【IT】セキュリティ人材で大切な資質とは–育成ブームに「苦言」

ホーム
セキュリティ
【IT】セキュリティ人材で大切な資質とは–育成ブームに「苦言」

2018.08.17
セキュリティ

【IT】セキュリティ人材で大切な資質とは–育成ブームに「苦言」

1: 田杉山脈 ★ 2018/08/14(火) 22:25:42.62 ID:CAP_USER

サイバーセキュリティの重要性が増す中で世界的にセキュリティ人材の不足が叫ばれ、人材育成がブームの様相を見せる。こうした状況に専門家がセキュリティ人材に求められる資質を説くとともに、育成ブームに苦言も呈している。

セキュリティテストなどのオープンソースコミュニティー「Institute for Security and Open Methodologies（ISECOM）」の共同創設者でマネージングディレクターを務めるPete Herzog氏は、7月に米Cylanceが運営するブログに投稿したエントリで、「本当に動物が好きでなければ、動物を管理する仕事をすべきではない。これはサイバーセキュリティにも当てはまる」と言及している。

同氏は、以前に務めていたという動物を管理する仕事でのエピソードを紹介し、当時の同僚がアライグマの“脱走劇”に対応できず、いらだちを募らせて事態を収束できなかったことに触れ、この同僚がアライグマを嫌っていたのではないかと振り返る。仮にこうした、仕事を好きになれない人物がセキュリティの業務に従事しても、刻一刻と変化するセキュリティ侵害の状況に対応できずコントロールを失うだけであり、そうした人物は不要だと断言する。

また2001年に、当時在籍した銀行でセキュリティチームを立ち上げる際の採用試験では、社内外のネットワークにも熟知する聡明な開発者が、業務に関するシナリオに基づいた質問への回答をあきらめることがあった。Herzog氏は、この開発者の代わりに、セキュリティの知識がないマーケティング出身の女性を採用したという。その理由は、彼女が独学でデザインツールの活用法を習熟した点にあったといい、課題に対する解決策を提案できる能力を備えていたことが決め手になったと紹介している。

Herzog氏は、大学などがセキュリティ人材を大量に養成し、近い将来に“セキュリティを知っている”と称する膨大な新人がセキュリティ業界にやってくるだろうと指摘する。しかし、その大半は製品に詳しくてもセキュリティの本質を理解しておらず、仕事で不満を感じることがあれば、より良い給料を求めて別の仕事に移るだろうと見る。

彼らは自身の習得した技術あるいは知識に依拠するにとどまり、状況の変化や新しいソリューションの理解といったことには目を向けない。セキュリティの知識を持たずとも、常に変化や新しい技術への関心を抱き、問題解決を目指すために学び続ける姿勢を持った人材の方がサイバーセキュリティには適していると解説している。

人材不足はセキュリティに限らずITのさまざまな領域で起きている課題だが、その穴を埋めようとテクニックだけを学ばせた人材を大量に育成、輩出するようでは、問題の本質に対応できないというのがHerzog氏の主張であるようだ。セキュリティ人材にまつわる話題は、ぜひ下記の記事もご覧いただきたい。
https://japan.zdnet.com/article/35123889/

3: 名刺は切らしておりまして 2018/08/14(火) 22:40:33.64 ID:Gkdd0tXb

>>1

>彼らは自身の習得した技術あるいは知識に依拠するにとどまり、状況の変化や新しいソリューションの理解といったことには目を向けない。
>セキュリティの知識を持たずとも、常に変化や新しい技術への関心を抱き、問題解決を目指すために学び続ける姿勢を持った人材の方がサイバーセキュリティには適していると解説している。

これ。
技術が目的化した融通の利かないオタクは勘弁。

4: 名刺は切らしておりまして 2018/08/14(火) 22:42:02.56 ID:SasxfPmV

>>1
自宅警備が好きでない人間が自宅警備員になっても
旨くいかないだろう

12: 名刺は切らしておりまして 2018/08/14(火) 23:14:27.01 ID:S183c6Zh

>>1

Hacker Highschoolの受講生募集中

https://www.cylance.com/ja_jp/blog/jp-how-to-hire-a-cybersecurity-professional.html

そこで私たちは「Hacker Highschool」を立ち上げました。サイバーセキュリティのコンセプトとスキル、特に
問題解決能力、創造性、知識、好奇心、機敏さ、共感を向上させるためです。そして開始からわずか12年で、世
界中の学校で採用されるまでになっています。2015年ごろまで、大部分の学校は、高校生にサイバースキルは必
要ないと考えていたことがわかっています。

