今日、企業や政府などの組織がさまざまなサイバー脅威に直面していることは、周知の事実である。高度に洗練されたサイバー犯罪集団が暗躍し、マルウェアが旧種・新種を問わずばらまかれ、人は、フィッシングメールをつい開けてしまったり、感染したUSBメモリーをPCに挿し込んだり、といったことを相変わらず繰り返している。

このような事態の解決策は幾つか存在しているが、基本的には正攻法である。サイバー犯罪者とマルウェアは、その数を減らすことも、サンドボックスに収容することも、さらには、調査・追及することもできる。他方、過ちを犯した社員には、サイバーセキュリティの重要性を徹底的に理解できるようになる手引書を手渡し、しっかりとした設備環境で定期的に研修させ、二度と同じ過ちを繰り返させないようにすることができる。

こうした方策は、ウイルス対策ソフトのような他の防御措置と併用されれば、企業が直面するサイバーリスクをかなり減らすことができるだろう。とはいえ、上記のような理由で、脅威というものは完全に根絶するのは不可能である。

しかし、自社の防御を確かなものにする方法はある。それは、情報セキュリティ部門に技術力の高い優れたサイバーセキュリティの専門家（技術者）がいる、ということだ。たったこれだけのことが、しばしば、セキュリティ事故にうまく対応できる企業とそうでない企業との違いを生むのである。

ようやくこの問題に気付き、どうにかしようとする企業も出てきた。米国の人材派遣会社ロバート・ハーフ（Robert Half）社が最近発表した報告書によると、今日の組織は、自分の身を脅威から守るために「能力の秀でた者」に投資しなければならないようだ。この投資により、サイバー攻撃とサイバーリスクに対するビジネスの考え方や対応の仕方を、変えることができるのである。

ロバート・ハーフ社の主任経営部長であるフィル・シェリダン（Phil Sheridan）氏は、この報告書の中で次のように説明している。「増殖するサイバー攻撃者にうまく対処していくために、企業は、今繰り広げられているサイバー脅威がどういうものか理解できるような、IT技術力の高い社員を必要とします。隙のない確かな戦略があれば、企業は、サイバーセキュリティの未来に備えることができることでしょう」

技術者不足

そうであれば組織は、ただ情報セキュリティのプロを何人か雇えばいいということになるのであろうか。確かにそれで問題は解決でき、リスクを減らせるのではないか、と思うかもしれない。そう簡単にいけばいいのだが、実際はそうはうまくいかない。

残念ながら、技術者は圧倒的に不足している。セキュリティの世界は、新しい技術と進化を続ける脅威の多様性に直面し、絶えず変化しているのだが、他方、職業としてのセキュリティは、それに追い付くほど速く対応できていない。こうして優れた技術者の数が、足りなくなるのである。

企業は、自社のITシステムとネットワークを防御するために、いろいろなプラットフォームやツールへの投資を増やしているが、データの盗難や詐欺の脅威が目立って増加し、「自分のPCを職場に持ち込んで仕事をする」風潮（＝BYOD）やIoTの急成長もあって、セキュリティ専門家への求人は増え続ける一方だ。
「新しいテクノロジーは、新しいセキュリティ上の懸念を生み出します」と、シェリダン氏は強調する。「この流れが、ITセキュリティ技術力の欠如を引き起こしています。専門家による介入が、IT脅威が進化するペースに追い付いていないのです」
さらにこの調べでは、次の5年間に英国企業のCIO(最高情報責任者、Chief Information Officer)の77%が、有能なITセキュリティ技術者の不足が原因で、より多くのセキュリティ脅威に直面することになる恐れがある、と考えている。
米国ソフトウェア大手のスパイスワークス（Spiceworks）社が出した別の報告書もまた、この技術者不足を強調している。IT部門の社員が自社のサイバーセキュリティの専門家（技術者）と一緒に仕事をしていると答えたのは、米国と英国のIT技術職のわずか29%にすぎないことを明らかにしている。

興味深いことに、国際的なNPOでセキュリティ訓練団体であるISC2（国際情報システムセキュリティ認証コンソーシアム）の報告によれば、セキュリティ担当者のほぼ半数(45%)が職能認定された社員がいないという会社組織の体制を非難している。

Facebookと競合する情報セキュリティ

この技術者不足の理由は幾つもある。中でも主な理由は、情報セキュリティが、一山当ててやろうと夢見るシリコンバレーの人々の世界で負け戦を戦っている、ということである。

結局のところ、セキュリティ専門家の多くが認めるところでは、情報科学の高学歴者たちは、ほとんど皆、セキュリティエンジニアやセキュリティ設計者になるよりも、TwitterやFacebook、Instagram級の発明を自分で成し遂げることを望んでいるのだ。また、米国のテレビドラマ「ミスター・ロボット」のせいかもしれないが、「セキュリティ業界で働くにはエンジニアでなければならない」と思っている人も多い。しかし、必ずしもそうとは限らず、実際は、他の業界からやって来て、情報セキュリティ最高責任者（Chief Information Security Officer）として頭角を現す人もいるのである。

また単純に、将来の進路を考える若者が情報セキュリティ業界のことを知らないだけ、という指摘もある。「未来の安全を守る――サイバー技術者不足に終止符」と題された最近の報告書によると、1980年代から2000年代前半に生まれたミレニアル世代の62％は、サイバーセキュリティ業界が就職先の選択肢としてあることを、教師や就活担当者から一度も聞いたことがなかったという。

最近の数字は、技術者不足であるというだけではなく、それが常に拡大しつつあることを裏付けている。「セキュアコンピューティング・マガジン」（SC Magazine）誌の2015年の調査によると、セキュリティ関連の学位への関心やその取得数が減り始めており、ISC2の見積もりでは、2017年には200万人の専門家が足りなくなる。残念ながら、技術者不足がすぐにでも緩和される見込みは、全くないのである。

まだ希望はある

しかし幸い、トンネルの出口に光が見える。最も優秀な学生を入社させるために大学と提携関係を結ぶような、目先の利く企業の数が増えている。政府も大学側にセキュリティ関連の講座を開き単位認定をするよう要請し始めている。また「サイバーブートキャンプ」や「ハッカソン」（ソフトウェア関連の人たちが集まるイベント）のような大会も絶えず行われており、そこで自社に必要な人材を見つけ出し、雇い入れることもできる。

セキュリティ管理、リスク・マネジメントの改善、サイバー犯罪者の締め出し……こうしたことのために、強力なセキュリティチームが必須となる。その一環として、最適なセキュリティ対策ソリューションを導入するほか、しっかりとしたサイバーセキュリティのノウハウと経験を備えるとともに、侵入テスト担当者と協力して自社のIT環境を定期的にチェックし、改善していかなければならないのである。