2019年もサイバーセキュリティ業界にとって明るい1年になりそうだ。2018年、この市場は堅調に拡大し、イノベーションもあった。サイバーセキュリティの重要度はさらに高くなっている、と切り出すのは米Palo Alto NetworksのLucas Moody氏。同社CISO(Chief Information Security Officer)としてRSA Conferenceにも登壇実績もある同氏は、自社のサイバーセキュリティ戦略に影響を与え、管理できる役割を果たせる正しい人材を獲得することは、単にセキュリティ上の課題ではなく、ビジネス上の課題であると公式ブログで次の3つを助言している。
1)人材のリテンションとパイプラインの拡大
能力が高く素晴らしい仕事をしたいと願っている人は、将来を展望するセキュリティ戦略をモチベーションとしており、自分が勤務する企業に深いインパクトを与えたいと思っていると述べている。優秀な人材がビジョンやモチベーションを持って仕事に臨むことは、大きな原動力になるものだが、自社のセキュリティ分野の枠組みが積極的な動機を下げるようでは駄目だと自社のセキュリティ戦略のチェックを勧めている。
セキュリティプラットフォームの構築と連携しているか?セキュリティプログラムの限界をさらに引き上げるような取り組みはあるか?これにより優秀な人材が関与し、課題を感じ、モチベーションを得る。これが人材の維持・確保につながるそうだ。
また、サイバーセキュリティ分野の人材不足は悪化しており、安全にするために必要なスキルある人を確保するためには、パイプラインをこれまでより広く考えるべきだろうと述べ、サイバーセキュリティ人材のパイプライン(情報ルート)のパラメーターをこれまでより大きくして、卒業したばかりの学生、職を変えたいと思っているプロフェッショナル、次のトレンドを模索している起業家なども対象にしておく必要があると述べている。
2)面接ではチームのカルチャーにフィットするかを見る
サイバーセキュリティはかなり複雑で、純粋にその分野の専門知識をテストするだけでは、これまでやってきたことと同じことの繰り返しになると述べている。サイバーセキュリティは進化しており、将来どのようにしてサイバーセキュリティ問題を解決するのかを理解する必要があると同時に構築しているチームにフィットするかなどを見るべきだろう。チームの参加や活動の手法を作成するにあたっては、正しい成果だけではなく、チームに関わることがどのようなことなのかを示すようにしたい。採用時に以下のような点から評価してはいかがだろう?以下のような質問を例示している。
・何にパッションを感じているのか?
・問題解決、イノベーションのプロセスは?
・これまで作業した最高のチームはどのようなチームだったか?
・好ましくない人とどのように付き合うか、距離を置くか?
サイバーセキュリティ分野では専門分野の能力とは別にチームで動くプロセスが重要になることを示しているが、Palo Altoでは「Cybersecurity Career Guide」(PDF/英文)としてサイバーセキュリティ分野のキャリアに関心を持っている学生や社会人向けのガイドブックを用意しており、これを公開しているが、オペレーション、ログ分析、攻撃探知、クライアントのサポート等々非常に多くの専門セクションの連携で日々運営する様子がうかがえる。各セクションのデイリータスクもフォーマットで付記してあるが、事前に会社のカルチャーを知ってもらうことは、業界を限らず齟齬を無くすためには大切なことだ。
3)しっかりしたサイバーセキュリティカルチャーを積極的に構築する
2019年に予想されているトレンドとして、CISO(最高情報セキュリティ責任者)の取締役メンバーへの昇格の増加をLucas Moody氏は挙げて、セキュリティ人材の獲得という点では権限が大きくなるだろうと予測。セキュリティ専任の人材を一定比率確保することが難しいという企業であっても、雇用される人はセキュリティリスクについて土台の知識がある必要があるとセキュリティカルチャーの構築を促している。しっかりしたサイバーセキュリティについての文化は、一部の組織のみに制限されるものではなく全員の参加が必要で、全員が自社のリスクを軽減する責任を負っているというセキュリティのマインドセットを持つ必要があると述べている。
