セキュリティ人材需要の高まりと、育成と採用の難しさ

不安定な世界情勢と相まって、サイバー攻撃の類が増加しています。先だって出ていたランサムウェアに関するニュースでも、急がれるセキュリティ人材育成について言及されていました。

身代金ウイルス、脅威鮮明 - 日本経済新聞

すでに短期の民間セキュリティ人材育成スクールも散見されますが、プログラマと同様に「これからはセキュリティエンジニアの時代だ」と一斉に合唱するシナリオはあり得るでしょう。

私もセキュリティ専業の会社さんの採用支援に1年以上関わっていますが、セキュリティ人材の不足はもっともな一方で、コアを担える人材の適性は他の領域と比べても明確であり、量産は不可能な分野ではないかと考えています。今回はこうしたセキュリティ人材の育成と、課題についてお話しします。

有料設定していますが、最後まで無料でお読みいただけます。もしよければ投げ銭感覚で応援をお願い致します。

基本要件はセキュリティへのギークな強い興味と実践

セキュリティ人材採用には新卒も中途にも関わっているのですが、職種は数あれど、そのベースとなる要件としてプログラマ以上に「姿勢」「習慣」が強く求められる傾向にあります。

セキュリティ界隈のお客さんを見ていても、情勢が不安なほど需要は高まる。

一方でマニュアル化されたオペレーション業務以外は非常にギークなので、適性が大きく分かれている。プログラマ以上に育成は難しい。

身代金ウイルス、脅威鮮明：日本経済新聞 https://t.co/gwsBqosjzC

— 久松剛 レンタルEM (@makaibito) October 31, 2023

「セキュリティへの興味」は持ちやすいが、それだけでは不十分

セキュリティそのものに興味を引くことは非常に簡単だと考えています。目視するのは難しいものの現実的な脅威としてありますし、マスメディア報道なども増えているために課題感を持つことまでは容易にできます。問題はその「セキュリティが重要である」と認識した状態から、一定以上のキャリアを目指すまでの距離の遠さにあります。

私の居た大学研究室では研究テーマの選定を自主性に任せていたため、何割かはセキュリティを志していました。2000年代当時の大学での王道のセキュリティ研究となると暗号化や侵入検知、攻撃手法の分析などがありましたが、いずれも数学分野の知識であったり、コンピュータサイエンスの深い知識が求められます。これらの難しいテーマを回避し、「セキュリティは重要だよ」と啓蒙する一団が生まれました。セキュリティ啓蒙のカードゲームを作っていたりしました。論文を書くのも厳しいテーマです。

こうした人たちはセキュリティ人材として採用対象になるかというと、コア人材としては難しく、後述する「できる人がマニュアル化したものに対して履行し続けるオペレーター」が良いところかなと思います。

セキュリティ人材の隠れ採用要件

セキュリティ人材の採用要件を見ていくと、いわゆる守る側のホワイトハッカー的な人材を求めている場合と、攻める側の気持ちが分かるブラックハッカー的な人材を求めている場合があります。どちらが良い、悪いという話はここにはありません。どちらの観点も必要です。

採用人物像を深ぼっていくと下記のような隠れ必須に近い要件がでてきます。

• 必須要件

  • 常日頃からセキュリティに関する情報を収集している

• いずれかはほしい

  • プライベートで脆弱性の再現をしている

  • ハニーポットを自身で運用している

  • SECCONなどに自主的に参加している

  • 情報セキュリティに関して研究活動や論文執筆活動をしている　など

特にミドル～シニアとなると、誰かしらの指示に基づいて履行するのではなく、能動的に情報を収集しながら試していく姿勢が求められて生きます。

よくX界隈では意識高い系のプログラマたちが「業務外でもプログラムを書くべきか否か、勉強するべきか否か」というディスカッションを延々としていますが、セキュリティ人材で一定以上の職位を目指すとなると内発的な取り組み姿勢は前提条件に近い形で求められています。

数カ月のセキュリティ人材育成スクールで何とかなるものなのか？

学生時代から非IT系で進学するも思うところがあり、こうしたスクールに入った上で自発的に学習活動をするのであれば問題ないでしょう。

既にIT領域でのプログラマやインフラエンジニアとしての業務経験があり、常日頃の学習習慣がついた上で、こうしたスクールにて体系だった短期学習をするのであればキャリアチェンジのきっかけに繋がるとも考えられます。

全くの非IT系で特に学習習慣がない人の場合は、1日3交代でアラートを監視し、マニュアルに基づいて対応するオペレーターになる可能性が高いです。各人のキャリアイメージにもよるところではありますが、こうしたスクールに入学する前に思い描いたセキュリティ人材としての活躍とは遠くなることが予想されるため、注意が必要です。

未経験ビジネス再びの懸念

2018年にプログラミングスクールが流行した際、その背景には政府によるIT人材不足についての発表がありました。スクールビジネスや情報商材ビジネス、人材ビジネスはこぞってそのグラフを引用し、エンジニアに転身することがいかに「お得であるか」と訴求していきました。本当に罪深いグラフだと思います。

経済産業省　IT人材の最新動向と将来推計に関する調査結果

その結果、LPにあるようなキャリアを歩めた人は少なく、いたずらにキャリアをもてあそばれた方も少なくありませんでした。セキュリティに関してはテーマがそれなりに難しいためにプログラミングスクールほど氾濫する可能性は低いかも知れませんが、注意は必要です。既にいくつかスクールも存在していますが、基本的には専門性の高い先生が居られたり、学科のある四大や、専門学校、丸腰で行くにはハードモードですが大学院をお勧めしたいところです。そしてプログラマなど以上に自発的に探究していく姿勢が必須であり、それがないとキャリアに限界がある可能性が高いことも改めてお伝えしておきます。

新卒・中途エンジニア、人事、人材業界・・・IT業界人材・キャリア相談

ITエンジニア界隈のことや、キャリアのことなど質問を受け付けます。人事や人材業界の方もお気軽にどうぞ。

頂いたご質問について、YouTubeやnoteなどでも取り上げる場合がございますので予めご了承ください。https://t.co/IBVNs59sxqで質問を募集しています！ https://t.co/tv8FFkpI46

— 久松剛 レンタルEM (@makaibito) October 20, 2023

ITエンジニア採用とマネジメントのすべて　「採用・定着・活躍」のポイントと内製化への道筋が１冊でわかる | 久松剛 | 実践経営・リーダーシップ | Kindleストア | Amazon

合同会社エンジニアリングマネージメントお問い合わせフォーム

noteを元に解説を行うYouTubeをはじめました。是非登録・高評価をお願いします！

久松剛の【聴くIT百物語】　〜ITエンジニアキャリアの生存戦略と、企業向け採用・定着・評価〜

合同会社エンジニアリングマネージメント | Notion

IT百物語｜久松剛／IT百物語の蒐集家｜note

情シス百物語

情シスのキャリア戦略

現代ITエンジニアキャリア論 | レバテックラボ（レバテックLAB）

新卒エンジニア採用よもやま話｜サポーターズ公式note

Amazonほしい物リストを一緒に編集しましょう