世の中はネタに溢れてる
いや,わかっちゃいたことではあるけどw
「ハッカーの人材育成」という話を以前より耳にするようになった
まぁ,それ自体は喜ばしいことwではあるのだけど,パブコメ募集にあたり,また色んな意見が出てくるようになった.これもまた喜ばしいこと.そして,今年の白浜シンポジウムでも夜はこういう話が出てきてたというのを聞いてたり.
その一端として,北野さんの日記(2013年6月2日)に表される危惧とかもあったりする.これについて少し掘っていこう.ちなみに北野さんの意見にはおおよそ賛同はできるんだけど,そうでない部分も少しだけ存在する.そこについては後で明らかにしていくことに.
セキュリティ人材の育成(1)〜育成された人材の出先や待遇は充足しているか?(概要)
えーと,個人的には,まったく充足していないね!という一言に尽きる.
この一点において,北野さんとオレの意見は一致を見たw
で,この意見は,サイバーセキュリティ戦略(案)の中に文言として出ている
人材の発掘・育成を、採用・活用につなげていくことも必要である。そのため、政府機関が率先して、情報セキュリティ人材の外部登用を行う。
というところが端的に表していると感じた.
ただ,登用にあたって「発掘/育成された人材が,その能力に見合った待遇を得られる」か?といわれると,これまた疑問である.これは政府機関のみならず,民間も同様である.
あとで書くけど,今,業務で従事している人たちの数が足りないとか,従事してる人たちのスキルが足りないとかいう話とも絡んでくると感じている.
セキュリティ人材の育成(2)〜人数は足りてるのか?足りてないならばその理由はどこに?
この点については,以前日本記者クラブの記者会見とかJIPDECでの講演でも触れさせていただいたところではあるが,人材がなんでいないのか?(不足してるのか?)というところで(仮説混じりではあるけど)触れている.
元ネタは,「情報セキュリティ人材の育成に関する基礎調査」報告書(2012年)で述べられている数字.
「人が2.2万人たりない」「いまセキュリティに従事している人数が約23万人だが,そのうち必要なスキルを持っている人材が9万人」と述べられているけど,これは結構深刻.なにせ,今セキュリティ関連業務に従事している人の半数以上が必須スキルを満たしてないということなんだから.
セキュリティ人材の育成(3)〜育成された人材の出先や待遇は充足しているか?(詳細?)
かなり直感的な話になるけど,セキュリティ人材の育成〜育成された人材の出先や待遇は充足しているか?(概要)にて,「個人的には,まったく充足していないね!という一言に尽きる.」と書いた.
そりゃ,出先や待遇が充足していないところに,「セキュリティのスキルを磨いて」という人はそうそう出てこないし,今セキュリティ関連業務に従事している人も,待遇や評価がついてこないのであれば,自身の知識を増やしたり業務関連スキルを向上させたりということにはなかなかつながってこない.また,セキュリティ関連のスキルを持っている人は,自然と他の分野についてもスキルフルであることも多い.となると,評価されないセキュリティ関連業務に従事するよりも,評価される分野の業務に従事するほうが,自分のためになると考えるのは自然だ.
結局,自身が必要とされるかどうかわからない,もしくは自身が磨いたスキルや蓄えた知識がどう活きるかわからないところに,自身が持つ資源を投資してというのは,そちら方面の知的好奇心に旺盛か,よっぽど先を見て危機感を抱いているか,バクチ打ちのいずれかであろう.オレがどれか?というのは想像にお任せするが,もしかしたら全部かもしれないw
セキュリティ人材の育成(4)〜人材発掘・育成を行う側は出先を考えているか?
外からはどう見えるかはわからないけどw,やってる側の一人としてはこういう話もきちんと考えながらやっている.ただ,発掘・育成を行う側としては,そこを通ってきた人たちがどんな方々なのか?というのを正しく伝え,これから行くであろう先の方々に訴求していくというのがメインになるのだが….
ただ正直なところ,人材の出先(これから働いたりする場など)にあたるところ(会社)としてどうするか?というのはやっぱこれからなんだろう,と感じている.
