキディ」というのがある。ダウンロードした「ハッキングツール」を使うだけの見かけだけの「ガキ」という意味だ。
これまでもセキュリティ人材については何度も各方面で書いたり講演してきたりしてきたが、いよいよ、企業や政府組織などで本格的にセキュリティ人材が必要になってきて、働く場もできつつあるので、ここで改めて、スクリプトキディのセキュリティ人材がはびこらないように注意して頂きたい。
