【日立ソリューションズ×NEC×GSX(後編)】 セキュリティ人財がサステナブルな未来をつくる
セキュリティのエバンジェリスト(GSX:和田氏、NEC:園田氏、日立ソリューションズ:米光氏)による座談会の第2弾。 前回は「セキュリティ人財の重要性や社会的役割」についての議論が交わされた。 続編となる今回のテーマは「セキュリティ人財の育成」。 セキュリティ人財は今、社会的にも注目されているが育成という観点では多くの課題が山積している。 各社の取り組みや成果から未来のセキュリティ人財にかける想いやビジョンまで、自由に語ってもらった。
園田:現状でいうと、まず人財不足は否定できないですよね。前回のテーマでも申し上げた通り、「経営と現場という両方の視点を持つセキュリティの専門家」となると数はかなり少ないように思います。学生の頃からセキュリティを学んでいるネイティブ人財と、そうでない人とでは、スキル面でのギャップも広がりつつあります。セキュリティは詳しいけれど、システム開発は未経験という人も増えているようで、教育の幅を広げていく必要性を感じることが増えてきました。
和田:たしかに、この20年間でセキュリティを学ぶ機会は格段に増えました。しかし、学習費用や時間を考えると、学ぶ余裕がない人や組織が多いのも現実かもしれません。また、前回のテーマでも触れたように、いくら機会があってもモチベーションが明確になっていないと、人は育たないと思います。教育を受ける人には、セキュリティを学ぶ意義を自分ごと化するために、企業や組織におけるセキュリティ人財の役割を定義して、教育の費用対効果を理解してもらう。その結果、教育を受ける人とその上司・経営層等関係者の、それぞれのモチベーションを喚起することこそが大事だと思っています。
米光:そうですね。良くも悪くも一過性の熱のようなものはなくなったように感じています。2010年頃に「サイバーセキュリティ基本法」の成立を含めた一連の動きが活発になり、注目を浴びることがありました。その一方、「誰が」「何のために」「どのような」人財を育てるべきかといったことが議論されないまま、教育プログラムが開発されてきた実態もありますよね。このままで良いのだろうか、と疑問を抱いている専門家は少なくないように思います。
園田:そうですね。セキュリティ人財の育成における課題はあるものの、経営者のセキュリティ対策の認知は高まっているように思いませんか。前回、「セキュリティ専門家と一般企業の方々との感度に違い」があると述べましたが、経営者にフォーカスを当てると、セキュリティの感度は総じて高まってきているように感じます。
和田:それは私も思います。セキュリティ領域にコストをかける企業は以前に比べて増えてきました。だからこそ、そのコストが無駄にならないように、セキュリティ人財の育成を改めて見つめ直す必要があると思うんです。
園田:私は全社的なセキュリティリテラシー向上のほか、社会貢献活動も含めて、学生向けのセキュリティ啓発活動を行っています。富士通さんと日立さんと弊社が協働で公開した「統合セキュリティ人材モデル」の開発にも携わってきました。三社三様の考えがあって難航したところもありますが、人財育成の観点も踏まえて、広く社会に役立てられれば良いなと思っております。
和田:私個人というよりGSXの事業と重複しますが、ユーザー企業へのセキュリティ教育のコンサルティングやIT企業へのセキュリティ人財教育やサービス立ち上げの支援など、幅広く活動しています。
米光:私は社内のホワイトハッカーを育成すべく、グループ全体での認定制度の設立や社内のセキュリティコンテストの開催など、さまざまな活動を行っています。以前は、「ホワイトハッカー」と自分で言うことに、気後れしてしまう部分もありました。周囲から「セキュリティのプロとして頼れる、カッコいい人たち」というイメージを持ってもらえているようで、最近、認識が変わりました。憧れというとオーバーかもしれませんが、多くの人に認めてもらえるポジションを確立させていくことが、セキュリティ人財の育成にもプラスに作用すると思うので、これからもそういったムードを作っていきたいですね。
園田:なるほど。そういったイメージやムードをつくっていくことは、とても重要ですよね。私も人財育成の観点でいかに「自分ごと化」してもらうかが大事だと意識しています。企業のセキュリティインシデントと聞いたところで、なじみのない人はどうしても抽象的な出来事として捉えてしまいがちです。具体的な話をするように心がけたり、実際にプロジェクトのセキュリティの責任者の立場での経験をしてもらったりすることも効果的だと思います。
和田:そうですね。当たり前ですが、スキルを身に付けてからではなく、現場で実務経験をしながら学んでいった方が、育成という意味では断然早い。そういった機会を適切に提供していけるようなマネジメントも、これからの人財育成には必要でしょうね。
米光:これからのセキュリティ人財においては、国・社会・企業を守る「トップセキュリティエンジニア」と、国内外のセキュリティ製品を上手く使いこなして、安全に運用できる「セキュリティコンサルタント」の二極化が進んでいくように考えています。どちらが優れているというわけではなく、社会のニーズと自身の興味を照らし合わせながら、より良いキャリアを選んでいけるようになると思いますね。
園田:そうですね、私も社会的に求められる役割が変わっていくだろうと思います。それと同時に、個人的には「マネジメント」と「技術」の両立、つまり二刀流の人財が増えていくと考えています。繰り返しになりますが、「経営」を含めた全体方針を考えつつ、現場やセキュリティの観点を持つ人が活躍できるようになるでしょうね。
和田:私も同じように、経営レベルのリスクマネジメントの視点でセキュリティについても事業責任者や経営者と話ができるようになると、セキュリティ人財の将来性はかなり広がっていくように思っています。CISO(Chief Information Security Officer:最高情報セキュリティ責任者)やCRO(Chief Risk Officer:最高リスク管理責任者)といったポジションを目指していけば、キャリアとしても末永く活躍できるフィールドがあるでしょう。もしくは、セキュリティの最先端技術を極めていく道も、特に若い人は興味があるかもしれませんね。海外の天才と渡り合えるような貴重な人財が増えてきてくれたら嬉しく思います。
和田:セキュリティの分野は「何かあったら重大事件」である一方、「何事もないのが当たり前」とされがちな世界で、評価されにくい傾向は否めません。世界全体で、セキュリティに取り組むことがプラスに評価されるようになると良いなと考えています。また、セキュリティの技術は犯罪に悪用される可能性もありますが、セキュリティ人財に対しては、「人々や社会を守る正義の味方」というような、みんなの憧れのイメージを作り上げられたらと願っています。
園田:私もそういったイメージ作りは非常に大切だと思います。日本はまだ外国に比べて遅れている感じがしますね。アメリでは、セキュリティ人財の名前が広く知られていて、憧れのような存在で、年収も高い。日本においても、最近やっと、セキュリティのトップガンと呼ばれるようなキーマンが、メディアで紹介されるようになってきました。このような方が増えていくと、未来のセキュリティ人財に明るいビジョンを期待できると思いますね。
米光:未来のセキュリティ人財を育成していくためにも、我々の日々の仕事や活動を通じて、多くの方々から「セキュリティの仕事はカッコいい」と思ってもらえるように、努力していきましょう。
本記事のシェアはこちらから