SST連載・解説記事

  1. HOMEHOME
  2. SSTコラムSSTコラム
  3. セキュリティ業界コラム 乗口の視点
  4. 03 セキュリティ専任になるというキャリアパス

セキュリティ業界コラム 乗口の視点

取締役会長 乗口 雅充(のりぐち まさみつ)

1962年、福岡県生まれ。1986年鹿児島大学工学部卒業後、株式会社リクルート入社。1997年某ネットワーク・インテグレーターのセキュリティ事業を担当し、2006年株式会社セキュアスカイ・テクノロジーを設立し、代表取締役を務める。同社にて、2018年3月より取締役会長に就任。

セキュリティ専任になるというキャリアパス

前回のコラムで記しました次世代の若者の雇用と育成に関連して、セキュリティニーズが増え続ける中で起きている雇用事情についてお話をいたします。

限られた企業だけが実施する「脆弱性診断」

SST立ち上げ当初、大企業やインターネット業界で有名な企業のWebサイトであれば脆弱性診断は当たり前に実施していると思っていました。しかし、SSTがスタートして、企業のWebサイトセキュリティ対策の内情を知っていくうちに自分でも恐くなってしまいました。 その実態はというと、「この企業のWebサイトなら脆弱性診断くらいは実施しているだろう」と思う母数を100とした場合、実際に脆弱性診断を実施していた確率はたったの30%ほどでした。つまり、限られた企業しか診断をしていないという事になります。また、脆弱性診断を実施しているかどうかについては、「セキュリティ専任担当者(または部署)がいますか?」という問いで判別することができます。

質問:セキュリティ専任担当者(または部署)はいますか?
Yesと答えた場合 脆弱性診断をはじめ、その他セキュリティ対策を実施していることが大半です。最初に述べた脆弱性診断を実施している30%の企業はセキュリティ専任担当者(もしくは部署)がいることから、Webサイト立ち上げから運用に至るまでに必要な対策を把握し実施することができます。
Noと答えた場合 部署がなく、専任担当者もいない企業では、脆弱性診断をはじめとするセキュリティ対策の実施自体が困難です。仮にインシデントが発生した場合は、スポットで担当者をつくり、その場限りの付け焼刃的な対応で終わってしまいます。その後、再び担当者が不在となるため長期的なセキュリティ対策を立てることができず、脆弱性診断などの実施には至りません。

増加する診断ニーズと減っていく診断事業?!

2011年5月のソニーグループの個人情報流出事件を皮切りに、不正アクセスなどによる情報漏えい事件が続出しています。まだ記憶に新しい昨年(2013年)からは、Apache Struts2、WordPressといったソフトウェアの脆弱性を突いた攻撃やWebサイト改ざん、パスワードリスト型攻撃が多発しています。これらの多くの被害に伴って、企業のセキュリティ意識は確実に変わってきました。

個人的な感覚では、セキュリティ専任担当者(もしくは部署)をつくりはじめる企業が増え、前述の脆弱性診断の実施率は30%から50%ほどまでに増加したように感じます。実際、SSTでは脆弱性診断の引合いが2011年7月から途切れないまま今日に至ります。このような状況を受け、SSTでは最大の課題が発生しました。それは、技術者採用による体制強化です。解決策の一つとして、東京での採用が難しいことから、雇用ニーズの多い福岡にラボを昨年立ち上げました。

これほどまでに脆弱性診断のニーズが増加しているのであれば、様々な企業が診断事業に乗り出してもおかしくないはずです。しかし、脆弱性診断のスキルは一朝一夕で身につくものではないせいでしょうか、新たな企業が増えるどころか、減っている気すらします。また、大手SIer、NIerが診断事業に乗り出す可能性については、前回コラムで記した理由からもかなり低いと考えざるを得ません。

次世代を担う若者達のキャリアパス

このような現状を改善するために、我々は何をするべきでしょうか。最初に、サイト運営企業側は前述の30%から50%に増加した脆弱性診断の実施率を可能な限り100%に近づける事です。そのためには、現状のセキュリティへの脅威を洗い出し、セキュリティ専任担当者(もしくは部署)をつくることです。ただし、以下のような理由から内部登用は難しいケースがよくあります。

内部で働いてる社員は、誰も自社のセキュリティ担当者になりたくない!
セキュリティ担当者になれば防御するための予算を湯水のように使えるわけでもなく、事件が起これば自分のせいになる、というハイリスクな役割にはなりたくありません。
セキュリティ担当者になったとしたら・・・
Webサイトを次々と立ち上げて利益を生み出す最前線の部隊にルールを強いる必要があります。しかし、最前線の方にとってセキュリティはビジネススピードの足を引っ張るブレーキ役以外の何者でもありません。仲間に嫌われる、嫌がられるという事を覚悟しないといけない役回りです。

果たして、セキュリティ担当者になりたいという人は内部にいるでしょうか?まったくいないとは言えませんが極めて希少と言えます。

これらの解決案として、下記のような方法が最近増えてきました。

セキュリティ企業の技術者を雇い、自社(サイト運営企業など)のセキュリティ専任者にする!

このような方法で組織を構えた企業が昨年から30社ほど増えています。セキュリティ企業のプレーヤー側にいるよりかは、Webサイト運営企業のセキュリティ担当で経験を積みたいと考える若い技術者も少なくないでしょう。それに、その経験は彼らのキャリアパスに今後大いに貢献すると思います。この需要は、今後も徐々に拡大していくでしょう。

セキュリティ関連の知識のないまま、いきなりセキュリティ専任者になることはとても難しいです。従って、一度セキュリティ企業側でプレーヤーとして何年か経験を積んで、サイト運営企業側のセキュリティ専任になるというゴールデンキャリアパスが見えてきます。

さらに、我々のようなセキュリティ企業のプレーヤー側は、サイト運営企業といったお客様側に、窓口となるセキュリティ専任者がいることで、我々が提案できるセキュリティ対策の幅が飛躍的に大きくなります。セキュリティ専任者が不在の場合は、脆弱性診断などの実施に至らないため、スポット的な小さな仕事しか出来ないのです。それ故に、その動きが我々の業界を拡大に向かわせる事につながると思います。

最後に、
SSTでは技術者が抜けるのはまだ許容できないので、引き抜きの際は競合他社様からお願いします。(笑)

2014年4月17日更新

今までのコラム

Webセキュリティをざっくり理解するための3つのMAP

Page Top