セキュリティ人材で大切な資質とは--育成ブームに「苦言」

　サイバーセキュリティの重要性が増す中で世界的にセキュリティ人材の不足が叫ばれ、人材育成がブームの様相を見せる。こうした状況に専門家がセキュリティ人材に求められる資質を説くとともに、育成ブームに苦言も呈している。

　セキュリティテストなどのオープンソースコミュニティー「Institute for Security and Open Methodologies（ISECOM）」の共同創設者でマネージングディレクターを務めるPete Herzog氏は、7月に米Cylanceが運営するブログに投稿したエントリで、「本当に動物が好きでなければ、動物を管理する仕事をすべきではない。これはサイバーセキュリティにも当てはまる」と言及している。

　同氏は、以前に務めていたという動物を管理する仕事でのエピソードを紹介し、当時の同僚がアライグマの“脱走劇”に対応できず、いらだちを募らせて事態を収束できなかったことに触れ、この同僚がアライグマを嫌っていたのではないかと振り返る。仮にこうした、仕事を好きになれない人物がセキュリティの業務に従事しても、刻一刻と変化するセキュリティ侵害の状況に対応できずコントロールを失うだけであり、そうした人物は不要だと断言する。

　また2001年に、当時在籍した銀行でセキュリティチームを立ち上げる際の採用試験では、社内外のネットワークにも熟知する聡明な開発者が、業務に関するシナリオに基づいた質問への回答をあきらめることがあった。Herzog氏は、この開発者の代わりに、セキュリティの知識がないマーケティング出身の女性を採用したという。その理由は、彼女が独学でデザインツールの活用法を習熟した点にあったといい、課題に対する解決策を提案できる能力を備えていたことが決め手になったと紹介している。

　Herzog氏は、大学などがセキュリティ人材を大量に養成し、近い将来に“セキュリティを知っている”と称する膨大な新人がセキュリティ業界にやってくるだろうと指摘する。しかし、その大半は製品に詳しくてもセキュリティの本質を理解しておらず、仕事で不満を感じることがあれば、より良い給料を求めて別の仕事に移るだろうと見る。

　彼らは自身の習得した技術あるいは知識に依拠するにとどまり、状況の変化や新しいソリューションの理解といったことには目を向けない。セキュリティの知識を持たずとも、常に変化や新しい技術への関心を抱き、問題解決を目指すために学び続ける姿勢を持った人材の方がサイバーセキュリティには適していると解説している。

　人材不足はセキュリティに限らずITのさまざまな領域で起きている課題だが、その穴を埋めようとテクニックだけを学ばせた人材を大量に育成、輩出するようでは、問題の本質に対応できないというのがHerzog氏の主張であるようだ。セキュリティ人材にまつわる話題は、ぜひ下記の記事もご覧いただきたい。

• セキュリティ人材の末路--セキュリティ対策に人材が必要な理由と失われた10年
• セキュリティ人材の末路--蜜月関係からの自立を迫られるユーザー企業
• セキュリティ人材の末路--パブリッククラウドで窮地に立つITベンダー
• セキュリティ人材の末路--ITベンダーが狙うセキュリティへの配置転換
• セキュリティ人材の末路--人数不足と育成の必要性は本当なのか？
• セキュリティ人材の末路--“魔王を倒した勇者のその後”と重なる存在意義
• セキュリティ人材論--「氷河期」が常態化した日本社会の現実
• セキュリティ人材論--人手不足でもリストラを行う不思議な日本
• セキュリティ人材論--盛り上がる人材争奪戦とその先にあるもの