【編集部注】筆者Robert Ackerman Jr.は、アーリーステージのサイバーセキュリティベンチャーAllegisCyberの創業者であり、最高業務責任者を務める。また、ワシントンD.C.拠点のサイバーセキュリティスタートアップDataTribeの創業者でもある。
新年が始まり、表面上はサイバーに関して平穏が続いている。ここ数カ月、大きなサイバー攻撃はなく、現在もなさそうだ。
しかし、良い時というのは長くは続かない。サイバー攻撃というのは概して波となってやってくるものだ。次のサイバー攻撃はやがて起こる。そして2019年というのは最悪の年となるだろう。というのも、企業は効率を高めるためにデジタル化を急速に進めていて、と同時にサーバー攻撃の“ターゲットゾーン”に足を踏み入れつつあるというのが現実だからだ。
さらに具合の悪いことに、そうした脅威に適切に対応するサイバーセキュリティのプロが十分にいないという厳しい現実もある。
テクノロジー産業はこれまではそうではなかった。経験を積んだサイバーセキュリティのプロは通常、年間9万5000ドル、もしくはかなりの割合でこれよりも多い額を稼ぐ。にもかかわらず、この職の募集は絶えずある。これまでになく不足しているサイバーセキュリティの雇用状況により、企業が必死に助けを求める事態となっている。
2017年9月から2018年8月にかけて、米国の雇用主はサイバーセキュリティ専門家の求人を31万4000件近く出した。NICE(サイバーセキュリティ教育イニシアティブ)によると、こうした求人が全て満たされていれば、現在のサイバー労働人口は40%増の71万4000人になっていたはずだった。需要の観点から言うと、それでもこの数では絶対的に足りない。
世界で300万人のサイバーセキュリティプロ不足
世界最大の公認サイバーセキュリティプロの非営利団体(ISC)2は最近の調査で、世界中で現在サイバーセキュリティの人材300万人が足りていないと指摘している。
企業は積極的に人工知能と機械学習を採用するなどしてこの問題に部分的に対処しようとしているが、この取り組みはまだ比較的初期の段階であり、問題を若干減らす以上のことはできない。大企業は手いっぱいで、中小企業よりも状況は悪い。大企業は防御体制が弱いために、そしてさらに大きなパートナー企業への“通路”として利用できることから、中小企業よりも攻撃されやすい。
では、どのような才能を持つサイバーのプロを、企業や政府は求めているのだろうか。
なるべくなら、プログラミング、コンピューターサイエンス、またはコンピューターエンジニアリングで学士号を持っている人を彼らは求めている。また、統計や数学のコースを専修した人にも熱い視線を注いでいる。加えてサイバーセキュリティの資格や、そして当然のことながら侵入検知や安全なソフトウェア開発、ネットワーク監視といった人が足りていない分野の専門家としての経験も求めている。
そうした要件を満たす人が理想だが、現実には社会に出たばかりのサイバープロの経歴はそれほど良いものではない。
きちんとしたトレーニングがあったのは過去のこと
サイバーセキュリティというのは、非伝統的なバックグラウンドを持つ人々を抱えてきた分野だった。30才以上のサイバーセキュリティのプロたちはほとんどサイバーセキュリティの学位を持っておらず、多くがコンピューターサイエンスの学位すらも持っていない。プロになるには、特定のツールやテクノロジーに通じるためのトレーニングを要する。通常は専門学校やブートキャンプで行われるトレーニングだ。しかし、さらには探究心や現在の危機をめぐる知識、学習や研究に対する情熱も持っていなければならない。中でも有望となるのが、プログラマー、システムアドミニストレーター、ネットワークエンジニアとしての経歴がある人だ。
雇おうとしているプロに多くを求めるのは、何もサイバー関連の人材不足だけが理由ではない。一般的に、企業はサイバー関連の従業員が最新の技術を維持できるようなサポートをほとんど行っておらず、ITスタッフに関してはさらにひどい。
(ISC)2は3300人のITプロを対象とした調査を18カ月ほど前に実施した。そこでは、教育やセキュリティ技術の履修を推進するための自由裁量権といったもので組織がITスタッフを十分にサポートしていないことが明らかになった。
不十分な企業のサイバートレーニング
また重要な新事実としては、調査対象となった人の43%が、所属する組織が十分なセキュリティトレーニングのリソースを提供しておらず、これによりデータ漏洩の可能性が高まっている、と回答したことが挙げられる。
大学もまた難題を抱えている。調査に回答した85の大学がサイバーセキュリティの学士課程と修士課程を展開している。しかし、ここに大きな落とし穴がある。コンピューターサイエンスプログラムは多様で、常に多くの学生を惹きつけているが、サイバーセキュリティのコースは1つも義務付けられていない。
幸いにも、この点では改善姿勢が見られつつある。いくつかの州が、組織や個人が抱える人材不足の解決を図ろうと、地元の事業所や行政、教育機関のための情報共有ハブを構築する取り組みを進めている。
たとえばジョージア州は最近、新しいサイバーセキュリティセンターに1億ドル以上を投資した。コロラド州にある似たような施設は、次世代テクノロジーを使うための教育プログラムでその分野の専門学校や大学と連携している。他の州でも同様の取り組みが始まっている。
一方で、サイバーセキュリティ和平部隊についての議論もある。基本的にこのモデルは元々の和平部隊と同じようなものになるが、サイバーセキュリティの仕事に特化している。議会による条例が必要で、このプログラムはまだ存在していないが、非営利で働いている人や、自ら人件費やトレーニング費用を賄うことができない組織の興味をひくことになりそうだ。
サイバーブートキャンプとコミュニティカレッジプログラム
サイバーブートキャンプとコミュニティカレッジでは、さらに先を行く取り組みが展開されている。ブートキャンプはプログラマーではない人も受け入れ、主要なスキルのトレーニングを提供して就職を手伝っている。プログラム修了者をサイバー関係の職場に送り出したブートキャンプにはデンバーのSecurest Academy、サンアントニオのOpen Cloud Academy、シカゴのEvolve Security Academyがある。
また、サイバーセキュリティプログラムを提供する2年コースの専門学校12校以上が全米に散らばっている。ブートキャンプとコミュニティカレッジプログラムを組み合わせたものとしては、City Colleges of Chicagoがある。ここは国防省と提携して、現在軍隊に所属している人向けに無料のサイバーセキュリティトレーニングプログラムを提供している。
数はかなり限られているが、テック大企業の中にも踏み込んだ取り組みを展開しているところがある。たとえばIBMは、従来のホワイトカラー、ブルーカラーとは異なる“ニューカラー”と呼ばれる職をつくった。この職ではスキルや知識を重視している。労働者は職場内教育、業界検定、コミュニティカレッジコースを通じてスキルを選ぶようになっている。2015年以来、同社のサイバーセキュリティ部門の20%がニューカラーだ。
それでもテクノロジー企業は、可能性のある候補者を増やし、またスマートな方法でそうした候補者を探し出し、将来チームメートとなるかもしれない人に動機を与えて専念させることにこれまで以上に真剣に取り組まなければならない。そうした人たちは学位や課程修了証明書を持っていなくても仕事をしながら学ぶことができ、ゆくゆくは適応する。それは時間とエネルギーを要することだ、と難癖をつけることはできる。しかし、真に実行可能な手段がほかにないことは明らかだ。
イメージクレジット: Hero Images / Getty Images
(原文へ 翻訳:Mizoguchi)
