あってはならないものがわかる人間のエキスパートは、どんなプログラムよりも、企業のデータ ログで問題を引き起こすパターンを確実に見分けることができます。しかし、あらゆる企業がトップ人材の獲得競争を繰り広げる状況にあって各社が雇用できるほど多くのエキスパートが存在するのでしょうか。
米国のビジネス コンサルティング企業Frost&Sullivan社は、管理と技術に関するコンサルティング企業Booz Allen Hamilton社と協力し、毎年「Global Information Security Workforce Study」(世界の情報セキュリティー人材に関する実態調査)という報告書を作成しています。この調査によれば、世界ではサイバー セキュリティー関連の雇用が2013年だけで約332,000人分生まれ、同分野の世界全体での合計雇用者数は320万人に達し、増加率は10%を超えると予測しています。
アルゼンチンのブエノスアイレスを拠点とし、セキュリティー関係の調査および対応サービスを提供するCORE Security社でプログラム管理担当ディレクターを務めるAlberto Soliño氏は、本物のエキスパートの条件として、セキュリティーのテストと侵害への対応の経験を数年間積んでいること、悪玉ハッカーが使う最新の手口に通じていること、業界について熟知していることを挙げています。
Soliño氏は「このようなプロフィールを持つエキスパートはとても数が少なく、平均的な中規模企業には高すぎる報酬が必要となります」と語り、巨大企業を除くすべての企業にとって、社内のセキュリティー担当者と市販の専門ツールを組み合わせて活用することが最善の解決策だと述べています。「市販のテストツールで発見できるような脆弱性にコンサルタント費用をかける必要はありません」(Soliño氏)。
理論と実践の狭間で
セキュリティー関係の調査とトレーニングを提供する米国のグループSANS Instituteで調査担当ディレクターを務めるAlan Paller氏は、最近の「エキスパート」の大半は実践的なセキュリティー・トレーニングを受けていないことが、本当の問題だと述べています。ましてや、既存の脅威に関する知識を応用して将来の攻撃に対する保護計画を立てられる人材はさらに少ないのです。
「このようなプロフィールを 持つエキスパートはとても数が少なく、平均的な中規模企業には高すぎる報酬が必要となります。」
Alberto Soliño 氏
プログラム管理担当ディレクター CORE SECURITY 社
Paller氏は、「エキスパート」は一括りの存在ではなく、次の三つのグループに分かれると述べています。実践的スキルを持たないポリシー分析担当者、実践的なファイアウォール管理者とログ解析技術者、攻撃データを解析して侵入者をブロックするフィルターを迅速に更新できる「ハンターとツールビルダー」です。Paller氏によれば、残念ながら、ポリシー分析担当者の数が大半を占めています。「ハンターやツールビルダーが見かった場合の報酬は、13万ドルから20万ドルです。しかも見つけるのは至難の業です。」
フランスのCassadian Cybersecurity社で、パリに置かれたコンピュータ・セキュリティー・インシデント対応チームを率いるDavid Bizeul氏は、多くの小規模企業では社内のセキュリティー担当者に必要なリソースを与えられないため、そうした企業は専門の企業にサイバー セキュリティー業務を委託することを勧めています。
「自分の業務上のどんな説明も、同僚には外国語のように響く環境で仕事をするのは、サイバー セキュリティーのエキスパートには退屈でしょう。エキスパートを奪い合っている状況で、セキュリティー事業を行っていない企業が社内の部署にエキスパートを置くのは、もっと難しいかもしれません。」
米国バージニア州アレクサンドリアを拠点とするセキュリティーコンサルティング会社Mandiantで、最高セキュリティー責任者を務めるRichard Bejtlich氏は、あらゆるクラウド・セキュリティー・プロバイダーを入念に比較評価することを強く勧めています。要件のチェックリストを作成し、それらをどう満たすかをプロバイダーに問うというのが、彼が推奨する方法です(http://bit.ly/17ITP4Cにある資料「Cloud Controls Matrix」を参照)。
「IT事業を行っていない企業の場合、優秀なクラウド・プロバイダーと組むことで、より優れたサービスを利用できる可能性が高くなります。ただし、それで得られるメリットはすべて、どのプロバイダーを選ぶかに左右されます」(Bejtlich氏)。
人材の育成方法
真に優秀なエキスパートの数を増やすには、どうすればよいでしょうか。Paller氏の見解では、これまでのポリシー担当者を再教育することは、解決策にはなり得ません。「短期間でエキスパートになれそうな優秀な若者を、多数業界に送り出す道筋を作るほうが簡単でしょう」と同氏は述べています。
すでに米国の複数の州で、難しいハッキングコンテストを勝ち抜いた数十人に奨学金を提供するチャレンジプログラムが発表されていると、Paller氏は指摘します。来年中には米国の50州すべてで、同様のプログラムが発表される見込みです。(www.cyberaces.org)
あなたの会社に十分な人数のIT セキュリティー担当者がいますか?
引用統計;Frost & Sullivan and Booz Allen Hamilton 2013グローバル情報セキュリティーワークフォース調査