用意されているレッスンはいずれも価値あるものです。間もなくリリースされるレッスン12では、SOCアナリスト
になる方法を教えます。その他の11のレッスンでは、ネットワーキングスキル、Linuxスキル、マルウェア分析、
攻撃分析、フォレンジックなど、その他多くのスキルを備えた人材になれるよう教育します。各大学は、これらの
レッスンを急いでコースに取り込んでいます。テキストはオープンソースで、無償でオンラインで公開されていま
す（テキストを購入すると、プロジェクトの支援になります）。

さて、私たちは有能なサイバーセキュリティ専門家を養成しています。しかし、彼らが社会人になるまでにしばら
く時間がかかるかもしれません。そして、その時役立つのはサイバーセキュリティだと誰が言えるでしょうか。私
が高校生の頃、サイバーセキュリティは存在しませんでした。専攻科目として選択できるような状態ではなかった
のです。ですから、高校生にとって10年後に役立つものなど、誰にもわからないのです。もしかしたら、「ロケッ
トのセキュリティ専門家」が、皆が競って求める職業になっているかもしれません。

私たちは次の10年をただ待つのではなく、今できる何かをしたいと考え、2001年のように、もう一度初めからサイ
バーセキュリティに挑戦してみたいという人々を後押ししてきました。疑いなく、いま自動車整備士のひとは、現代
のサイバーセキュリティ製品を習得できると思います。私が言いたいことは、自動車整備士たちが車に使用する診断
装置をいくつか見たことがあればおわかりいただけるでしょう。それに、エンジンを分解して問題を見つけるのは、
問題のためにグーグル検索をするよりもずっと困難です。

現在の稼ぎよりも多くの給料を得られる可能性のあるすべての仕事のうち、サイバーセキュリティのリーダーにな
るために、ガレージで働くのをやめるという転職の選択をする人はそう多くはいないのは明らかです。そして、それ
は整備士に留まりません。だからこそ人々を再教育すべきなのです。グラフィックアーティスト、電気技術者、兵士、
秘書、配管工、ウェディングプランナーなど、現在の場所から移動したいけれども、やはり問題を解決し、時には自分の
手を動かしたい人、弱いつながりのような関係ではなく、実際に存在する人々と話ができる人なら誰でも、可能性があ
ります。このような皆さん、「Hacker Highschool」を手に取り、読み始めてください。皆さんは、サイバーセキュ
リティへの適性が高いのです。

もし執着している個別のセキュリティツールがなく、専門家を雇う必要があるなら、サイバーセキュリティ分野の外
を見てください。知識より、潜在的なスキル適正を持った人を探しましょう。とりわけ、今の技術知識や能力のある人
を探す前に、適切な姿勢を示すことのできる人を見つけてください。

