「ビジネスを継続するためのセキュリティ」という考え方
――CISSP/SSCPの特徴を教えてください。他の資格とはどのような違いがありますか。
小熊氏:たとえば、情報処理技術者試験の情報セキュリティスペシャリスト試験は、セキュリティ技術を知っているかどうかを問う試験です。もちろん、技術について知識を得ることは大切ですが、CISSP/SSCPでは、ビジネスを問題なく継続するためにどのようにセキュリティを実施すべきかの理解をより重視します。
セキュリティを、レースに出る車のブレーキに例えてみましょう。単にブレーキの仕組みが分かるだけでは、レースに勝つことはできません。レースに勝つためには、どのようなブレーキが必要で、それをどのように使用すればよいかを考える必要があります。このように「セキュリティの目的は組織のミッションを実現すること」という考え方が、CISSP/SSCPでも求められます。
――ブレーキの仕組みだけにこだわっていると、取得は難しいということですね。
小熊氏:CISSP/SSCPは、(ISC)2CBK[3]をもとに、資格取得に必要なドメインを定めています。各ドメインは、技術だけではなく、技術をどのように活用してセキュリティを設計・計画し、実装して運用するかまでをカバーしています。そのため、セキュリティの技術を知っているだけでは、認定試験に合格するのは難しいでしょう。
次世代のセキュリティ人材育成の大きな壁
――ところで、セキュリティ人材へのニーズは現在、どのような状況ですか。
小熊氏:セキュリティ関連の会社では常に人材不足が問題になっています。特に、若い人材が不足しています。情報セキュリティについては世間でも騒がれていると思うのですが、興味が持てないのか、若い人が入ってきません。セキュリティ人材の高齢化は日本国内だけでなく世界的な傾向で、(ISC)2でも大きな問題と認識しています。情報セキュリティの専門家を目指すには、リスク管理の知識のみならず、ネットワーク、Web技術、OS、データベースなど幅広い知識が必要です。それがセキュリティ分野への敷居を高くしているのかもしれません。
(ISC)2では、若い人にセキュリティに興味を持ってもらうために、IAP(International Academic Program)に取り組んでいます。IAPは、大学や教育機関にセキュリティ関連の教育カリキュラムを提供するプログラムです。日本では東京電機大学と沖縄のKBC 国際電子ビジネス専門学校に展開していますが、今後他の大学や教育機関にも広めていきたいと考えています。
――気になるのは、セキュリティ人材の求人が今後も継続するのかという点です。
小熊氏:現在は情報セキュリティを請け負うどのITベンダーも案件をたくさん抱えており、先に述べたとおり人材不足の様相を呈しています。ただし、国を挙げての情報セキュリティ対策は2020年の東京オリンピック開催がマイルストーンとなっており、それ以降も安定して案件があるかというと、不安視する声も聞かれます。
ただ、最近の新しい動きとして、これまで大半がITベンダーに就職していた情報セキュリティの専門家が、ユーザー企業に就職するケースが増えてきています。情報セキュリティはITベンダー任せだったユーザー企業が、自社内にCSIRT[4]を設置するなど、情報を自分たちの責任において管理するという意識が高まっていることが背景にあります。その流れが本格化すれば、セキュリティ人材の受け皿はぐっと大きくなるはずです。
注
[3]: (ISC)2 Common Body of Knowledge。セキュリティ分野におけるグローバルレベルの共通知識や情報、ベストプラクティスを集めて体系的に編集したもの。1989年に(ISC)2が作成。(ISC)2の各種資格は、(ISC)2CBKをベースに開発されている。(⇒(ISC)2 Japan「(ISC)2CBKとは」)
[4]: Computer Security Incident Response Team。セキュリティインシデントを監視し、発生時に対応を行う組織のこと。
