あなたの職場はどのようなデジタルセキュリティ対策をしていますか? 日本はセキュリティ対策ソフト市場のシェアが高く、商品に頼る傾向が強いといわれています。
しかし、今やあらゆるものがデジタルネットワークで繋がり、スマートセンサーを含むと約100億以上のアクセスポイントが私たちの生活を囲む時代。対策ソフトを買い備えるだけでは不十分であり、セキュリティの監視やサポートなど専門家の手を借りてサイバー攻撃からの脅威に備える必要があるのではないでしょうか。
経済産業省の統計によると、日本では2020年に約19万3000人のセキュリティ人材が不足するとされています。(IT人材の最新動向と将来推計に関する調査結果/平成28年より)。この問題にどのように対応したら良いのでしょう。
先日、世界100ヵ国以上の国と地域で取得されている認定資格を提供するCompTIA(以下、コンプティア)のプレジデント兼 CEO トッド・ティビドー氏と同社チーフ・テクノロジー・エバンジェリストのジェームス・スタンガー博士が来日し、IT 業界が抱えるセキュリティ要員不足の課題や今後の動向についてメディアセミナーを開催しました。
写真)プレジデント兼 CEOのトッド・ティビドー氏
今、セキュリティの世界でなにが起きているのか?
トッド・ティビドー氏は、近年のデジタルネットワークの拡大を第四次産業革命と位置づけ、デジタル環境の急激な変化に対応できるセキュリティ人材が不可欠だと話します。
以前はネットワークに繋がれていなかったロボットや産業用制御システムがハッカーの攻撃対象になる事例が増えていること。また、世界中の企業や国家でIPアドレスの実用化が加速し、実装を急ぐあまりにセキュリティの確認や構築が十分にできていないなどの問題が起こり、これらのシステムを理解する人材も当然ながら不足しています。
今や、世界中のさまざまな情報が個人レベルで管理され、ハッカーに対して何10億という人の個人情報が数多のアクセスポイントを経由して危機にさらされているわけです。企業内では各部署において個人が簡単に新しいソリューションを起動でき、それらを会社は把握できません。そこにセキュリティの隙が生まれやすく、セキュリティ担当者はそういった影で使われている“シャドウIT”の見極めにかなりの時間をかけて対策を講じることになります。
自動化された優秀なソリューションがあっても、サイバーセキュリティに特化した人材に勝るものはなく、技術はプロフェッショナルに取って代われるほどではありません。なぜならばITの知識は当然としても、そこには技術と人とのコミュニケーション能力が大切になってくるからです。
例えば、ネットワーク内に存在するさまざまなセキュリティやネットワーク機器のログを収集して一元管理するSIEM(Security Information and Event Management)。異なるログ間をまたいで相関分析を自動的に行うなど、現在、標的型攻撃への有効的対抗手段として注目されていますが、AIから提供される内容はかならずしも明快ではなく、提供された情報をクラウド上で分析し説明できるセキュリティアナリストの存在が不可欠です。
セキュリティ担当者には、これら専門家以外には意味が分かりにくいシステムの表示を視覚化し伝えられる「書く力」「伝える力」そして「社会性」が求められており、ITの深い知識はもちろんのこと、人とのコミュニケーション能力とビジネスを成功させる見識をもつ、いわゆる“T型の人材”が必要とされています。
ソフトやコンピューターが何でも補ってくれると思うと会社トップは判断を誤ることになります。サイバー攻撃者やハッカーらは常に私たちよりも上手であり、技術的負債の損害は計り知れません。技術や財産だけでなく信頼も失い、莫大な金額損失とペナルティが課せられてからでは遅いのです。
写真)チーフ・テクノロジー・エバンジェリストのジェームス・スタンガー博士
資格と仕事に対して紐づけがルーズな日本
一方で、雇い入れる側の意識も改革する必要があります。コンプティアのシニアコンサルタント 板見谷剛史氏は、日本の企業は資格保持に対して福利厚生や自己啓発などの枠組みでしかとらえきれていない傾向があり、資格保持者の活用と定義を理解できずにいると説明します。
その背景として、日本では雇用してから仕事を決めるメンバーシップ型が主流であり、仕事が決まってから人材を雇うジョブ型が少ないこと、雇う前に必要な資格と職務をこと細かに定義せずに曖昧に終始していることが挙げられます。
資格はオンリーワンであり「〇〇の資格を保持しているから他の資格スキルも同等にできるだろう」というのは安易な考えです。さまざまなキャリア・スキルフレームワークをどう効果的に活用するのか、そういった意味で求人側も資格を学び、スキルフレームワークに紐つけて資格を有効に活用できることが望ましいそうです。
コンプティアでは、米国政府機関が調達する製品や技術を開発・製造する企業に対して求められるセキュリティを担保するための「NIST SP800-171」や「NIST SP800-181」のガイドラインに即した資格を実践し、また、5GやEdgeなどの新しいネットワークの環境に対応でき、IOT機器とどのように繋がってゆくのか理解できている人材を育てることが急務と考えています。
さらに今後は、日本語によるオンデマンドの指導を強化し日本のユーザーによりそったプログラムを提供してゆく予定であり、「CompTIA Security+」においては来年1月までに日本語対応を実現させ、資格のキャリアパスとして全国の学校や施設に活用してもらいたいとしています。
ジェームス・スタンガー博士は、現在、IT関係の職にあり新しくセキュリティ分野の知識を学びたい社会人、就職後に大学に戻った20代~30代の学生、また、現役大学や高校生など未来を担う子供たちにぜひ学んでほしいと話し、「セキュリティ対策は質が高く利益の大きい仕事。一日中部屋に閉じこもりモニターをのぞき込みながら座りぱっなしではなく、人と人とのコミュニケーションが大切でワクワクする仕事」とメッセージを送りました。
セキュリティ対策と聞くと上級スキルが必要ではないかと感じるかも知れません。しかし初級・中級のスキルでも十分に活躍できる場があります。なぜならばセキュリティ対策は雲の上の話ではなく、ごく身近に私たちの生活に横たわる問題だからです。まずは、セキュリティ対策について関心をもち知ることから始めてみませんか。詳細はCompTIAホームページ https://www.comptia.jp/about/comptia_about/ まで。
