サイバーセキュリティ人材不足を解消するには?




サイバーセキュリティ人材不足を解消するには?

皆様、こんにちは。はなくとです。
今回はここ数年、巷でよく耳にするセキュリティ人材不足の話について書いていきたいと思います。

今回の記事執筆にあたり、こちらの記事を参考にしています。
英語ですが興味のある方は読んでみてください。
https://www.entrepreneur.com/article/292410;

1. 背景

一体何故、サイバーセキュリティ人材が不足しているのでしょうか?背景を調べてみました。

1.1 データ量の増加

参考記事に下記の記載がありました。ビッグデータ、ゼタバイト時代と言われているように私たちが生み出すデータ量は日々増加しています。データが増加すると機密情報を狙った犯罪も増えていきます。しかし、データを守る人材は同様の速度で増えないため、相対的に状況は悪くなる一方のようです。

The talent shortage is real, and it might get worse before it gets better. As the amount of accessible data grows, data crime is becoming more pervasive.

1.2 ITシステムの利用状況の変化

別記事でも記載したように、セキュリティ対策はITシステムの利用状況の変化によって変化します。クラウドやIoT等、新しい技術や利用状況が変化するとその分野に対するセキュリティを考える必要があり、セキュリティエンジニアが対応すべき範囲も広がります。すると、新しい分野に対するセキュリティエンジニア数は、成熟した分野と比較するとどうしても少なくなり、人材が不足すると感じるのではないでしょうか。

2017年のセキュリティ動向について記載した記事です。過去のセキュリティ動向の変遷を簡単に紹介し、2017年ではどのようなトレンドとなっているかを記載しています。

1.3 セキュリティ対策の複雑さ

はなくとが個人的に考えているのは、現在のセキュリティ対策が複雑になっているからではないか?ということです。現在のセキュリティ対策は昔よりも考える量が多くなっています。それらの対策を統合し、システム全体のセキュリティを設計できるアーキテクトの役割を担う人材が重要と考えています。しかしながら、このような高度な人材の絶対数は少ないのが実情ではないでしょうか?質量ともに人材が不足しているのだと考えています。

2. 人材不足解消の施策

それではここからどのようにして人材不足を解消していくか述べてみたいと思います。

2.1 キャリアパスの明確化

セキュリティに興味はあるけど、どうやったらなれるのか分からない若手エンジニアも多いと思います。また、セキュリティエンジニアになったとしても、その後のキャリアパスが明確でないと不安を抱き、参入が難しく感じるのではないでしょうか?そのような人達向けへのアプローチです。

ちなみにセキュリティエンジニアの役割を分類し、それぞれの役割に必要な知識を記載したSecBokというスキルマップがあります。興味のある方は是非参照してみてください。JNSAというNPO団体が発行しています。また機会があれば紹介したいと思います。

http://www.jnsa.org/result/2017/skillmap/index.html

2.2 教育

①セキュリティコンテストへの参加

SECCONやCTF等のコンテストへの参加を促し、セキュリティへの興味を持ってもらったりスキルの底上げを図ります。

②人材育成プログラムへの参加

IPAを始めとする各種団体が主催しているサーバーセキュリティ人材育成プログラムに参加し、体系的にセキュリティに関する知識を身に付けます。

③技術移転

組織内のセキュリティに詳しい人材がその他メンバーを教育するという考え方です。ある程度の基礎力があれば、セキュリティ未経験でもとっかかりはいいと思います。はなくともインフラSEから転身しましたが、新人時代のように新しい知識をどんどん吸収できて非常に楽しかったです。セキュリティを勉強したい希望者がいることが前提ですが。。。

2.3 SECaasの利用

人が足りないなら思い切ってSECaaS(Security as a Service)を利用してしまえ!という考え方です。人材育成の時間も不要で、手っ取り早く人材不足を解消する方法です。と書いてみましたが、現在のSECaaSの状況について勉強不足なので別の機会にきちんと紹介したいと思います。本当に課題はないのかな?

3. 所感

サイバーセキュリティ人材が不足していることは、官民問わず共通認識となってきました。特に日本は2020年の東京オリンピックを控えて危機感を募らせていると思います。一方でセキュリティエンジニアになりたい、というエンジニアの声もよく見かけるので、セキュリティエンジニアへの転身希望者は多いのでは?と思ってます。ただし、未経験の人材育成は時間がかかるため、時間に余裕があれば人材育成、無ければSECaaSの利用と割り切ることも必要かもしれません。

P.S

1つの記事を書くと関連する内容や補足する記事が全く足りてないことに気づきました。早くブログの内容を充実させねば。。とこたつの中で思っている次第です。

おしまい




★シェアはこちらです★

    error: Content is protected !!