セキュリティ人材の問題

先日、在所の自治体に絡むセキュリティコンサルティング（というより利用者端末を起点にしたセキュリティヘルプデスク業務、要するによろず相談係）のご依頼について打ち合わせのために整理してみたのですが、セキュリティ人材については、いま業界では以下のようなことになっているようです。

セキュリティコンサルタント

この方々はセキュリティ情報の提供を収益事業としていますが、基本的にワンショットでの情報提供に特化しており、それは有償で、期間契約だとしても基本的なこの様態にかわりない。雇用従業員のように顧客先で継続的なオペレーションを担うことはない。

セキュリティエンジニア（オペレーター）

需要家の社内にいて、需要家の本業に関わるセキュリティオペレーションを、日々行っている。各分野でセキュリティの専門。他社の需要に対して無償で情報提供できる範囲でなら無償で情報提供できるが、概ね善意に基づいている。セキュリティ分野の横断的な対応は、善意の範囲でしか対応できないし、事業ドメインが異なるため、難しい。

1. ネットワーク（キャリア・データセンター）のセキュリティエンジニア

2. ソフトウェア開発のセキュリティエンジニア

3. ベンダーのセキュリティ担当カスタマーサービス

エンドユーザーサイトでは、とくに三点目の「利用するアプリケーション」を発端に、上記すべてに「横断的な」対応が可能な「人材」が「必ず、ひとりは」必要になります。が、だいたい居ません(笑)。そういうひとは、前述の「セキュリティコンサルタント」になってしまうから。
そして「外部委託」しようにもそれすらできないことにお気づきでしょうか？

まとめ

セキュリティスキルのある人材は、上に述べた4つの職種のどこかに "吸収" されてしまい、エンドユーザーサイトには必要なはずの人材が現状いません。
当社は 1 と 2 該当なのですが、事業者の立場からすれば、そこに需要・市場があるのはわかりますが、人材問題を解決する「事業開発投資」の優先度を非常に低く考えざるを得ません。上記 1～3 の事業者は自身の事業のための人材確保・教育を優先するだろうと思います。

需要家のみなさんと協力して、「処遇」「発注条件」を中心に、課題を解決していかなければな、と思います。