2: 名刺は切らしておりまして 2018/08/14(火) 22:36:50.30 ID:CJ3KOVMd

自分の仕事に興味を持ってもらうためにも
まずは給料を上げろｗ

23: 名刺は切らしておりまして 2018/08/15(水) 05:55:54.12 ID:Pue2v1wR

>>2
衛生要因じゃ根本の解決には至らないよ。

28: 名刺は切らしておりまして 2018/08/15(水) 09:39:32.83 ID:RlEOj0Pw

>>2
まあ正論。

6: 名刺は切らしておりまして 2018/08/14(火) 22:53:45.11 ID:9pOUs+Zq

好きなものなら買い叩けるという風潮

7: 名刺は切らしておりまして 2018/08/14(火) 22:55:19.58 ID:zzoyQtAL

俺が面接官だったら30歳過ぎて転職経験ゼロの人は最大限に警戒して臨むけどね
前の会社に全てが最適化されてしまって柔軟性に欠けた人間は絶対に採用してはダメ

そんな人間より職を転々としてる人間の方が新しい事を覚えるのに貪欲だし、こういう人間でも
権限を与えればモチベーションが上がって定着するものだよ

18: 名刺は切らしておりまして 2018/08/15(水) 00:28:03.84 ID:JUDQ1e4H

>>7
同意

31: 名刺は切らしておりまして 2018/08/15(水) 09:55:37.40 ID:AaQlVeSY

>>7
でも転職回数が4回5回とあると、転職に不利じゃん

32: 名刺は切らしておりまして 2018/08/15(水) 10:08:32.25 ID:vhnY940L

>>31
いや、仕事の内容による

シリコンバレーなんかのITの最先端の現場では
しょっちゅう転職しているからな

日本くらいだよ年功序列なんてバカな制度を意地でも続けてるのは

34: 名刺は切らしておりまして 2018/08/15(水) 22:03:10.94 ID:qBeMKWSx

>>31
この業界ではそんな事ない
仕事できる人ほど移動するし、それが見抜ける所ほどいい職場

8: 名刺は切らしておりまして 2018/08/14(火) 23:00:00.36 ID:FOQCBoW4

まんま介護と同じだな

9: 名刺は切らしておりまして 2018/08/14(火) 23:05:48.36 ID:Iwx33jd8

なんでおまえら人に使われることしか考えられねーんだよ

10: 名刺は切らしておりまして 2018/08/14(火) 23:09:45.82 ID:qnqwozs5

まず第一に、セキュリティ人材とやらがセキュリティを確保するのではなく組織全体の意識と制度が確保する
なので、セキュリティ人材というものに必要なのは制度を構築して組織全体に浸透させることのできる能力
第二に、企業が十分な情報セキュリティを確保するのは無理
諦めてください
UTMとかの導入も大事でしょうがクラウドやらなんやらも含めて極力外界から遮断して事案発生時のリスクを小さくするように心がけましょう
個人的にはインターネットに未来はないと思います

11: 名刺は切らしておりまして 2018/08/14(火) 23:14:09.95 ID:iXvMsG5i

oracle gold持った新人よりもってないけど実務経験ある奴の方が使えるのと同じ理由だろ。

知識と経験って車の両輪みたいなもんでどちらも必要だけど昔に比べ知識を得る手段が格段に向上したから相対的に知識の価値が暴落してるわな。

19: 名刺は切らしておりまして 2018/08/15(水) 00:29:22.05 ID:kMIbpm8Q

>>11
＞知識の価値が暴落してるわな。

知識軽視で、知識の価値を暴落させた日本のＩＴ業界が
勝手に業界ごと暴落して、世界で一人負けしてるだけｗ

13: 名刺は切らしておりまして 2018/08/14(火) 23:35:52.86 ID:R06uailx

IT土方を作り上げた結果よ

25: 名刺は切らしておりまして 2018/08/15(水) 07:05:20.62 ID:NqFiFIsU

>>13
土方に失礼

14: 名刺は切らしておりまして 2018/08/15(水) 00:00:35.43 ID:1ZSS6orH

セキュリティに関しては社長同等かそれ以上の権限が無けりゃ意味がない
たとえ自分が退職金0で放り出されようがやれる対策事後処理を完結できなきゃ意味がない
意味のある仕事してれば次もある

15: 名刺は切らしておりまして 2018/08/15(水) 00:05:07.58 ID:YEgwgyY9

SIerだが、顧客は金を出さんのが現状。

17: 名刺は切らしておりまして 2018/08/15(水) 00:27:18.67 ID:kMIbpm8Q

>セキュリティの知識を持たずとも、
>常に変化や新しい技術への関心を抱き、
>問題解決を目指すために学び続ける姿勢を持った人材の方が
>サイバーセキュリティには適している

よかったな。
コミュ力至上主義のままで、いいんだってさｗ

20: 名刺は切らしておりまして 2018/08/15(水) 01:00:58.71 ID:uN45+bEG

知識ひとつで天国と地獄をわけることがあるからね
企業そのものがセキュリティに熱心じゃないと個人の力ではどうしようもないけど

22: 名刺は切らしておりまして 2018/08/15(水) 02:28:10.39 ID:1ZSS6orH

セキュリティ問題なんていくらでも積み上げられる
漏れる（た）情報にどれだけ顧客ダメージがあるのか、それが論点だ
それを解らぬ奴らが多すぎる
如何に自分を守るかなんていくらでも方法はある
バカは言う「裁判で負けなければいい」と
おまえは裁判に勝って橋の下で寝てろと
あいつらが盗む情報は何か今一つ考えろ
今の日本はガバマンだぞ!!!!?

24: 名刺は切らしておりまして 2018/08/15(水) 06:13:49.72 ID:8KMr9hXf

ネットワークスペシャリストとプロダクトマネージャー持ってるやつは年収2000万円
持ってない奴は年収144万円
これで良いよ

16: 名刺は切らしておりまして 2018/08/15(水) 00:20:07.18 ID:CTkaSo7W

米国ですら苦言が出てるのに、
客のリスク分析もしないでセキュリティ商材売りつけるようなアホだらけの日本で人が育つわけないだろ