2018年3月2日（金） 

サイバーセキュリティの専門家は本当に専門家なのか

 ハッカー
 杉浦　隆幸

 
　サイバーセキュリティ分野はとても広い、Web脆弱性診断だけをやっている人は、サーバーのセキュリティに詳しくなかったり。大学で暗号ばかりやっている人に、IoTの実装セキュリティを聞いても的外れな回答をしたり。無線LAN(Wi-Fi)のセキュリティの人は、LPWA(Low-Power Wide-Area Network)のセキュリティは全く分からなかったりと分野が近くても、専門外はわからないのである。基礎は別として、サイバーセキュリティはそれだけで独立した分野ではなく、〇〇セキュリティということで、様々な分野にあり、その分野の実装以上ができないと、その分野のセキュリティの専門性が出せない。専門性の習得コストが高いのである。それらの専門分野も様々な要素技術によって成り立っており、要素技術のセキュリティが身についていないと不十分である。
 
　サイバーセキュリティの技術力は、環境・経験・知識によって決まる。知識ばかりあっても経験がなければ、役に立たないことも多い。経験がなければ、手が動かない。環境がなければ、試すこともできないので、経験がない。知識のみの共有は簡単だが、セキュリティの本質は、多くの人の認識とは異なることにあることも多い。そのため、世の中の認識とセキュリティ専門家の見識が異なることがある。
 
　本物の専門家になるなら、多少面倒くさくても、実際に環境を作ってやってみて、経験を積んでいくことが必要である。ただどうしても、分野が広すぎるためセキュリティの全てを修めることはできない。そこで、他の専門分野を持つサイバーセキュリティの専門家から学ばないといけない、すべてが経験できるわけではないので、知識のみの共有された状態になる。知識のみでどうにかしようとする人もいるが、中途半端な内容で間違っていると見做されることも多くある。
 
　セキュリティは新陳代謝の激しい分野である、IT業界は常に新しい技術や分野ができているので、それらに対するセキュリティが必要である。旬を過ぎると、学んでいたセキュリティが必要とされなくなる。必要とされるものは、深く、短い。
 
　さて、専門外のコメントを求められた場合はどうするのか。専門性はわかるようにしておいたほう良い。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。