留まるところを知らない情報セキュリティインシデントの発生と報道。情報セキュリティへの注目度は上昇の一途です。それに伴い「情報セキュリティ人材不足」も言われ続けて久しいところですね。
今日は少し視点を変えて、この「情報セキュリティ人材不足」という問題への個人的見解を述べたいと思います。
この記事の目次
情報セキュリティ事故が起きるということ
情報セキュリティインシデントは、「情報セキュリティ事件」や「事故」と訳されます。インシデントが発生すると、企業・組織に多大な影響を与えます。年金機構やベネッセの漏えい事件などは、社会的にも大きなインパクトを与えました。
さて、「事故」と言って私たちがパッと思いつくものはなんでしょう。おそらく多くの方は「交通事故」を連想するのではないでしょうか。
交通安全に対する事故は、普段からみんなが意識して、一人一人が安全を確保しようとしています。そのため国内の重大交通事故事故の件数は減少傾向にあります。
「交通安全」と「情報安全」
自動車は便利なものです。道路を自由に巡って目的地に辿り着けます。公共交通網がきめ細かい都心であれば別ですが、地方であれば自動車の運転免許は仕事にもプライベートにも必須と言っていいでしょう。
この文章をちょっと主語を変えて表現してみましょう。
インターネットは便利なものです。WEBを自由に巡って目的の情報に辿り着けます。沢山の百科事典が手元にあれば別ですが、一般にはインターネットは仕事にもプライベートにも必須といっていいでしょう。
上下を比較するとポイントが見えてきます。最大の違いは「運転免許」ですね。
免許制にすることの意味
自動車もインターネットも、現代社会では仕事・プライベートに欠かせません。しかし交通事故や情報セキュリティ事故が起きれば、組織・個人関係なく、大きな損失が発生します。
だからこそ、自動車においては「道路交通法」を整備し、運転を免許制にして安全に運転できる能力を持ったものだけが、車を運転できるようにしているのです。
さて、一方「情報セキュリティ」はどうでしょう。事故が起きると重大な損害が出るのを分かっているのに、自由にインターネットに接続させていますね。これは無免許で車を運転しているようなものです。そりゃあ、事故も起きるでしょう。
情報セキュリティの知識は本当に難しいのか
おそらく会社でも、情報セキュリティに関するルールがあるでしょう。また、公的機関も様々なガイドラインを出しています。
“それらを理解するのは大変だ”という意見も当然あります。そのため「セキュリティ対策をコントロールする人材が必要なのだが、絶対的に不足している」と一般には考えられています。
でも、安全に情報を扱うための知識と、安全に車を運転するための知識って、どちらが多く必要でしょう?情報セキュリティの資格も運転免許も持っている私とすれば、圧倒的に安全運転の知識の方が多いと断言できます。
- 道路交通法
- 車の構造
- メンテナンスの基礎
- 道路標識
- ハイドロプレーニング現象などの危険な物理現象
- 保険制度
…など、知らなければならない知識は圧倒的に多い。それでも、仕事に必要だったから頑張って運転免許を取りました。
翻ってみて、安全運転の技術より簡単なはずの「安全な情報の取り扱い技術」は、仕事に必要なのになぜ皆さん習得しようとしないのでしょう?私には不思議でなりません。
もちろん、DNSの設定やDMZの構築とかになれば、難しいでしょう。でもそのレベルは、車で言えば自動車修理工場の方がやることです。そこまでの知識は情報セキュリティでも社内の人材として求める必要はありません。
インターネット上の安全運転
私に言わせれば、大部分の情報セキュリティ事故は、情報ハイウェイを無免許運転で走り回らせて取り締まりも行わなかった末での事故にしか見えません。ほとんどの方が言わば「インターネット暴走族」。事故も当然起こるでしょう。
自動車運転と同じように、接続前にPCの安全を確認し、ネットワークの状況をチェックし、アラートを無視せず、危険なサイトを通らない、群れて酷い発言をしない、等を意識すれば、そうそう事故は起きないはずです。
自ら情報セキュリティの知識を学ぼうとせず、システム担当者に丸投げするような方たちは、「会社独自の自動運転車を作れ」と言っているようなものなのです。
現時点で自動運転車に乗りたいですか?
まだまだ安心して運転を任せきれる自動運転車は出てきていません。それなのに、多くの企業の経営者が情報セキュリティに対してだけは、自動運転車レベルの要求を自社エンジニアに要求するのです。事故が起きた時の保険もかけずに。
情報セキュリティ人材不足の問題をこじらせないために
情報セキュリティ人材不足と言いますが、その原因の最大のものは「情報セキュリティを学ばない社員及び経営層」にあります。
仕事に必要なものなのだから、最低限の知識を学ぶのは当たり前の話です。そこをすっ飛ばして、外に対応を求めるから、いくらでも人材が不足してしまうのです。
まずは、社員全員が安全な情報の扱いを覚えること。その上で不足するセキュリティ人材が本当に不足している人材なのです。人材不足を嘆く前に、自らの胸に手を当てて、知識不足を鑑みてみませんか。