IT(情報技術)業界では2010年代末までに自社を守るサイバーセキュリティー分野の人材450万人が必要になる。この人材をどうやって確保すればよいのか。米IT大手のシスコシステムズは1000万ドルを費やして有能な候補者に講座やメンター制度、サイバーセキュリティー業務検定を提供し、会社を守るために必要なスキルを習得させている。
■新卒の人員に1500万円
シスコのサービス部門でバイスプレジデントを務めるジャンヌ・ベリボーダン氏は、デジタル分野でのセキュリティーへの懸念がイノベーションの妨げになっているという指摘を世界の企業経営者から受けていると明かす。同氏に言わせれば、シスコの研修制度も当座の人材不足対策の糸口にすぎない。
シスコのように社員の研修費に1000万ドル(約10億円)を使えれば申し分ない。だが残念なことに、全ての企業がそれほど幸運なわけではない。有能な人材の争奪戦は既に手に負えない状態にあり、新卒者の平均給与は15万ドル(約1500万円)に達している。
なぜこうした状況に陥ったのかについては、議論が必要だ。サイバー犯罪のまん延と、高等教育機関が業界の動向に対応できていないことが主な原因だろう(最近の研究によると、米上位50大学のコンピューターサイエンス専攻のうち、サイバーセキュリティーに関する講義を一つでも必修にしている大学はほんのわずかだ)。だが、責任を押し付け合っている時間はない。企業、病院、地方自治体など少ない予算で大規模な事業を運営しているあらゆる組織にとって1000万ドルは投じられない。だが、サイバー攻撃から身を守るのに必要な人材をどうやって見つけるかは火急の課題だ。
幸いにも、いくつかの解決策の候補がある。
1.サイバーインターンシップ:サイバーセキュリティーはIT業界の未来を担うという評判が大学生の間で広がり、このスキルの開発に関心を示す学生が増えている。だが、大学では適切な講座やスキルの研修を提供していないため、多くの学生にはこうしたスキルを習得するすべがない。企業はこうした研修を提供することで、一部の基本タスク(ログの点検やパッチのインストールなど)を担えるサイバー戦争の「歩兵」を手に入れ、経験豊富な人材にもっと重要なタスクを任せることができる。
2.ソフトウエアによる支援:セキュリティーチームは自動化を取り入れることで、職務を遂行しやすくなる。セキュリティー業務の最大の障害は、毎日指摘される多くの(欠陥などについての)警告を理解し、疑われる欠陥を調査する点にある。この次世代の解決策では複雑な調査プロセスを自動化し、結果を「見える化」するため、経験の浅いセキュリティーアナリストでも対応可能になる。調査に必要なデータは自動収集されるため、雑務や手作業にかかっていた時間を節約できる。人材の能力差を埋めるのに役立つ。
3.社内研修:一流のサイバーセキュリティー人材を雇う余裕がない企業は、既存の人材のスキルを高める方法を開発しなくてはならない。幸い、専門セミナーや会議、その会社が使っているサイバーセキュリティーのソフトウエアやシステムの検定講座、専門家との戦略協議、そして新製品の研修などを通じて多くの外部サポートが見込める。この取り組みを主導するのは、資源や研修を配分し、各社員の能力を評価し、習得すべきスキルを判断できる経験豊かな管理職であるべきだ。
もちろん、こうした取り組みにはリスクもある。新たに研修を受けたサイバーセキュリティーの専門家が引き抜かれ、もっと待遇の良い仕事に移る可能性があるからだ(そんな仕事が多くあるかは別として)。だが、その会社の取り組みが知られるようになると、退職する社員に代わり、新たなスキル開発の機会を評価する別の一流の人材が現れるだろう。こうしてサイクルは続いていく。
もちろん、サイバー防衛策を率いるこの分野の優秀な新卒者を採用できれば最高だ。もっとも、そんな人物が見つかればだが(雇う余裕があるかについては考えないでおこう)。前述したアイデアの一部を活用するやり方は、シスコの検定制度には及ばないかもしれない。だが、社会全体で育成に取り組み、サイバーセキュリティー人材の需給ギャップを補えるようになれば、組織の安全は保たれるだろう。
By Shai Morag(サイバーセキュリティー対策を手掛ける米SECDOの最高経営責任者で共同創業者)
(最新テクノロジーを扱う米国のオンラインメディア「ベンチャービート」から転載)