最近、情報セキュリティに関する人材育成について尋ねられる機会がありました。
情報セキュリティにおいて人材が不足しているということは昔から言われていました。そして、その時々で「こういう人材が足りない」という人材像は変化してきています。
求められる人材像には、世相や事件・事故が強く反映されています。例えば、政府サイトを中心としたホームページの大規模な改ざんや、ワームで社内ネットワークやインターネットがまひするなどの事件が起きた2000~2001年頃には、技術に強い人材が「不足している」とされました。企業には、セキュリティに詳しい“守り神”のようなシステム管理者が必要であるとされたのです。従ってそのときに提唱されていた教育プログラムは主に技術系に偏っていました。セキュリティポリシーというものが定着し始めたのも、この頃でした。そのセキュリティポリシーもウイルスやハッカー対策に重点が置かれていました。
その後、個人情報保護の機運が急速に高まり、個人情報漏洩が事件として大きくマスコミに取り上げられました。その頃には、情報セキュリティマネジメントが重要であるとされ、PDCA(plan do check action)が金科玉条のごとくセキュリティセミナーで語られたものでした。
ここで気を付けなければいけないことは、「足りないと言っているのは誰か」ということなのです。足りないという情報セキュリティに関わる人材は果たしてどこに必要だったのでしょうか。政府でしょうか。情報セキュリティ産業の会社でしょうか。それともユーザー企業でしょうか。
例えば情報セキュリティ産業が栄えると思い込んで会社や事業部を作ったところ、コンサルティングや技術者がいなくて仕事にならず、それをもって「情報セキュリティ人材の育成に困窮している」という会社は、以前、多くありました。ところが、情報セキュリティについて脅威への対応を迫られている主体であるユーザー企業(あるいは政府組織)からは、「情報セキュリティの専門家が社内にいなくて困る」という話を、ほとんど聞いたことがありません。それどころか、ユーザー企業の中にはセキュリティ対策疲れが出てきています。いや、セキュリティ対策疲れが出ているならまだしも、それを通り越してセキュリティ対策予算の削減により担当者もいなくなった、という会社さえも珍しくなくなってきました。
「セキュリティは面倒なもの」「できればやりたくない」「これ以上予算を掛けられない、むしろ効率化を進めてコストを削減できないのか」と考えるのは経営者としてはごく当たり前の考え方です。これは自分が経営者になれば分かることです。私も上場企業の社長を務めたことがありますが、いつも頭の中には売り上げや利益のことがあり、コストはマイナス要因であり削減対象でした。
ユーザー企業の状況が変わってきていることを受けて、当然、求められる人材はセキュリティ産業、ユーザー企業ともに変わってきています。それを受けて、次回は、今、求められる情報セキュリティ人材像について考察してみたいと思います。
