セキュリティ人材は、どうやって育てていけばよいのか。取材から分かった育成モデルは、知識習得と実務経験を繰り返してスパイラル型にスキルを向上させていくものだ(図3)。

図3●セキュリティ人材の育成モデル
図3●セキュリティ人材の育成モデル
「セキュリティ人材」が指す人材像は文脈で異なるが、育成が急務になっているのはセキュリティの基礎知識と実務経験を持った(1)の人材
[画像のクリックで拡大表示]

 前提条件として、開発や運用の知識と経験が必要となる。「セキュリティ人材は『実際の業務フローやコストを考慮して落としどころを見つける』という思考法が必要。開発や運用の現場を知らないと、非現実的なセキュリティ対策をやろうとしてしまう」(リクルートテクノロジーズ ITソリューション統括部 サイバーセキュリティエンジニアリング部 シニアマネジャーの鴨志田 昭輝氏)。一定の実務経験を積んだ若手、中堅の人材のうち、セキュリティに興味や関心がある人材が、セキュリティ人材としてのキャリアを積むのが一般的だ。

 セキュリティ人材は、身に付けたセキュリティスキルに応じて2段階ある。

 第1段階は、自身の業務に関連する基礎的なセキュリティ知識を身に付け、実務経験を積んだ「セキュリティ人材」である。セキュリティの専門家というよりも、別の専門を持ちながらセキュリティスキルを身に付けたIT人材といえる。セキュアなシステムの設計スキルを身に付けたSE、セキュアプログラミングを学習したプログラマー、インシデント対応の切り分けを実施する運用担当者といったものだ。

 第2段階はセキュリティの専門分野別の応用知識を身に付け、実務を経験した「上級セキュリティ人材」だ。セキュリティの専門家として活躍する人材となる。専門分野としては、ウイルスの解析やセキュリティ機器のログ分析、フォレンジック(サイバー攻撃の証拠を見つけること)、ペネトレーションテスト(システムに対して試験的な攻撃を仕掛けること)、監査などがある。

 ユーザー企業やSIベンダーでは、専門性の高い分野はセキュリティ企業に外注するケースが多い。また、上級セキュリティ人材を育成するには、前提としてセキュリティ人材がいないと話にならない。まずはセキュリティ人材を育成するのが、多くの現場での課題となる。

無償公開の資料をフル活用する

 ここではラックのシステム開発部門が実践している、セキュリティ人材の育成方法を紹介しよう。同社の永井英徳氏(システムサービス本部 公共システム統括部 第二サービス部 グループリーダー)は「開発プロジェクトに参加するメンバーには、初期段階にインターネットで無償公開されているセキュリティ関連資料を読んでもらうようにしている」と言う。