SANS InfoSec Report 第1回「情報セキュリティ人材の育成を考える　−最も有望な20の職種−」

　2009年6月にセキュアジャパン2009がまとまったが、その中の重点テーマの1つに「情報セキュリティ人材の育成・確保」が掲げられている。その中で述べられている現状の課題に、「現在情報セキュリティに携わる人材の一部からは、自らのキャリアパスを明確に描くことができないといった不安の声も上がっている。今後は情報セキュリティ人材を必要とする所謂需要側と情報セキュリティ人材を供給する側だけでなく、情報セキュリティ人材そのものからのニーズに着目した施策検討も必要になるものと考えられる」というものがある。

　情報セキュリティの分野は、情報資産を脅かそうとするサイバー犯罪者との見えない戦いという構図が存在することから、ITの中でも特に変化が激しく、業務内容も多岐にわたることは一般的に認識されていることである。また、情報セキュリティを確保することは、ネットワーク社会の基盤として不可欠の要素となり、ますますその重要性が高まっている。

　このような業界に身を置く人材から「キャリアパスが明確に描けない」という声が出るという現状は、おおいに悲観しなければならないだろう。

　キャリアパスが描けない背景には様々な要因が考えられるが、ある領域の業務で必須となるスキルを明確に示すことができていなかったり、その業務に従事している個人のスキルレベルを証明する認定資格のような指標が十分に認知されていないことが一因ではないかと思われる。言い換えると、ある1つのセキュリティ関連資格を取得すると、その個人があたかもセキュリティ分野の全般にわたって精通している人材のように思える（思わせる）認定制度が存在している現状が、上記の問題を助長しているのではないかと考えられる。

　このテーマについてはいずれ触れるとして、今回はキャリアパスの最終ゴールとして目指すべき20の職種をご紹介したい。この20の職種は、SANS Instituteがトレーニングの既受講者である15万人以上を対象に世界規模で行ったアンケート調査から抽出されたもので、「The 20 Coolest Jobs in Information Security」（A4判・22ページ）と名付けられている。

・情報セキュリティ犯罪捜査官/フォレンジックエキスパート
・システム、ネットワーク・Webのペネトレーションテスター
・フォレンジックアナリスト
・インシデントレスポンダー

　など、高度な技術的専門スキルを要求される職種が20あげられ、それぞれについて業務内容やその重要性、クールである理由、その職種のプロフェッショナルとして成功する方法が記されている。

　この20の職種それぞれはTOP GUN JOBSといわれる。「トップガン」とは、セキュリティ分野における最も優秀な技術専門家として、たとえば、侵害行為を分析してその仕組みを理解する能力、通信プロトコルの弱点を発見する能力、ネットワーク上での攻撃をその場で見抜く能力、悪意あるコードのわずかな証拠も検出して感染を根絶する能力、周到に隠蔽された犯罪活動の証拠でさえも見つけ出す能力、従来の防御策だけでなく高度な防御策をも回避する攻撃を計画して実行する能力、既知の攻撃手法をブロックできるネットワークを設計する能力などをもった人材のことを指すと定義されている。

　本調査に参加したITスペシャリストによると、「この20職種はいずれも興味深く、組織の情報、ネットワーク、アプリケーション、システムを保護する上で極めて重要なもの」とのことである。組織の情報セキュリティを担う人材のキャリアパスを考える上での参考資料として活用していただきたい。

　選ばれた20 Coolest Jobsやその職種に就くために必要なスキルを学ぶトレーニングなどの情報は、以下のサイトをご参照いただきたい。

米国SANS Institute
http://www.sans.org/20coolestcareers/
日本語サイト
http://sans-japan.jp/resources/coolestjobs.html

【執筆：NRIセキュアテクノロジーズ株式会社サイバーセキュリティラボ
SANS GIAC Board of Directors member 関取嘉浩】