若手セキュリティ人材に知らせたい、「ちゃんと守れた」を伝える訴求力 「問題が起きない＝評価されない」にしない考え方

　仕事でしゃべることが多くなってきましたが、聞いていただいた方から「分からなかったことが分かった」とかと感想をいただくことも増えました。多分、世の中にある説明が、まだうまく伝わってないのではないか、分かっている人の視点で書かれてしまっている説明が多いんじゃないかと思います。

　人事の人から「どういう人材が必要になるんでしょうか」と聞かれることも多いんですが、技術よりも「ロジカルシンキングができて、会話がちゃんとできて、文章が書ける人」と答えます。こういうのがスキルとして認められないと、ギャップが広がってしまうのではないでしょうか。

阿部：実際に必要なスキルというと、政治力含む社内での立ち振る舞い方とかもですよね。結局、事件は会社のなかで起きているんです。その会社の中で、どう解決するための動きができるかというところがフォーカスされるはずなので、単に技術を持っていても、誰も動かなかったら何も解決しません。

　アウトソース／インソース議論もその一環だと思っていて、セキュリティのことにも下地があるけども、社内のこともよく分かっている必要がある。私がISOG-J（日本セキュリティオペレーション事業者協議会）で書いた「セキュリティ対応組織の教科書 第3.1版」も、アウトソースとインソースの区分って会社の中の情報を使うか、外の情報を使うか、そこにセキュリティのスキルを使うかによってマッピングをしています。

参考：活動成果｜ISOG-J：セキュリティ対応組織の教科書 第3.1版

辻：自分が守るべきものがお客さまであったり、自分の組織であったりといろいろ形がありますが、求められるのは「訴求力」なのではないかと思います。自分たちが入れたいと思う製品やサービスを、上層部にどれだけ訴求できて、説得できるかっていうところ。

　僕もそうでしたけど、若いときは「自分が持つ技術力はすごい」と自己評価が高くなりがちですよね。それを上は何も分かってないみたいなことを言っちゃうのはやっぱりよろしくない。自分の持っている素晴らしいもの、素晴らしさのその価値を説くことができないと、多分お給料も上がらないし、自分たちの成果を見せにくいっていうか。

　セキュリティとは、ちゃんとやっていて守れたのか、それとも攻撃が来なかっただけなのか、パッと見では分かりません。それをアピールする“力”みたいなものがないと、認めてもらえないのではないかと思います。