数年前までは、「セキュリティ技術者が足りない」「早急にセキュリティ技術者を養成しなければならない」などと声高に騒がれていました。そのころから、私は「セキュリティ技術者は足りないわけではない。足りないのはニーズだ。」と言い続けてきました。
最近では「セキュリティ技術者不足論」はあまり聞かれなくなりました。それどころか、セキュリティ業界にいた技術者がネットワーク関連の技術者としてどんどん流出している現場を見るようになりました。
特に、大手のSI業者では、セキュリティ事業部が実質からっぽになってしまい、セキュリティ技術者やコンサルタントの多くがデータセンター関連の事業部に流れているようです。ある方は「情報セキュリティは斜陽産業だ」と言っていましたが、まさにそのような状況にあります。
専門職としてのセキュリティ専門家に求められる資質は、以下に挙げられるようにとても高いものです。
- 高い技術力がある
- 信頼できる人柄で人脈がある
- システム開発や運用の様々な現場の状況が把握できる
しかし、このような貴重で優秀な人材が育つような環境にセキュリティ業界があるかと言えば、そのようなことはありません。IT業界を敬遠する学生が多くなる一方で、セキュリティ専門家になってシステムを守りたいという夢を持った学生もいるのですから、我々大人がその職場作り、社会的地位の確立に努めなければいけないと考えています。
これまでのセキュリティバブル時代とも言える「セキュリティはこれから伸びる分野だ」との考えが一転して「セキュリティは儲からない」と言って去っていくヒトたちがいる状況は、むしろホンモノが残るチャンスであると考えています。今こそホンモノのセキュリティ専門家が「なるべき姿」を示すときではないでしょうか。
例えば、コンサルタントは経営感覚を持てるように勉強し、高度セキュリティ技術者を目指す技術者はOSや言語の基礎から勉強し直す必要があるでしょう。一方で、技術者にもコンサルタントにも言える必須の経験は、システム開発経験やシステム運用の経験です。これらのない専門家ではCIOやネットワーク運用技術者の猛者と対等にやりあうことはできないでしょう。
腕を磨くのも必要ですが、「認められるヒト」になるための努力も必要です。セキュリティの理論を振りかざして利便性やコスト、生産性を犠牲にするような発言ばかりでは尊敬を集めることはできないでしょう。
例えば、ユーザー部門で必要、尊敬される存在になるには、インシデント対応が適切に行えるかがキーになると考えています。事後だけでなく、予兆をつかんで事前の対処ができることにより、経営者にも認められ現場にも尊敬される存在になるのではないでしょうか。
社会人として仕事をするからには「感謝されること」が自分自身にとって一番のモチベーションになりますが、事前の防止策ばかりに力を注いでいては自己実現は難しいのです。インシデントと隣り合わせに身を削ることにより、存在が認められるようになると思います。
そのような「活躍」の積み重ねが社会的地位の確立にもつながっていくのではないでしょうか。
