若手セキュリティ人材に知らせたい、「ちゃんと守れた」を伝える訴求力 「問題が起きない＝評価されない」にしない考え方

阿部慎司氏（左）、辻伸弘氏（右）

　スマートフォンとインターネットが生活に当たり前のように入り込み、さまざまなビジネスでもオンラインを無視することができなくなった。それに伴い、サイバーセキュリティの重要性は高まってきている。しかし、肝心のセキュリティ人材は不足しており、サイバーインシデントは絶えることがない。

　一方その現場には、セキュリティのために働く人々がいる。ITmedia NEWSでは、その“働くセキュリティ人”たちに注目。2021年度の総務大臣奨励賞を受賞したポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わるキーパーソンたちを訪ね、その未来を語る企画をスタートする。

　第1回となる今回は、日本セキュリティオペレーション事業者協議会（ISOG-J）の「セキュリティ対応組織の教科書」やITU-T国際標準勧告「X.1060」を執筆し、GMOサイバーセキュリティ byイエラエでSOC（Security Operation Center）事業を立ち上げた阿部慎司氏を迎え、SOC人材の未来やサイバーセキュリティの理想を語り合った。その対談の様子を前後編でお届けする。

　後編となる本稿では、若手セキュリティ人材に知ってほしい考え方や、それをどのように伝えるかが焦点となった。

前編：「大企業を守るには、中小を守らねば」──セキュリティの“周回差”、ニッポンらしい埋め方は

●「セキュリティ人材」に必要なスキルとは？

──セキュリティ人材不足が叫ばれています。人材育成に関して感じることはありますか？

辻：僕、人を育成したことはあんまりないんですが、その思いだけは人一倍あります。世に言う「空回り」ですけれど（苦笑）

　セキュリティ人材を育成することは大事なことだと思うんですけど、“とがった人材”に話が行きがちすぎるというか。そういう人たちを育成すること自体は悪くはないんですが、お客さまが置かれた現状とのギャップを埋めにくく、セキュリティに詳しいがゆえに、セキュリティに詳しくない人たちの気持ちや、感覚を掴みにくく、理解するまでに越えないといけないハードルがいくつかあるように思うんです。

　技術は、時間とお金、そして労力をかければある程度ついてくると思うんです。それを人に伝える、あいだを取り持つということは、相手のリソースを考えつつ、100％ではなかったとしても「このくらいがいいのでは？」と言えること。いまよりもいいものに導けるスキルこそ、これから求められるものなのではないかと思います。