RecMA人事ニュース » 「セキュリティ人材は引っぱりだこ」は本当か？

総合「セキュリティ人材は引っぱりだこ」は本当か？

2016年12月7日

つい先日、ITproに「引っぱりだこの『セキュリティ職人』」という記事が掲載された。セキュリティ人材が不足しており、どうやって足りないセキュリティ人材を育成・確保していくのかというテーマの記事である。

セキュリティ人材不足には、筆者も強い問題意識がある。情報セキュリティは筆者が担当する日経NETWORKでも最重要テーマの一つ。編集部で「情報セキュリティスペシャリスト試験」や「情報セキュリティマネジメント試験」の資格対策書籍を出していることもあって、セキュリティ人材の動向については注目している。ここでは“二番煎じ”と思いつつ、今一度このことについて考えてみたい。

この記事のタイトルは、前述の記事に異論があって付けたわけではない。記事の内容には納得した上で、「引っぱりだこなのは確かにそうだ。だが、それがセキュリティ人材の増加につながっていないのではないか」という問題意識が生まれたのだ。

足りないのはインシデント対応の人材

先日、あるセキュリティベンダーの幹部と雑談する機会があった。ビジネスの調子を尋ねると、「仕事はたくさんあるのに、人が足りない。ユーザーからの依頼を受けられない状態だ」とのこと。やっぱりセキュリティ人材が足りないんだと思いつつさらに聞くと、人不足で断っている依頼というのは、サイバー攻撃を受けた、あるいはサイバー攻撃の被害に遭ったユーザーからの、緊急対応の案件という。

立ち話でそれ以上の話を聞けず終わってしまったので、後日別のセキュリティベンダーの方に聞いてみた。同様の返答があり、業界全体でも不足しているようだ。

サイバー攻撃の脅威が急速に高まっており、セキュリティの事故対応（インシデントレスポンス）のニーズが拡大しているのは当然だ。トレンドマイクロによると、データを暗号化して解除費用を要求するランサム（身代金）ウエアの国内の法人での被害報告数は、2016年1～6月に前年同期比9倍となった。標的型攻撃の疑いがある通信は、2016年上半期に月平均59万件にも及ぶ。2015年の月平均の2倍以上だという。

ユーザーは実際に事故に直面すると、専門性の高い技術者を抱えるセキュリティベンダーに対応を依頼する。だが、どこのセキュリティベンダーでも事故対応の人材が足りない、というわけだ。

ユーザーからの依頼を断らなければならないほどのニーズがあるなら、事故対応人材を増やせば解決しそうだが、現実はそう簡単ではない。まず事故対応を採用しようにも適切なスキルレベルの人材が少ない。ここは増やそうにも増やせないが、ただ、別の側面もあると筆者は見る。

それは、セキュリティベンダーにとって、セキュリティ人材全体を積極的に増やさないという姿勢だ。ビジネスチャンスをみすみす棒に振るのかと思われるかもしれないが、セキュリティベンダーの幹部はそうした意向をにじませる。

「ユーザーの事故対応のニーズだけに合わせて（事故対応人材を含む）セキュリティ技術者は増やせない」。あるセキュリティベンダーの幹部はこう証言する。事故対応のニーズが急増する一方で、セキュリティ機器の導入や遠隔監視といった事故対応以外のニーズは、思ったほど増えていないのだという。

突発的に発生する事故対応よりも、セキュリティ機器の導入のほうが稼ぎは大きいし、遠隔監視のほうが恒常的に売り上げが立つ。セキュリティビジネスのパイ全体が増えない中、人材だけを増やして固定費を増やしてしまうのはリスクが大きい、ということだ。

日本でもセキュリティの意識が高まっているとは言われるが、投資は及び腰だ。数値がそれを物語る。米シスコシステムズが公開した「2016 セキュリティ成熟度ベンチマークレポート」によると、経営陣はセキュリティに高い優先順位を付けていると思うかという問いに、米国の回答者の68％が強く同意しているのに対して、日本の回答者は48％しか強く同意していない。「セキュリティ侵害が明らかになると、日本でも変化に対して前向きになるが、米国ほどは変化が進まない。これは、セキュリティへの投資を増やすことに経営陣が積極的ではないためと考えられる」としている。

言ってみれば、「セキュリティ人材は引っぱりだこのはずだが、実際には引っぱられる人材を増やそうにも増やせない」という状態になっているのではないか。このことが問題の本質だと捉えると、いくら専門性の高い人材が増えても、その受け入れ先となるセキュリティベンダーで断られることになってしまう。受け入れ先がないとなれば、そもそも人材が増えるはずもない。水面下では悪循環に陥りかねない状況が進んでいると筆者は見ている。

人材流動性を高める

こうした現状にあっては、セキュリティ人材の流動性を高めることが人材不足解消の近道に思える。高度なセキュリティ技術を持つ人材がセキュリティベンダーなど特定の企業に所属するのではなく、フリーや派遣社員などの立場で、必要なときに必要な企業を支援できるようにすることだ。

2016年10月24日に登録申請が始まった新しい国家資格、「情報処理安全確保支援士」制度には、セキュリティ技術者の流動性を高める狙いがある。資格取得者の登録情報を公開することで、セキュリティ専門技術者を求める企業や組織が質の高い人材を確保しやすくする。加えて、登録資格者に定期的な講習を義務付けることで、資格者のスキルレベルの維持を担保する。

現状では、実際にどのぐらいのセキュリティ技術者が支援士として登録するのか、登録者の増加が人材の流動性につながるのかは未知数だ。登録者を増やし、人材の流動性を高めるには、支援士にだけ独占業務を設けるなどの議論があってよいかもしれない。

高いスキルを持つ派遣人材の育成も、人材の流動性を高めるのには有効だろう。日本IBMとパソナは11月17日、セキュリティ人材を共同で育成すると発表した。教育コンテンツを共同で開発し、主にパソナの登録者を対象に人材を育成していくという。

ユーザーの経営者の意識を変える

もちろん流動性を高めるだけでなく、将来的には、ユーザー企業の内部に専門性の高いセキュリティ技術者が増えていくことも重要だ。セキュリティ対策が事故時の対応に集中するという状況は変わっていくべきだ。

国内でも重大な情報漏洩事故が相次ぐ中、経営者の意識は確実に変わってきている。セキュリティ対応の専門部署CSIRT（コンピュータ・セキュリティ・インシデント・レスポンス・チーム）を組織する企業も急速に増えている。この動きが今後加速していけば、セキュリティ人材は自ずと増えていくだろう。