2019.11.20
# IoT

DX時代「セキュリティ人材」を持たない企業は死滅する

「7pay」をもう笑えない
松澤 伸一 プロフィール

育成方法がわからない…

では、セキュリティ人材、とりわけプラスセキュリティ人材を育成するにはどうすれば良いだろうか。それにはまず課題が大きく2つある。

1つ目の課題は、セキュリティ人材に必要なスキルセットが多様なことである。セキュリティ人材が関与する分野は益々広がっている。今から20年ほど前までは、セキュリティと言えばコンピュータのOSやネットワーク、いわゆるIT基盤において考慮すべきものが中心であった。その後、Web技術の発展とともに、アプリケーションプログラムの部分においてもセキュリティを考慮しなければならなくなった。

2005年頃、SQLインジェクションと呼ばれる攻撃方法が流行し、多数のWebサイトにおいてサイトの改ざんや情報漏洩が発生した。この様に、アプリケーションをどの様に実装すれば安全なのかといった点についてもセキュリティ人材は理解する必要がある。そして今では、これらに加えてデータやビジネスロジックなどの部分においても、セキュリティを考慮する必要が出てきている。例えば個人の購買履歴を分析し、マーケティングや商品開発等に活用するためには、個人情報の適切な取り扱い方に関する知識が不可欠である。

 

実際に対応できるか

2つ目の課題は、これが最大の課題なのだが、実際のサービス開発や運用の現場で本当に役に立つセキュリティ知識やスキルをどのように身に付けるかである。サイバー攻撃とは具体的にどの様なものなのか、目の前で発生したサイバー攻撃にどの様に対処すれば良いのか、知識として頭で理解するだけでなく、実際にインシデント対応などの現場を経験することによる実感として得られる経験値は非常に大きい。

攻撃者も常に自らの攻撃技術に磨きをかけているから、当初の想定とは全く異なることも起こる。過去の知識や経験だけでは不十分であり、対応する側も常に自らの知識や経験をアップデートしていく必要がある。しかし当然のことながら、いくら経験蓄積に繋がるといっても実際にサイバー攻撃など受けないに越したことはないし、また、なにより被害も受けずにOJTとなるような条件の整った都合の良いサイバー攻撃など、期待する方が無理というものである。

以上の課題を考慮すると、セキュリティ人材、特にプラスセキュリティ人材を育成するためのポイントは、(1)スキルの見える化と、(2)実体験による経験蓄積にあると言えるだろう。DX全盛時代においては、ユーザ企業のプラスセキュリティ人材が、IT企業のセキュリティ専門人材の力を借りながらも、自社のビジネスやサービスを「自ら守る」ことができるように、人材を育成し、配置することが重要ではないだろうか。

関連記事