「IT人材やセキュリティ人材が足りない」というアナウンスがしばしなされる。その中でも筆者の記憶に新しいのは、2016年に経済産業省(経産省)が明らかにした「セキュリティ人材が2020年に20万人(資料によると正確には19万3000人)不足する」(資料PDF)というものだ。
2016年時点で、既に2020年の東京五輪開催が決まっていた。そしてこのアナウンスは、リオデジャネイロ五輪が閉幕した時期と重なる。もちろん、東京五輪はコロナ禍で2021年に延期されたが、ここではあまり関係がない。ポイントは、五輪開催時にどうしても多くなるサイバー攻撃について、その時点で政府が日本のセキュリティ人材や技術者の数では対応できないと発表したということだ。
五輪のような巨大なイベントは世界中から注目が集まる。そして、そういう時には攻撃者のメリットも高まることが多い。もし、サイバー攻撃で五輪の開催に問題が発生すれば、日本政府の面目にかかわり、場合によっては、人命を含む多くの被害も出る。そのため、絶対に失敗できない政府は、リオデジャネイロ五輪が終わったタイミングで、既に人材が足りない状況であり、かつ「猶予があと4年しかない」と問題提起したのだろう。
幸いなことに、結果的にセキュリティ担当者や関係各所の皆さんの尽力もあって、東京五輪ではサイバー攻撃に起因する大きな問題や不具合がほとんど発生しなかった。もちろん、見えない部分ではいろいろな問題が起きただろう。しかし、それが大きな問題とならなかったのだから、きちんと対応された成果なのだとも思う。
しかし、その事実とは別に、この「セキュリティ人材が足りない」という事前の問題提起に対する、当のセキュリティ業界での反応は少々意外なものだった。それは、「育成したセキュリティ人材のキャリアパスをどうするか。それを議論すべきだ」というものだ。
この話を聞いて、納得感が得られたという人は少ないだろう。なぜなら、人材不足なら仕事がたくさんあるはずで、その分野の技術者を増やせば問題解決になると考えるのが自然だからだ。特にセキュリティ人材がITの各分野の中でも、特に高度な人材としてもてはやされる現状からすると、そのような人材のキャリアパスが論点となることに違和感しかない。
しかし、実は筆者も当時同じ危機感を持っていた。現実問題として、IT業界の中でもセキュリティ人材は長年にわたって不遇の時代が続いていたからだ。なぜなら、企業経営者などからは「セキュリティなんぞに幾らお金をかけてももうからない。無用なものだ」とされ、育成や活用も進まなかったからだ。
しかも、これは暴論などではなく、企業経営者にとっては非常に全うな意見であり、正論でもある。もしサイバー攻撃が、ごく一部の運の悪い人だけに起こる現象であったなら、それは正しい。その仮定が正しければ、ほとんどの場合、対策にお金をかけるのは無駄なのだ。
そのため、当時はよほどの大企業かウェブサービス事業者などでなければ、社内に大勢のセキュリティ技術者を雇用するような状況がほとんど見られなかった。また、セキュリティベンダーであっても、その状況が大きくは違わなかった。企業側に買う意思がなければビジネスにならないからだ。セキュリティ業界は、標的型攻撃に代表されるインシデントの発生などで徐々に拡大してきたものの、あくまで特殊枠のような扱いだった。
つまりセキュリティ業界は、2010年代半ばまで、大きなITの中の1つの特殊な分野にとどまっていたのだ。だから政府が「2020年に20万人のセキュリティ人材が不足する」と言っても、セキュリティ業界では、育成された人材によって業界が一気に拡大するという楽観的な予想をしていた人がほとんどいなかった。
「サイバーセキュリティ経営ガイドライン」
話は、20万人のセキュリティ人材不足の見通し発表から少しさかのぼり、2015年12月の話になる。この時、経済産業省から「サイバーセキュリティ経営ガイドライン」が公開された。実際にガイドラインの効果が出るまで数年の期間を必要としたが、公開当時にこのガイドラインを絶賛する人は、少なくとも筆者の周りではいなかった。
なぜなら、「サイバーセキュリティ経営」と銘打った割には、経営におけるセキュリティをどう位置付けるかなどはあまり具体的に示していなかったからだ。そのため、セキュリティ分野で高い経験を持った識者らのコミュニティーでは、当初あまり好評ではなかった。かく言う筆者も、現在ではこれを絶賛しているが、当時はガイドラインが後にそれほど大きな影響を与えるとは考えていなかった。
