情報セキュリティに関しては様々な教育コンテンツやトレーニングサービスが提供されています。そのほとんどが「セキュリティ専門家を育成する」ことを目的にしています。ところが、これまでに書いてきましたように「セキュリティ専門家」はそれほど必要とされていないのです。

 言い換えれば、セキュリティ専門家は必要とされていないのではなくて、セキュリティ専門家は必要とされるべきなのに、セキュリティ専門家を必要とすべき情報統括責任者や経営層が不足しているということなのです。このことを勘違いして「セキュリティ対策が進まないのはセキュリティ専門家が不足しているからだ」という誤った施策を講じてしまうのです。

 従って、これから講じるべき施策は「情報セキュリティ人材を活用する人材の育成」なのです。日本にはそもそもCIO(chief information officer)が決定的に不足しています。本来であればCIOがこのような役割を果たすはずです。情報そのものを戦略的に生かすためにはセキュリティについても同時に考慮する必要があり、それにはセキュリティ専門家を活用して効果的な対策を講じつつ、コストや利便性のバランスを実現していくのです。

 CIOがいない状態で、セキュリティ技術者を育成することは順番が間違っていて、しかもせっかく育成した人材が活用されることがないのです。

 今、不足しているのはセキュリティ技術者そのものよりも、脆弱性を作りこまないことを意識して各開発工程に適切なセキュリティ対策の要素を取り込むプロジェクト・マネージャーやシステムエンジニア、コードに脆弱性を作りこまないプログラマー、そしてそのような体制を構築、推進する経営層なのです。

 つまり、新たな人材の創出よりも先に、既存の人材に教育を施す必要があるのです。しかし、ここでも勘違いが生じがちなのが、「情報セキュリティの基礎」をカリキュラムにしてしまうことなのです。そうではなくて、情報セキュリティを自分の仕事の中でどのように取り組めばいいのか、を教えなければいけないのです。

 例えば、システムの調達を行うシステム企画の担当者であれば、調達仕様におけるセキュリティ要件の書き込み方について教育すればいいのです。プロジェクト・マネージャーやシステムエンジニア向けには、安全なシステムの構築に必要な設計、開発、テストの工程で具体的にどのように対策を講じたり管理をすればいいのかをカリキュラムのメインにする必要があります。

 脆弱性の仕組みや、攻撃・防御の仕組みというような科目は、要素に過ぎず、肝心なことは各自の担当している業務にどのようにセキュリティを取り込むかを教えなければいけないのです。

 そして、その中では必ずセキュリティ専門家が必要とされ、そのセキュリティ専門家とどのように付き合っていくのかを教えなければいけません。設計工程におけるセキュリティ監査、開発工程におけるソースコード診断、テスト工程における脆弱性監査、運用時におけるセキュリティ監視など、セキュリティ専門家が活躍するシーンは多くあるはずなのです。

 また、新人教育、中途採用者教育、スキルアップのための教育などにもセキュリティの基礎知識を提供しなければいけないシーンもありますが、このことが必要であることとどのように取り組めばいいのかを人事教育担当者に教育しなければならないのです。

 つまり、既存の業務を理解しつつ、それぞれの立場の責任者や担当者に的確にアドバイスや教育を提供できる(情報セキュリティ対策の活動のきっかけになる)情報セキュリティ人材が最も必要なのです。しかしながら、そのような人材はほとんど見かけることはありません。

 「情報セキュリティ対策が進まない」と嘆くばかりではなく、なぜそうなっているのか、という仕組みについて考えてみてはどうでしょうか。