人材育成は今日・明日の業務のために行うわけではない
――情報セキュリティ人材の育成には何が必要でしょうか。
まず、教える側の人材を育てなければならないと思います。CISSP認定資格者を3人育てて、その3人がさらに後進を育てるといった、人材の量産を考える企業もありますが、そのようなネズミ算式の方法で、実務のできる人材が育つことはほぼありません。
また、中長期的な業務計画に沿って、長期的な計画の下、人を育成していくことが必要です。人材育成は、今日、明日の業務のために行うわけではありません。現在、東京オリンピックに向けて情報セキュリティ人材の育成が急務と言われていますが、個人にとっても企業にとっても、それがゴールではないのです。
――教育を受ける側にも不安がありますよね。今は東京オリンピックがあるから政府や企業がセキュリティに注目していますが、終了後はどうなるのだろうと……。
その点については、企業側がきちんと道筋を示すべきだと思います。キャリアパスと知識や技術、スキルを生かす場が見えなければ、人は定着しません。
企業の経営層の方が「最近の若者はすぐ辞める。理由が分からん」とおっしゃることがありますが、若い、若くないは関係ないですね。問題は、本人のリソースを企業の都合で消費するだけの、焼畑農法的な人材の使い方にあります。マネジメント層が情報セキュリティの重要性を根本的に理解しておらず、長期で取り組もうとしていない。「今はセキュリティ、数年後はクラウド」というように、必要な技術・スキルが異なる業務を次々と行わせていくのでは、後に何も残らず専門性が身に付きません。
――モチベーションも保てませんね。
ホームページに謳いたいばかりに、資格や修士・博士の取得を奨励する企業がありますよね。でも、取得しても放置され、資格を活かせる機会を与えられないことも多い。そのせいか、企業の支援を受けずに自費で、終業後に学校に通う人もいらっしゃいます。知られると「仕事のほうが大事だ」と言われるので、会社には内緒で。
そういう人は、自分のキャリアがかかっているのでものすごく真剣です。ゼミの発表や卒業試験といった日には、遅刻や欠席をしないように仕事を休んでくる。そして、取得後には別の会社に移っていく。
いくら資格取得を奨励していても、そういう状況を作っていては人材育成にはつながりません。資格を取得するまでを手厚く支援するのではなく、取得後にどのように学習を継続させるか、どのように業務に活用させるかを考え、キャリア形成を手厚く支援することが重要です。
見学にいらっしゃい! 業務を知れば何を学ぶべきかイメージできる
――では、企業が長期的に情報セキュリティ人材を育成していくにはどうすればよいでしょうか。
弊社の例でいうと、職種や業務に応じた学習コースを社員が受けられるようになっています。また、社内ではいろいろな技術をテーマに自主的に集まって勉強会を開くといった仕組みもあります。
ただ、個人的には、一企業がすべてを提供できることはないと考えています。弊社は人材育成に力を入れているほうだと思いますが、それでも十分ではありません。社内で教えられることには限界があります。それ以上のことを学び、経験するために、企業は、社外のコミュニティや勉強会にも積極的に参加するように促してほしいです。
就業中のイベント参加に難色を示す企業がありますよね。あと、報告書の提出を義務付けていたりとか。イベントで、一所懸命にPCに向かってメモを取っている人がいますが、それで講演の内容が頭に入ってこないのでは本末転倒です。それで帰社後にレポートを提出しても、他の人にはほとんど伝わりません。メモを取ることよりも、話を聞くことに集中し理解することが重要です。レポートを提出させて満足するのではなく、社外で得られるものを吸収できるようにしてほしいです。
――情報セキュリティ分野の資格を取得することに意義があると思いますか。
それは、資格を取得した後に自分の業務に活かせるかどうか次第だと思います。ただ、資格を取得することで、同じ知識・技術レベルの人と共通言語を持てるというメリットはありますね。資格の試験範囲や知識分野は明確に定義され、公開されていますから、資格を取得していればそういった知識を知っていることを前提に話ができます。それがグローバルな資格であれば、海外の人ともコミュニケーションを取りやすい。どの資格にも長所/短所がありますが、定期的に学習して維持しなければならない資格であれば、昔の知識だけでなく、最新の情報セキュリティの知識や事情についても継続して知っていることの証明になります。
――最後に、セキュリティ業界を目指す人にアドバイスをお願いします。
まず、情報セキュリティの仕事について知ってほしいです。弊社では多くの学生さんに、セキュリティ運用監視を行っているJSOC(Japan Security Operation Center)の見学へ来ていただいています。実際の業務の内容や現場に触れることで、詳細は分からないまでも、自分がどのような業務を行うかイメージはできると思います。そうすれば、何を学ぶべきか、どのような知識や技術が必要かもイメージできます。できれば、いろいろな企業を見学されるとよいでしょう。
弊社の受付には、各地の警察のマスコットが飾られています。企業だけでなく、警察組織などにも情報セキュリティの仕事がたくさんあるのです。情報セキュリティ人材を採用するユーザー企業も増えています。業種や業態にかかわらず、どのような場所でもITシステムも利用していればセキュリティが必要です。今は人材が特定の分野に偏っていますが、今後は横断的に広がっていき、連携していくことになると思います。企業、社会、そして国を守る仕事です。悪い仕事ではないでしょう?