当時の筆者の率直な感想は、このガイドラインに書かれている内容のほとんどが、それ以前にもさまざまな形で言われてきたことと大きく変わらず、目新しさはがないというものだった。ただし、Computer Security Incident Response Team(CSIRT)を設置して、CSIRTが企業内で平常時に脆弱性情報の収集・分析などを行い、インシデント発生時に対応を行うことを明示していた。これは、企業側の体制に言及したものであり、その点は評価できると感じた。ただ、それも正直に言えば今さらな印象で、それまで情報システム部門に押し付けていたセキュリティ対策の運用がCSIRTに移っただけ――のように感じた。
しかし、結果として筆者の認識は完全に間違っていた。経済産業省は、多くの企業の監督官庁であり政府機関そのものである。その政府が、「セキュリティが企業経営の責任だ」と明示し、その上で「社内にCSIRTを設置せよ」と言った。この影響は非常に大きかった。
ガイドラインの内容もそうだが、たぶん本当に重要だったのは、ガイドラインを公開したタイミングだ。セキュリティ対策が重大な脅威だという世論の合意形成がすぐそこまで迫っていた――そんな絶妙の時期だったのだ。
それまで数多く報道されてきたセキュリティインシデントや、海外での対応状況などにより、サイバー攻撃への危機意識が非常に高くなり、爆発寸前の状態だったのだろう。そこに、企業や組織に対して次のアクションを明示したのが、このガイドラインだった。完全にタイミングの妙である。これによって、その後のCSIRTブームやセキュリティ人材ブームが沸き起こった。
日本シーサート協議会の会員数の推移
上図は日本シーサート協議会(NCA)の会員数の推移だ。2007年の発足時は6社だけだったが、現在では500社・組織近くに上り、特に2015年以降の伸び率が急激なのは、まさにこのブームの影響だと言える。
企業で急激に高まったセキュリティ人材ニーズ
サイバーセキュリティ経営ガイドラインの公開から7年余りが経過し、その後に改定が加えられて現在ではv3.0となっている。セキュリティ業界は、この10年で拡大を見せた成長分野であるのは間違いない。低成長の日本経済の中でも毎年5~10%もの高い伸長を続け、それ以上に変化したのが、セキュリティ人材の待遇だ。
セキュリティ人材を含む日本のIT人材は、そのほとんどがベンダー企業に所属してきた。しかし、サイバーセキュリティ経営ガイドラインによって、急にユーザー企業側でセキュリティ人材が必要になった。これまで、セキュリティどころかIT導入や保守もベンダー企業に頼ってきたユーザー企業にとって、これは大きな方向転換だと言える。結果的に、これまでセキュリティ人材がほとんどいなかったユーザー企業にキャリアへの道が開けた。しかも、希少な人材だったこともあり高待遇でもあった。つまり、先に述べた業界の識者の悩みだったキャリアパスの問題も一瞬で解決してしまった。
これまでユーザー企業には、セキュリティ専門の組織などが実質的になかった。そのため、まず組織やプロセスをゼロから立ち上げる必要がある。しかし、そのようなことができる人材が社内にいないため、企業(特に大企業)が我先にと、経験のあるセキュリティ人材を採用する流れとなった。そもそも、セキュリティはあくまでITの中の特殊な一つの分野でしかなかったため、その少数の人材を取り合う様相となり、セキュリティ人材の待遇は高騰した。
しかも、ちょうど同じタイミングでDXが出てきた。AIやIoTなどのデジタル技術を駆使してビジネスを変革させるために、ITに強い人材が必要となった。このような情報を活用する人がさらにITの役割を拡大させ、そのことによって守るべき情報も増えることになり、情報を守るセキュリティ人材のニーズをさらに高めることになったのだ。
「セキュリティがもうかる職業」に
「風が吹けば桶屋がもうかる」と言うが、世の中の情勢はこうも変わるものかとの思いに駆られる。ベンダー企業とユーザー企業(主に大手企業)で取り合う図式となり、直近の数年間はこのような状況がずっと続いている。
しかし、サイバーセキュリティの業務は、サーバーやネットワークといったIT基盤の知識がないと対応が難しいこともあって、短期間での育成が難しい。さらにDXや、特に製造業が作る製品の中核部分のIT化も同時に起こった。自動運転機能などを備えるITの塊のようになった自動車などがその代表例だ。人材の増加が難しいことに加え、このようなITの利用範囲の拡大もあり、このトレンドはしばらく収まることないだろう。
このようにして、セキュリティ人材が重要という潮流が太く確かなものとなった。そして、これは不遇だったセキュリティが表舞台に上がった瞬間でもあり、大企業を含む多くの企業がセキュリティ人材を厚遇したことから、同時にセキュリティがもうかる職業に変わった瞬間だった。これは、この状況を事前に想定していたかどうは置いておいて、結果的にはIT分野における経産省の最大のファインプレーだったと筆者は感じている。
