2016年2月16日

2016年2月16日

2016年2月16日(火)

セキュリティ大好き。大切なのは「きっかけ」づくり。

 国際電子ビジネス専門学校 情報スペシャリスト科4年
 高山 真緒

 
 最近、一般のニュースでも情報セキュリティ人材が〇万人不足、というような話題がよく聞かれるようになりましたが、ITを学ぶ学生の目線から情報セキュリティの人材不足について考えてみました。
 
 私はセキュリティが大好きです。将来もセキュリティに関係する仕事ができればいいと思っていますが、実はそう感じるようになったのはつい最近のことです。きっかけは興味本位でHardeningに参加したことでした。
 イベントの参加者は基本的に現役のエンジニアの方々で、そこに紛れこむようにして参加させていただきましたが、当然のことながら自分の知識不足や技術力不足を痛感させられました。でもこのイベントで得た物はそれだけでなく、「自発的に行動することの楽しさと勉強への姿勢」も得る事が出来ました。
 
 今まではテストが近いから、資格試験が近いからという理由でしか勉強をしてきませんでした。学校で習っていることも何をしているのか意味のわからない事もあるし、将来どのような形で役に立つのかもイメージがわかなかったので、正直、学校の勉強、情報系の勉強はあまりすきではありませんでした。
 しかし、学外での様々なイベントや競技に参加することで、今まで勉強していたことがどこでどう役に立つのかを理解することができました。
 
 もともと、私が情報系の勉強をしたい!と思ったきっかけは、黒い画面に向かってカチャカチャとよくわからないことをしている姿がかっこいい、私もかっこよくなりたい、という単純な理由でしたが、今ではそれを仕事にしたいと思えるほど好きになることができました。
 また、様々なイベントを通して、それまで「難しそう」「敷居が高い」と思っていたセキュリティという分野にも一歩踏み出すことができたと実感しています。
 
 こういう風に言うと、イベントに参加すればいいじゃん、イベント沢山やったらいいじゃん。という様に聞こえますが、そういうことではなく一人一人にとって何か「きっかけ」になることがある事が大切で、そうすれば情報セキュリティを好きになって目指す人も増えるのでは無いかと思います。
 私の場合は、Hardeningに参加した時の自分の知識不足や技術力不足が悔しかったというのがきっかけになって、勉強するようになって情報セキュリティを好きになりました。そんな風にみんなにとっての「きっかけ」が大切なのだとおもいます。
 私の周りでは、「セキュリティは難しい」「敷居が高い」という印象を持っている友人は少なくはありません。「パソコンを使って何かする仕事」ということ自体が難しいと感じる友人がほとんどです。このイメージをどう覆すか、好きになる「きっかけ」をどうつくれるかが、人材不足を解消するための大きな手がかりとなるのでは思います。
 
 学生生活もあとわずかになりましたが、誰かのきっかけになればと言う思いもあり、学内でHardening部を立ち上げました。派手で大きなイベントは注目が集まりますが、大切なのは学生でも社会人でも一人一人が出来る範囲で何かに取り組んでいく。その姿勢なのではないかと思います。 

 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。

2016年2月16日(火)

安心という妄想を捨てて、セキュリティ人材に光を。

エヌ・ティ・ティ・ソフトウェア株式会社 主任エンジニア
武井 滋紀

    
 武井と申します。NTTソフトウェア株式会社でセキュリティ関連の部署にいます。その他に、日本セキュリティオペレーション事業者協議会(以下、ISOG-J)の「あさまでSOC」プロジェクトのリーダーをしています。
 今回はISOG-Jで発表したセキュリティ問診票「やられたかな?その前に」やInternet Week 2015での発表に関連して、「人材の不足についてひとこと言いたい!」という内容です(統計の*万人云々とはちょっと違います)。
 
 会社において、何も起きないことが前提で「まさか自分に起こるまい」という「安心」の妄想を持ち続けてしまっていると、いざ何か起きた時に拒否反応がでます。
 セキュリティ人材は何かを見つけるための存在です。何かが起きないように手を打ち続ける存在です。そして頑張っても会社の利益が上がらない存在です。
 
 Internet Week 2015では、「150分でわかるセキュリティ対応ができる組織にする10のコツ」という題目でセッションを持ちました(発表資料も一般公開されます)。その中に解決のヒントがあると考えています。
 
・適切な権限を与えよ:何かを見つけて手を打つための権限や予算を与えてください
・できる事をやろう:組織の規模に応じてやるべき事に注力してください
・メンバーは量より質を重視せよ:人材に十分な教育の時間と予算を与えてください
 
 日本の組織では希少かつ需要のあるセキュリティの人材だけ飛び抜けて給料を増やす、といった処遇は難しいので、自由にできる時間や予算を与えてより高度な技術を身につけたり、外部のコミュニティと情報を交換する事で早く予防措置が取れるなどの効果を期待する方法もあるかと思います。
 
 既に得意分野がある人を「セキュリティ人材化」して、セキュリティ需要が一巡すれば、身につけたセキュリティの知識や技術と処遇をそのままに、元の業務に戻って「セキュリティも」できる人材として活躍してもらう事ができれば、全体のセキュリティのレベルも上がると考えますがいかがでしょうか。
 
 需要があるから、足りないから育成だ、という流れではありますが、エヴァンジェリストやホワイトハットハッカーやロックスターの活躍だけに期待するのではなく、「なりたい」職種にするというアプローチはいかがでしょうか。セキュリティ人材に光を。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。