第5位には「セキュリティ人材の不足」がランクインした。IPAのリリースには下記のような文言が記されている。
セキュリティ上の脅威は今後さらに増大するだけでなく、新たな脅威も発生し続けていくことが予想される。これらの脅威に対応するためにはセキュリティの知識、技術を有するセキュリティ人材が欠かせないが、圧倒的に不足しており、問題視されている。セキュリティ人材が手薄の組織では、十分なセキュリティ対策、対応をとることが難しく、脅威の増大に伴い実被害につながることも考えられる。
しかし、よく考えてほしいのは、これが「脅威なのか?」という点だ。確かに情報セキュリティ業界は人材不足だ。経済産業省が2016年6月にまとめたレポートによれば、約28万人と推計された情報セキュリティ人材は発表時点で既に約13万人が不足しており、その数は2020年に約20万人まで拡大する見込みだ。
喫緊な課題であることは否定しない。だが、それはセキュリティに限らず、どの分野においても「専門家が不足している」ということに変わりはない。事実、同レポートでは、情報システム部門に所属する、いわゆるマクロな規模でのIT人材の不足数は約17万人で、2019年をピークに人材供給は減少傾向になり、不足数が一層拡大するとしている。
それでも「当社には、とりわけセキュリティ人材がいない」と思うのであれば、具体的にどのようなスキルを持つセキュリティ人材が必要なのかを分析すべきだろう。その結果、「セキュリティを知っている人」が欲しいだけであれば、従業員に対してセキュリティ知識の底上げを行えばよい。
「世にある脆弱性情報を把握し、自社に影響があるかどうかを判断できるセキュリティ管理者」や「攻撃の現状を把握できるセキュリティリサーチャー」の必要性を理解する経営者もいるだろう。そのようなセキュリティ人材は確かに簡単には見つからない。
だが、欲しい人材が明確になってこそ、「外部の専門家に任せる」という判断ができるようになる。例えば、SOC(Security Operation Center)をアウトソーシングできるセキュリティベンダーも増えている。
自社のセキュリティを外部に委託するという判断は、経営者にしかできないことだ。「人材をつくる」「人材を抱える」だけでなく、「任せてみる」ことで人材不足を解消できる方法もあるはずだ。
筆者としては、「人材不足」については脅威というよりも、IPAの「アピール」ではないかと邪推している。人材がいないことを言い訳にするのではなく、ありとあらゆる組織のメンバーが「セキュリティに一歩踏み出し、より自分事として学ぶ」ためのメッセージだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。