職業としてのセキュリティ–セキュリティを「もうかる仕事」に変えた経産省のファインプレー

今回は「職業としてのセキュリティ–セキュリティを「もうかる仕事」に変えた経産省のファインプレー」についてご紹介します。

関連ワード (セキュリティ、企業セキュリティの歩き方等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 前回まで、高度化・巧妙化するサイバー攻撃の脅威に対して防御側は、その検知ができなくなり、それを覆すために高度な検知機能を持つさまざまなセキュリティ製品を導入したこと。また、それらを使いこなせるリソースがユーザー企業にもベンダーにも乏しく、セキュリティを向上できなかった経緯を述べてきた。

 その結果、せっかくコストをかけて導入したセキュリティ製品を十分に活用できない状況が10年以上も続いた。しかし、2023年現在では、このような状況が皆無とは言わないまでも、かなり改善された。今回は、状況の変化をもたらした政府の「サイバーセキュリティ経営ガイドライン」の公開やその後の状況について述べていく。

 「IT人材やセキュリティ人材が足りない」というアナウンスがしばしなされる。その中でも筆者の記憶に新しいのは、2016年に経済産業省(経産省)が明らかにした「セキュリティ人材が2020年に20万人(資料によると正確には19万3000人)不足する」(資料PDF)というものだ。

 2016年時点で、既に2020年の東京五輪開催が決まっていた。そしてこのアナウンスは、リオデジャネイロ五輪が閉幕した時期と重なる。もちろん、東京五輪はコロナ禍で2021年に延期されたが、ここではあまり関係がない。ポイントは、五輪開催時にどうしても多くなるサイバー攻撃について、その時点で政府が日本のセキュリティ人材や技術者の数では対応できないと発表したということだ。

 五輪のような巨大なイベントは世界中から注目が集まる。そして、そういう時には攻撃者のメリットも高まることが多い。もし、サイバー攻撃で五輪の開催に問題が発生すれば、日本政府の面目にかかわり、場合によっては、人命を含む多くの被害も出る。そのため、絶対に失敗できない政府は、リオデジャネイロ五輪が終わったタイミングで、既に人材が足りない状況であり、かつ「猶予があと4年しかない」と問題提起したのだろう。

 幸いなことに、結果的にセキュリティ担当者や関係各所の皆さんの尽力もあって、東京五輪ではサイバー攻撃に起因する大きな問題や不具合がほとんど発生しなかった。もちろん、見えない部分ではいろいろな問題が起きただろう。しかし、それが大きな問題とならなかったのだから、きちんと対応された成果なのだとも思う。

 しかし、その事実とは別に、この「セキュリティ人材が足りない」という事前の問題提起に対する、当のセキュリティ業界での反応は少々意外なものだった。それは、「育成したセキュリティ人材のキャリアパスをどうするか。それを議論すべきだ」というものだ。

 この話を聞いて、納得感が得られたという人は少ないだろう。なぜなら、人材不足なら仕事がたくさんあるはずで、その分野の技術者を増やせば問題解決になると考えるのが自然だからだ。特にセキュリティ人材がITの各分野の中でも、特に高度な人材としてもてはやされる現状からすると、そのような人材のキャリアパスが論点となることに違和感しかない。

 しかし、実は筆者も当時同じ危機感を持っていた。現実問題として、IT業界の中でもセキュリティ人材は長年にわたって不遇の時代が続いていたからだ。なぜなら、企業経営者などからは「セキュリティなんぞに幾らお金をかけてももうからない。無用なものだ」とされ、育成や活用も進まなかったからだ。

 しかも、これは暴論などではなく、企業経営者にとっては非常に全うな意見であり、正論でもある。もしサイバー攻撃が、ごく一部の運の悪い人だけに起こる現象であったなら、それは正しい。その仮定が正しければ、ほとんどの場合、対策にお金をかけるのは無駄なのだ。

 そのため、当時はよほどの大企業かウェブサービス事業者などでなければ、社内に大勢のセキュリティ技術者を雇用するような状況がほとんど見られなかった。また、セキュリティベンダーであっても、その状況が大きくは違わなかった。企業側に買う意思がなければビジネスにならないからだ。セキュリティ業界は、標的型攻撃に代表されるインシデントの発生などで徐々に拡大してきたものの、あくまで特殊枠のような扱いだった。

 つまりセキュリティ業界は、2010年代半ばまで、大きなITの中の1つの特殊な分野にとどまっていたのだ。だから政府が「2020年に20万人のセキュリティ人材が不足する」と言っても、セキュリティ業界では、育成された人材によって業界が一気に拡大するという楽観的な予想をしていた人がほとんどいなかった。

元記事: https://japan.zdnet.com/article/35203610/
IT関連 #セキュリティ #企業セキュリティの歩き方

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
富士通の2023年度上期決算に見る「Fujitsu Uvance」の2つの課題
IT関連
2023-10-28 23:05
花王グループとウイングアーク、「感染対策プラットフォーム」の開発で協業
IT関連
2022-12-09 01:34
中国の写真加工アプリ「Meitu」が43.4億円相当の仮想通貨を購入
ブロックチェーン
2021-03-09 06:15
信州大とNEC、バスケチームの試合でデータ分析・活用を実証
IT関連
2023-01-12 05:22
HashiCorp共同創業者M・ハシモト氏、退職を明らかに
IT関連
2023-12-16 11:34
火星で初飛行に成功、NASAの小型ヘリコプターを支えるオープンソースソフトウェア
IT関連
2021-04-22 02:39
SUSE、筆頭株主の意向により上場廃止し、長期的戦略の実行に集中へ
Linux
2023-08-21 18:08
中国で監視を強化する企業にネットユーザーが反発、その背景にあるもの
IT関連
2022-02-26 17:02
Excel世界大会も登場、今改めて考える「eスポーツとは何か」 (1/3 ページ)
くわしく
2021-06-29 06:30
オラクル、次期Oracleデータベースの開発者向け無償版「Oracle Database 23c Free – Developer Release」提供開始。JavaScriptストアドプロシージャなど
Oracle
2023-04-06 11:52
セイコーエプソン、EDIクラウドの採用で業務やITシステムを標準化
IT関連
2024-03-22 05:42
フジテック、保守現場にスマートグラス導入–情シス部門と密に連携
IT関連
2022-11-20 14:59
繰り返し使えるシート型ストロー、老舗醸造所が発売 小学生の娘の自由研究から誕生
くらテク
2021-06-10 20:27
子供の「発熱」前日に予測 体温センサー活用しデータ解析
IT関連
2021-05-26 05:31