日経NETWORK編集長の森重 和春
日経NETWORK編集長の森重 和春

 つい先日、ITproに「引っぱりだこの『セキュリティ職人』」という記事が掲載された。セキュリティ人材が不足しており、どうやって足りないセキュリティ人材を育成・確保していくのかというテーマの記事である。

 セキュリティ人材不足には、筆者も強い問題意識がある。情報セキュリティは筆者が担当する日経NETWORKでも最重要テーマの一つ。編集部で「情報セキュリティスペシャリスト試験」や「情報セキュリティマネジメント試験」の資格対策書籍を出していることもあって、セキュリティ人材の動向については注目している。ここでは“二番煎じ”と思いつつ、今一度このことについて考えてみたい。

 この記事のタイトルは、前述の記事に異論があって付けたわけではない。記事の内容には納得した上で、「引っぱりだこなのは確かにそうだ。だが、それがセキュリティ人材の増加につながっていないのではないか」という問題意識が生まれたのだ。

足りないのはインシデント対応の人材

 先日、あるセキュリティベンダーの幹部と雑談する機会があった。ビジネスの調子を尋ねると、「仕事はたくさんあるのに、人が足りない。ユーザーからの依頼を受けられない状態だ」とのこと。やっぱりセキュリティ人材が足りないんだと思いつつさらに聞くと、人不足で断っている依頼というのは、サイバー攻撃を受けた、あるいはサイバー攻撃の被害に遭ったユーザーからの、緊急対応の案件という。

 立ち話でそれ以上の話を聞けず終わってしまったので、後日別のセキュリティベンダーの方に聞いてみた。同様の返答があり、業界全体でも不足しているようだ。

 サイバー攻撃の脅威が急速に高まっており、セキュリティの事故対応(インシデントレスポンス)のニーズが拡大しているのは当然だ。トレンドマイクロによると、データを暗号化して解除費用を要求するランサム(身代金)ウエアの国内の法人での被害報告数は、2016年1~6月に前年同期比9倍となった。標的型攻撃の疑いがある通信は、2016年上半期に月平均59万件にも及ぶ。2015年の月平均の2倍以上だという。

 ユーザーは実際に事故に直面すると、専門性の高い技術者を抱えるセキュリティベンダーに対応を依頼する。だが、どこのセキュリティベンダーでも事故対応の人材が足りない、というわけだ。