メニュー
おすすめコラム

2019年1月28日
常識を疑え!ハッカー視点のセキュリティ
筆者)株式会社トライコーダ 上野宣

第11回 セキュリティ人材が○万人足りない問題は何が足りないのか

サイバー攻撃増加の話題が一般的にも広まってきたのとともに、セキュリティ人材が不足しているという話題も耳にするようになりました。経済産業省は2016年6月10日に「情報セキュリティ人材は2020年に19.3万人不足する」という予測を発表しています。
(IT人材の最新動向と将来推計に関する調査結果を取りまとめました(METI/経済産業省) - http://www.meti.go.jp/press/2016/06/20160610002/20160610002.html
また、IPAが2018年4月27日に発表した「情報セキュリティ10大脅威2018」では、組織の脅威として第5位に「脅威に対応するためのセキュリティ人材の不足」が今年から登場しました。
(情報セキュリティ10大脅威 2018:IPA 独立行政法人 情報処理推進機構 - https://www.ipa.go.jp/security/vuln/10threats2018.html

一方で、日本経済新聞は2018年8月28日のコラムで 『セキュリティー人材、消えた「19万人不足」』というタイトルで、『サイバー防衛の現場からは「不足感はない」との反論が多い』という書き出しの記事を公開しています。
(セキュリティー人材、消えた「19万人不足」:日本経済新聞 - https://www.nikkei.com/article/DGXMZO34590330U8A820C1X11000/
セキュリティ人材は本当に足りていないのでしょうか、それとも十分足りているのでしょうか。

セキュリティ人材のスキルは多様化している

「セキュリティ人材」と言われたとき、どういう人材を思い浮かべますか?
テレビのサイバー犯罪追跡番組に出てくるようなホワイトハッカーでしょうか、それともハッキング技術を競うCTF(Capture The Flag)で優勝するような人でしょうか。
前者は企業ではあまり必要とされないスキルで、実際に犯人を追い詰めるのは警察の仕事です。後者はCTFを解くための知識や手法はスキルとして役立つこともありますし、バグハンターという脆弱性を見つけて報奨金を稼ぐ仕事もありますが、企業内においては業務に直結するわけではありません。

2000年前半ぐらいにはセキュリティ全般をカバーできるセキュリティ人材もいましたが、セキュリティ分野が細分化され、高度化していくとともに、一人で対応できるものではなくなってきました。今は、セキュリティの領域全般のことを広く知っていて、かついくつかの専門分野のスキルを持った人材というのが求められるセキュリティ人材です。
医者や弁護士に専門分野があるように、情報処理安全確保支援士もすべてのセキュリティ分野に精通しているわけではなく専門分野が存在します。

筆者は最新のセキュリティに関する知識・技能を備えた、高度かつ実践的人材に関する国家資格の「情報処理安全確保支援士」のカリキュラム検討委員というのを務めています。この制度が想定する対象業務としては、IPAが公表しているITSS+に定める「セキュリティ領域」に記載されている下記の13種類の専門分野が対象業務として想定されています。

  • ・情報リスクストラテジ
  • ・情報セキュリティデザイン
  • ・セキュア開発管理
  • ・脆弱性診断
  • ・情報セキュリティアドミニストレーション
  • ・情報セキュリティアナリシス
  • ・CSIRTキュレーション
  • ・CSIRTリエゾン
  • ・CSIRTコマンド
  • ・インシデントハンドリング
  • ・デジタルフォレンジクス
  • ・情報セキュリティインベスティゲーション
  • ・情報セキュリティ監査

しかし、多くの企業ではこれらの対象業務だけができる専門家が求められているわけではありません。これまでの業務をこなすことができた上で、さらにこれらの知識やスキルを身につけた人材が欲しいのです。つまり、従来からいる人材にセキュリティ分野の知識やスキルを学ぶことが求められています。

セキュリティだけの専門家はそれほど求められていない

筆者がGMを務める一般社団法人セキュリティ・キャンプ協議会では、次代を担う日本発で世界に通用する若年層の情報セキュリティ人材を発掘・育成することを目的として「セキュリティ・キャンプ」というイベントを15年ほど実施しています。その中で年に1度実施されるセキュリティ・キャンプ全国大会では、国内外でさまざまなセキュリティ分野の第1戦で活躍する講師が4泊5日参加費無料で22歳以下の学生を教えています。

こう言うとスーパーハッカーの卵といった人材ばかり育てているように思うかもしれませんが、実際は異なります。発掘し育成したいのは「各分野のセキュリティスペシャリスト」です。セキュリティというのはそれ単体では業務としては存在しません。「ショッピングサイトのセキュリティ」、「仮想通貨取引所のセキュリティ」、「オンラインゲームのセキュリティ」といったように「○○のセキュリティ」と名が付きます。
その業務のこともわかりつつ、セキュリティのこともわかる。そんな人材を作ろうとしています。そのため、キャンプ修了生にセキュリティ業界に入社して欲しいというようなことは言っておりません。各方面での活躍を期待しています。セキュリティ・キャンプで伝えているセキュリティ人材とは次のような人材です。

  • ・セキュリティ技術の研究・開発
    セキュリティの課題を解決する技術の研究や開発できる人
    セキュリティ製品・サービスを作る
  • ・セキュリティ人材の育成
    セキュリティの課題を見つけ、解決できる人
    企業や組織内、学内でセキュリティ人材を育成する
  • ・セキュリティの啓発活動
    自分の周りにセキュリティ技術を広め、取り入れてもらう人
    セキュリティを平易に伝え、必要性をわかってもらう
  • ・セキュリティ人材・製品・サービスを買ってくれること
    人を"買う"、製品を"買う"、サービスを"買う"人
    認められ、活躍する場があれば人材も育てられるし、研究開発もできるし、啓発活動も広まりやすい

多くの企業にとって、サイバー攻撃は身近なものであるはずですが、危機感を持てない企業や組織は「自分たちは被害に遭っていない」と思っているのかも知れません。しかしそれは、攻撃を検知する仕組みがないため、サイバー攻撃にまったく気が付いていないのかもしれませんし、機密情報が漏れていたとしても漏えいの事実に気が付いていないこともあるかもしれません。
そんな企業の中に1人でもセキュリティの重要性がわかる人がいたら、その企業は変わり始めるでしょう。
筆者は「セキュリティの重要性を理解する人材」、それがセキュリティ人材だと考えます。