セキュリティ人材の育成(5)〜人材発掘・育成と出先の足並みはこれから揃えて行かないと
卵が先か鶏が先か,といういつもの議論になりかねないところを先に進めるためには,何らかの施策を決めて実行していく,という話と,出先の議論を施策実行を行う前提で進めていく必要がある,と感じている.
例えばオレが関わっているセキュリティ・キャンプとかは,セキュリティ・キャンプ実施協議会という民間企業の集まりからなる団体も開催に関わるようになったこともあって,出先の議論については意識しているというように感じているし,JNSAのインターンシップ制度も,出先について強く意識した結果の施策だろうと認識している.JNSAのインターンシップ制度は,産学情報セキュリティ人材育成検討会による検討を経て実現したものであり,育成と雇用の2つを強く意識したものであると感じている.
なので,北野さんの日記にある
どれもこれも育成する側の体制やプログラム作りのみが行われていて、「育成される側」の視点に基づいた施策が欠けているという気がしています。
ってのは,育成される側だけではなく,「育成される側を受け入れる先」も含めた施策とするのが自然である.
これまでのステークホルダーは「育成する側」「育成される側」という2者しかいなかったが,さらに「育成された側を受け入れる側」というステークホルダーが増えた状態というのが今だとオレは認識している.
もちろん,それぞれのステークホルダーが数と質の両方を兼ね備えているか?といわれると,まだこれからかなぁという認識は持っているのだが,今後取組が進んでいって,さらなる課題が明らかになるとともに解決され,だんだん取組として成熟していくと信じたい*1.
*1:って他人事じゃないんだけどw
セキュリティ人材の育成(6)〜一方で経営者のマインドは?
あまり多くは語らないけど,「口では重要」といいつつ,それに見合うお金も出さなければ人もロクに手当しない,というようにしか見えない.
もしそうでないというのであれば,具体的な事例がほしいし,ちゃんと経営課題の1つとしてそういう部分を認識してる人が多くの企業の経営者として就いているというのでなければ,IPAの2012年の報告書にあるような「人数足りないし,いまいる人の半分以上は使えねえヤツ」という状況にはならないはず….
あと,業務を行うにあたってマネジメントは必須だし,その重要性は身にしみているつもりだが,マネジメント側に偏重しすぎてないか?というのが個人的な所感である.
いろんな会社の人と話をしていると,「マネジメントをする人はきちんと処遇されるパスがあるけど,エンジニアについてはそんなパスねえよ」というパターンがあまりにも多い.また,いろんな会社でマネジメントを行う立場の人とも(年齢的にw)話をする機会があるのだが,マネジメントに偏った人から出てくる話は「技術は買ってこれる」というようなこと.
いやまぁ,確かにそうなんだけどw,「買ってこれる」と「適切なものを買って使いこなせる」ってのは,全然違うでしょwと言いたいわけでして.
あと,適切なものを買うには,相応の技術者がお相手をしないとそういうものは出てこない,というのもポイントだったりする.ここできちんとお相手できる人をアサインできないと,変なモンをごてごて売りつけられた挙句,使いこなせないという結末に陥りかねない.
自社で使うものとかかかわるものくらいは,きちんと自社で把握せえよ,というのがオレの持論であり,ITがノンコアであるというならばまだしも,ITがコアになってる企業でIT技術を外出しにするなんていう本末転倒なことはやめたほうがいいよ,と言いたい.
何の技術やシステムを自社の売りにしているのか,てのもあるだろうけど,少なくともシステム開発をしたり運用したりとかいう会社は,それをメインにするのか業務上必要だからやっているのかにかかわらず,ちゃんと把握しときなさいよ,と言いたい.
セキュリティ人材の育成(7)〜まだまだ続くよw
チトいろいろ書いたけど,本件は一度書いたからどうという話ではなくて,ことあるごとに振り返ってみないといけないネタだと感じている.
なので,(次いつになるかしらんけど)まだまだ続くよwと書いておく.
