今朝は、気温が高め。昨夜はざっと一雨あったようで、路面が濡れていて、やたらと湿気の多い朝だった。とりあえず、復活した散歩は続行。今日は外出予定もあるので、前半のアップダウン部分のみ、頑張って歩く。
湿気のせいか、やたらと汗をかくのが辛い。とりあえず、公園まで歩いて、少し、山を上り下りしてから、家に帰った。
今日は、午前中、東京駅あたりで、ちょっと某方面との打ち合わせ。それから午後は竹橋方面まで歩いて、こんなイベントに講師として出席。
お題はIoTだったので、私はIoTとクラウドのからみのあたりを一席。私の前が横浜国大の吉岡先生で、デバイス側の話だったので、私はサービスサイドのセキュリティについてお話をした。IoTといえば、デバイス側のセキュリティがどうしても注目されるのだが、そうしたデバイスを束ねるサービス側にも大きな課題が存在する。デバイスに対する制御がサービス側から行われるようなケースや、ファームウエアのアップデートをプッシュするようなケースでは、サービスへの侵害が多数のデバイスを危険にさらすことに繋がる上に、攻撃側にとっては、個々のデバイスを各個撃破するより、ずっと効率がいい。なので、多数のデバイスを統括するようなサービスは相当手強い連中から狙われる可能性が高いのである。そう言う意味では、通常の対策よりもレベルが高い対応が求められるわけで、そのあたりの認識をもっと高める必要があると思うのである。
さておき、今日の参加者はどちらかと言えば、企業のシステム部など、現場サイドの人たちが多かったのだが、懇親会ではセキュリティ人材ネタでも盛り上がった。極論をすれば、CTFで育つような人材は、一般の企業ではなかなか使えない。なぜなら、そうした人材をどう使ったらいいかを考えられる司令塔的な人材がそもそもいないのである。個別の分野のスペシャリストは、多くの企業では専門のセキュリティ事業者から借りればそれですむ。しかし、そういう人材を使いこなせる人がいなければ、いずれにせよダメなので、セキュリティを全般的に理解した人材が不可欠なのだ。これは常々思っていることなのだが、一般の企業で必要なことは、まず、現場におけるセキュリティの底上げである。ITの各分野で働いている人たちが、最低限自分の分野(たとえば、ネットワークとか、サーバ管理とか、開発とか)のセキュリティを、ある程度担保してくれれば、敷居はだいぶ上げられる。次に、それらを俯瞰して全体を構築でき、戦略を立てられる人材が必要だ。セキュリティの深いところの専門人材はその次である。とりわけ、インシデント対応などの即時性が要求される企業等は、最低限の専門人材をかかえておく必要があるかもしれないが、多くの場合、借りてくればすむのだろうと思うのである。そう言う意味で、最近の「人材育成=ハッカー育成=CTF」といった安直な流れには、ちょっと危惧を感じる。もちろん、そうした人材も不足しているのだが、それ以上に巷の現場を支えられる人材が圧倒的に不足しているのである。この前、某I(ピー)Aな人にヒアリングを受けた際にも言ったのだけど、今すべきは、中途半端な専門資格を作ることでは無く、広い分野のIT人材の基礎科目としてセキュリティを組み込むことなのである。なので、既存の情報処理試験の各分野に、その分野のセキュリティ知識を要求するような内容をもっと織り込むべきなのである。I(ピー)Aは、それが最もできる位置にいるにもかかわらず、やらないのは罪悪としか言いようがない。(これは正直な私の気持ちである)実際、今、オリ・パラ防衛をかけ声に大量に育成した「専門」人材がその後、食っていけるのかという大きな疑問が生じている。オリ・パラが終わったとたんに失業する「専門家」がどれくらい出るのだろうか不安になるのである。食い詰めた専門家がダークサイドに落ちるなどというのは最悪のシナリオだ。一方、現場のIT人材の底上げは、その心配が無い。むしろ、実際のIT各分野の人材は、将来にわたって必要になるだろうし、セキュリティは彼らにとって自分の領域でのキャリアアップの材料になっていくはずである。早く、みんな、このあたりに気づいて欲しいと思って、機会があるごとに、現場の人たちにはそういう話をしている次第だ。
コメントする