セキュリティ人材の採用現場で起きている現実

今回は「セキュリティ人材の採用現場で起きている現実」についてご紹介します。

関連ワード （セキュリティ、企業セキュリティの歩き方等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティのスキルを向上させていくための視点やヒントを提示する。

　前回は、転職市場でのサイバーセキュリティのポジションや動向、セキュリティエンジニアのスキルやキャリアパスなど、筆者が重要だと思う点について述べた。この20年ほどのセキュリティ市場を見てきた筆者としては、この現状に対して思うところがたくさんあり、今回はセキュリティエンジニアの求人・採用の現場で起こっている実状を述べる。

　サイバーセキュリティという分野自体は古くからある。だが、この市場は、重要なシステムや情報資産を守るために外部の脅威から隔絶する「境界防御」の思想の時代が長かった。その結果、時間をかけてセキュリティ人材を育成することができず、その絶対数が足りていない。それにもかかわらず、人材の需要は急拡大してしまった。

　そもそも、実際のサイバー攻撃に対応した経験を持つ人材は、それほど多いわけではない。セキュリティ人材は育成にも時間がかかり、人材供給量の抜本的な増加は、今後も見込みづらい。セキュリティ人材の待遇が良くなったのはいいが、このいびつな需給状況が続いていることで、セキュリティ対策の現場ではいろいろと変なことが起こり始めている。

　セキュリティ業界の歴史の始まりには諸説あるだろうが、インターネットが普及し始めた1990年代半ばと考えるのが一般的だろう。その頃からインターネット経由で拡散するワームなどの不正プログラムが組織内のシステムに侵入して被害が発生する事態が多発した。

　その頃、セキュリティ対策は、ファイアウォールの導入などが中心だった。この対策は、外部の脅威から内部を守る「防御壁の構築」という性質が強く、サイバー攻撃の検知やインシデントの対応には、ほとんど直結しない。

　セキュリティ対策が高度になるにつれて、ファイアウォール自体の効果は限定的になったが、今でもそれなりに有効な防御方法だと言える。ただし、この方法は「壁を作ることで内部を安全に保つ」という防御思想に基づいているので、いったん「防御壁」を設置した後は、リプレースの時期まで放置される傾向が強かった。つまり、企業が一定のセキュリティ対策をしていることで油断してしまったということであり、別の言い方をすれば、対策の「アリバイ作り」にされてしまった。

　また、2000年代前半には、日本市場でも不正侵入検知／防御装置（IDS/IPS）などの仕組みがそれなりに普及していた。ただし、IDS/IPSはサイバー攻撃を検知するセンサーのような機能であり、そのセンサーのアラート運用に対応できる人材がユーザー企業はもちろん、ベンダーにもいなかった。

　その時代に「セキュリティ人材」と呼ばれていた人の多くは、セキュリティ対策製品をユーザー企業に導入するシステムプラットフォーム（IT基盤）の構築を主要業務とするエンジニアだった。2000年頃に創業したサイバーセキュリティ専業の老舗ベンダーといった特別な場合を除き、この時代のセキュリティエンジニアは、「IT基盤を構築するエンジニアでセキュリティ製品を導入している人」というのが実情だった。

　このような状況は、ITが普及している先進国の中では、日本だけに起きた特殊なものである。主に欧米の先進国は、ユーザー企業にシステム担当者だけでなくセキュリティの専任者もいることが一般的だった。そうしたエンジニアがごく少数しか存在しなかったのは日本だけであった。そのため、先進国の中で日本だけがセキュリティエンジニアの需要やその地位の向上に長い時間を要してしまった。