第15回 2016年に考えたい5つのセキュリティ課題(後編):日本型セキュリティの現実と理想(3/3 ページ)
長年セキュリティマーケターとして、セキュリティのさまざまな事象の変化を見てきた。2016年に考えたいセキュリティ分野の課題から、今回は頭を悩ませることになりそうな3つの課題をピックアップする。
課題5:新国立競技場の定員の3倍が必要なセキュリティ人材
最後の課題は人材育成だ。昔から言われ続けて全く解決していないものの、ここ数年でようやく課題として取り上げられるようになった。その理由は簡単だ。アンチウイルスやファイアウォールを導入して初期設定のままでもそれなりに機能していた時代とは異なり、現在はセキュリティが保たれていることを確認しながら「セキュリティ運用」をする必要性が高まっているからである。製品導入でなんとかなるならセキュリティ人材を必要としないが、運用には多くのセキュリティ人材が必要になる。
最近は、政府などでもセキュリティ人材の不足が叫ばれている。その発端と根拠になったのは2012年に行われた情報処理推進機構(IPA)による「情報セキュリティ人材の育成に関する基礎調査」の報告だろう。
これによると、企業における情報セキュリティ人材は推計23万人いる。2.2万人が不足しているということだ。しかし、この調査の推計では従業員100人未満の事業者が除かれていた。それに、情報セキュリティ人材がいない企業が考慮されていないということもあり、2014年7月に追加分析(PDF)が行われた。この追加調査で大きく数値とその印象が大きく変わった。
- 国内の情報セキュリティ人材は26.5万人
- 26.5万人のうち16万人はスキル不足
- 新規に8万人の情報セキュリティ人材が必要
上記から勘案すると、国内でスキルが充足している情報セキュリティ技術者は10.5万人(=26.5万−16万人)しかいない。スキル不足の技術者と新規の技術者、つまり育成しなければならない情報セキュリティ技術者は24万人(16万人+8万人)であり、新国立競技場が3回満席になるほどの大量の情報セキュリティ人材の育成が必要になるということだ。
しかも、この数字以上に現実は厳しい。当初の分析と追加分析による情報セキュリティ人材の不足数が2.2万人から24万人へと20万人(10倍)以上も増加しているということは、「情報セキュリティ人材の定義」が非常にあいまいという事実を示していると思われる。IT人材白書に定義されているIT人材全体の数は100万人程度であり、これではIT業界の20%以上が情報セキュリティに関わる人材ということになる。個人的な感覚だが、さすがにこれほど多くの情報セキュリティ関連技術者がいるとは思えない。
とはいえ、情報セキュリティ人材が不足していること自体は否定できないだろう。この流れを受けて政府の組織や各企業がそれぞれに人材育成を積極的に推進するようになればよかったが、セキュリティ業界を見ているとそうはなっていないようだ。むしろ、限られたセキュリティ人材の争奪戦が始まっており、セキュリティ技術者へ高額報酬での移籍例が多く見受けられる。引き抜かれた人材の穴埋めに、また別の企業から移籍という様相もしばしば見られ、「情報セキュリティ人材バブル」と言っても過言ではない状況だ。少なくとも現状では人材不足が時間とコストのかかる人材育成には向かわず、ビジネスチャンスとして見られているのだろう。
この流れで「セキュリティ技術は稼げる」と認知され、自ずと高度なセキュリティ技術者の増えることなれば、現状の争奪戦は通過儀礼的に意義あるものになる。しかし、一過性のブームとして終わってしまうと、不足している情報キュリティ人材の育成は非常に難しくなるだろう。
情報セキュリティ人材とは、正確には「情報セキュリティを含む広範な知識を持っているIT人材」といった方がいいと思われる。広範な知識を持たずに攻撃手法やマルウェアの挙動だけを知っていても、攻撃を防ぐことはできない。だからこそ、情報セキュリティ人材はプログラマーなどの一般のIT人材よりもさらに育成が難しく、多くの時間も掛かる。
これら全てが2016年に現実の大きなトピックになるとは言い切れないが、潜在的な問題や根本的な問題なので、必ずどこかのタイミングでこれらの課題が顕在化することは確実だと考えている。読者の皆さんには、2016年のセキュリティ関連の事件や事故を見るときに本稿を頭の片隅にでも置いていただければ幸いである。
武田一城(たけだ かずしろ) 株式会社日立ソリューションズ
1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。
- TechTarget連載:今、理解しておきたい「学校IT化の現実」/失敗しない「学校IT製品」の選び方
- 著書「内部不正対策 14の論点」(共著、JNSA/組織で働く人間が引き起こす不正・事項対応WG)
関連記事
- 第14回 2016年に考えたい5つのセキュリティ課題(前編)
セキュリティの環境は日々脅威が高まり、さまざまな事件や事故が起きている。長年セキュリティマーケターとしてこうした事象の変化を見てきたが、たくさんあるセキュリティ分野の課題から、5つの課題をピックアップしてみたい(今回はまず2つです)。 - ランサムウェア対策の注意点は?
2015年を通じてランサムウェアに関する相談が目立つことから、IPAが対策での注意事項を解説している。 - マイナンバーのセキュリティ対策 面倒な事態を避けるには?
これから社内で取り扱っていくマイナンバーという“新しい情報”ではセキュリティが重要だといわれる。システム管理者や経営者はどう向き合えばいいのかを解説しよう。 - 企業のマイナンバー対応、セキュリティに不安な実態判明
自社からのマイナンバーの漏えいを心配する声が目立つが、IT部門が対応するケースは4%ほどしかなく、セキュリティ対策もあまり進んでいないことが分かった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.