この業界にいると、タイトルのような記事やセミナー案内が飛び交うのをよく目にしてしまいます。
https://japan.zdnet.com/article/35099210/
でもね、経営者の皆さん、本当にセキュリティに金かけようと思ってます?
※長いので、続きは本文にて。(´∀`*)
この株価と一部の大企業様だけ景気が良くて実経済はガタガタのご時世、一部を除いてみんな本業をカツカツでやられていて、正直利益に直結しないセキュリティ人材を抱えようなんて思ってないですよね?
そもそも、インフラ整備などの専門外の仕事は、普通の企業様ではアウトソースするわけですし、セキュリティだって、そうすりゃえ~やんかと。
この記事の元ネタは、セキュリティ教育ビジネスを大層やっておられる企業様なので、ちょっと穿った目で見ちゃう自分がいます。
そもそもセキュリティ人材って何よ?ということもあいまいです。
「社内の情報セキュリティの管理や社内システムのセキュリティ対策」とか言ってるけど、前者は情報の管理者(=社長とそこから権限分掌した人)のお仕事だし、後者はコンサルとベンダいれるでしょ、と。
もっとも、コンサル入れても、「アンタのとこは、結局どうしたいのよ?」と聞かれて黙ってしまうことも多いのではと思います。
世の中のベストプラクティスがあなたの会社に合うとは限らないというか、もっとセキュリティって泥臭い世界であって、自分の会社がどうあるべきかを考えて、それをどう投資と妥協(許容)しながら実現するかだと思うのです。
#妥協というとびっくりされるかもですが、現実「経営>>>>>セキュリティ」なのですから、当然妥協することもあります。
少なくとも、どうあるべきかを考えることのできる経営者こそ必要なのかと思います。
細かい技術や実現方法はコンサルが導いてくれますが、どうあるべきかを考えるのは社長にしかできないことですので。
そういう人を補佐する能力のある人を抱えるのは悪いことじゃないですが、難しいでしょうな~と思います。社長補佐なんて、そうそう雇えないですよね?
じゃあ、ベンダ側は?というと、こっちはこっちで不足気味です。
でも、セキュリティ技術者は、今の技術、例えばファイアウォールだとか不正侵入検知だとか資産管理(ユーザ監視システムって言ったほうが実態に合うかも)とか、そういうものを扱えるだけの人じゃダメなんです。
じゃあ、どんな人が必要か?ということを明確に答えてくれているのが、Yahoo! Japanの楠さん。
http://di-council.sakura.ne.jp/2016/kusunoki.pdf
これ読めばわかりますが、結局冒頭のニュース記事が求めている(?)ような、「細かい即物的なセキュリティ技術を知っている人が必要なんだっけ?」と再考させられます。
もっとも、楠さんが仰るような、こんなスーパーマンはそうそう居るもんじゃないですので、世の中的に不足気味なのもしょうがないよね?と思います。
コメント