昨日の夜、こんな景色が見えるあたりで、先日行われた若者育成キャンプの反省会が開かれた。
そのあとの懇親会で、実行委員長のM氏とあれこれお話をしていたのだが、若者たちに「セキュリティ」を教えることが、彼らの将来にどう役立っていくのだろう、という話になった。「プログラミング」とかいうことならば、直接的に、その力を活かしてIT業界で活躍・・・という構図なのかもしれないが、「セキュリティ」もやはりそうなのか。M氏はキャンプの卒業生がそのままセキュリティ業界に行ってほしいとは思わないと言う。一旦、他のIT技術、たとえばプログラミングなどを学んで、そちらの仕事をしてからセキュリティの世界に戻ってほしいというのである。
実は私も同じことを考えていた。そもそも、「セキュリティ」は、何か「守るべきもの」があって「それを脅かすものがいる」という構図があって成り立つものだ。「守るべきもの」を知らずして、それをきちんと守ることは難しい。純粋に「セキュリティ」のみを学んで(そもそもありえないと思うのだが)それで仕事ができてしまうような世界はちょっと変だ。
「セキュリティビジネス」がひとつの業界になるのはいい。だが、セキュリティ「専業」の企業ができることの範囲は意外と狭い。なぜなら、それ以上の範囲に踏み出そうとすると、顧客のIT全般、さらには業務に踏み込んでいく必要が生じるからだ。これには、相当な「総合力」が必要だ。まさに、この部分はIT業界全体においても大きな課題となっている部分である。これを避けてセキュリティだけを生業とするならば、単に製品を売るか、何か起きた際の「技術的な」火消しのお手伝いをするか、型どおりの検査や監査、監視のサービスを提供するくらいしかない。ただ、このレベルだと顧客の側にも、自分たちの仕事にあわせてセキュリティ企業を使いこなす力が求められるのだが、実際、多くの企業にその力はない。そのままだとセキュリティをなかなか買ってもらえないから、セキュリティ専門企業は顧客の恐怖心を煽る行動に出る。恐怖をあおられた側は、それを無視するか、安心感を得るために、その効果もきちんと評価できない状態でセキュリティを買うかしかない。結果として顧客のセキュリティ対策はパッチワーク化する。
企業のみならず、いわゆるセキュリティの「専門家」にも同じことがいえる。(ここでいう専門家は特定技術の専門家ではなく、セキュリティ全般のコンサルタントのようなジェネラリストを意味しているのだが・・)もちろん、業務知識に精通し、最新のIT技術も理解した専門家も多いだろうが(そう信じたい)、付け焼刃の「専門家」に多いのが、「リスク」という言葉を不用意に振り回す輩である。現在、セキュリティのリスクをきちんと定量評価するような手法は一般にはまだ確立されていない。しかし、定性的な分析であっても、いくつかの異なる角度から見てやることで、相対的な重さはある程度判断ができる。だが、リスクは決してゼロにはできない。「リスクがある」というような言い方は、ある意味で殺し文句である。言われた側はそれが些細なリスクだったとしても、かなり委縮するだろう。非専門家に対してこの言葉を使う場合はかなり覚悟がいる。たとえば、その顧客の業務にとても有用な新しい技術が出てきたときに、その有用さを知らない「専門家」が「リスク」を口にしたらどうなるだろうか。この言葉は、顧客の経営層を直撃する。特に、昨今、会社の経営陣は「リスク」という言葉に非常に神経質になっている。間違えば、せっかくその企業の優位性を高めるかもしれない新技術がお蔵入りしてしまうかもしれない。漠然とした「リスク」の一人歩きにはこうした危険がある。「リスク」を口にする以上は、それが、相手にとってどの程度のインパクトをもたらすのかをきちんと説明し、ビジネス上のメリットとのバランスをとれるだけの情報を提供できなければ、「専門家」とはいえない。そのためには、セキュリティの教科書を読んだだけではだめなのだ。セキュリティを「売り逃げ」するつもりならば別だが・・・。
そういう意味で、若者たちには広い勉強や仕事をしてほしいと思う。その上で、彼らがまたセキュリティの世界に戻ってきたとき、彼らは本当の意味での「専門家」になれるのだろうと思う。 自戒を込めて言えば、そういう意味での勉強には終わりがないと思っている。常に最新のIT知識や、さらには経営知識や様々な知識や経験を積んでいくことをやめてしまったとき、セキュリティ屋としての自分のキャリアは終わるのだろうと思う。さすがに、もう若くない身としては、かなりきついのだが・・・・、まぁ、頑張るしかない・・・か。
コメントする