たまにはちょっと、真面目に書いて見る。
最近、情報セキュリティ人材育成の掛け声が勇ましい。かつて、セキュリティー甲子園というのをやった頃に、ハッカー育成する気かと揶揄されたのはどこへやら。CTFをやろうという動きが盛んだ。
しかし、ちょっと考えて見たい。世の中が本当に必要としている人材はどんな人材だろうか。確かに、高度なセキュリティー技術というものがあるならば、それを持つ人材は非常に限られている。しかし、こうした人材が必要とされる局面は、実はそれほど多くない。むしろ、日常のIT現場できちんとセキュリティーを意識した開発や運用ができる人材が極端に不足しているのではないか。
そうであれば、最初に必要なのはIT技術者のセキュリティーに関する教育であり、攻撃、防御技術に特化した人材ではない。サイバー戦争、サイバーテロ、某国は数千人体制の部隊構築といった言葉に踊らされて政策を誤ってはいけない。
もちろん、最先端の技術を持った人材は必要だが、粗製乱造では困る。少なくとも体系的にITを学んだ上で、セキュリティーの領域を深めて行くような教育のあり方が必要なのだ。その上でのCTFなら意味があるのだが、単純にクイズ大会みたいなものだけをやっても、あまり意味はあるまい。中途半端な人材が需要を越えて供給過剰になったあげくに、ダークサイドへ大量流出する、というのが最悪のシナリオである。人材育成はまず、現状分析から考え直すべきだ。セキュリティ人材育成といえば、CTFというような風潮を作るのはそろそろやめなイカ!。
コメントする