セキュリティ人材の育成に有効な<4つのアプローチ>
1.セキュリティアウェアネス
アウェアネスとよく対比されるリテラシーは、ある分野における知識や理解力であり、網羅的・体系的で、技術的要素を含むことがあります。
一方で、アウェアネスはある事象に関する気づきや意識で、事象にフォーカスしており、技術的要素は薄いと言えます。言い換えると、「あ、なんかまずいかも?」と気づくことだと思います。
交差点のたとえ話でもう少し噛み砕くなら、「青信号の交差点を渡っていても、右折してくる車はあるかもしれないということを知っていて、“気をつけなきゃ”と思えること」であり、そのセンスをトレーニングするのがアウェアネストレーニングです。
セキュリティを生業にしていない人たちが、「あ、なんかまずいかも?」と思うセンスを高めると、必然的にセキュリティのリスクは下がっていくと考えられます。次々と攻撃手法が編み出される昨今、それに対処できるマニュアルの整備やシステム面の対応を待っている余裕はなく、「あ、なんかまずいかも?」と気づくセンスを養うことが必要です。
2.プラス・セキュリティ
アウェアネスを高めて異常に気づいた後、次は具体的な行動をとれるようになることが求められます。ここでのキーワードは「プラス・セキュリティ」です[図表7]。
企業・組織内でDXを推進するマネジメントに関わる人材層をはじめとして、ITやセキュリティに関する専門知識や業務経験を必ずしも有していない人材に対してセキュリティ知識をプラスするという概念です。
DXの進展によって事業部門でデジタルとの関わりが広がっていくと、おのずと事業部門の人材もセキュリティ関連業務との関わりが深くなっていくため、その点において、セキュリティやITの専門人材との協働が求められるようになります。
その際には、事業部門の人材と専門人材との相互理解が欠かせないため、事業部門の人材が専門人材の役割と自身の役割を理解し、自身の役割を実践できる人材に育成するのです。
3.セキュリティ・バイ・デザイン
「いつやればいいの?」に対応するセキュリティ・バイ・デザインの実践は、システムを構築するビジネスの現場に当てはめてイメージしてみてください。
まず構想があり、それから予算編成を行い、システムの企画をして、調達へとフェーズが進んでいきます。このビジネスプロセスが進めば進むほど制約条件は多くなるため、ビジネスの早期から適切にセキュリティを組み込むことが不可欠です。まだ制約が少ない企画段階からセキュリティも意識して、システムに組み込んでいくべきなのです。
これは数多くのお客様から調達仕様書を受け取ってきた経験に基づいた発想です。この段階でセキュリティ要件がきちんと考慮されていないケースが多く、後から組み込もうとすれば予算に収まらず、システムのコンセプトにまで影響してしまうことも珍しくありませんでした。
このセキュリティ・バイ・デザインの考え方は、重要な考え方としてIPAやデジタル庁からもガイドラインが発行されています。
4.社会情勢の変化などから必要なセキュリティ実装は何かを考えて実践する力
システムが完成するまでには場合によっては数年かかることもありますので、つくっている時点でのリスクではなく、数年後のリスクまで見通しておくことも必要なスキルです。
そこで、さまざまな情勢の変化から「次は何が起こるのか」を感じ取り、「何をすればよいのか」を考えて実践できる能力を養っていく必要があります。
(広告の後にも続きます)
セキュリティ専門人材としてキャリアを積むリスク
一部のトップ・オブ・トップのセキュリティエンジニアは別としても、現在のセキュリティ専門人材は現在自分が関わる領域で生き残っていけるとは限らないように思われます。
特定スキルに偏重したキャリアでは、供給過多になったり時代遅れになったりする恐れがあり、生き残るためには、常に変化する状況へ対応するスキルを獲得し続けなければなりません。幼少期からデジタルに慣れ親しんだ世代との考え方のギャップも、セキュリティ専門人材の寿命に影響するでしょう。
また、脳の情報処理は18~19歳、短期記憶は25歳、他人の感情を予測する能力は40~50代、結晶性知能は60~70代がピークとも言われており、年齢とともに発揮できる能力は異なります。このような理由から、専門人材が関わる領域は変化していくはずです。
