若者のセキュリティ職離れ――考え直すべきは学生か、企業の人事担当か：深刻化する企業のセキュリティ人材難（2/3 ページ）

[Sean Martin，TechTarget]

指導者にセキュリティを理解する能力を教育せよ

併せて読みたいお勧め記事

これからは大きな脅威になるモバイルOSセキュリティ

• 徹底比較：モバイルOSのセキュリティ機能、「Windows 10」「iOS」「Android」の底力は？
• iPhoneのロック解除、指紋認証「Touch ID」とパスコードのどちらが安全？
• 「Android 6.0」は本当にセキュア？　アプリの「アクセス許可」が変わった

　大学のカリキュラムや講座の多くは、技術面にしか焦点を当てない。そのため、より実践的で詳細な知識を学習する機会を失っている。だが、ビジネス面についても教えるべきだ。できれば、ビジネスにおけるセキュリティの価値について学べるのが望ましい。

　学生には、セキュリティがITの中核をはるかに超えるものだと教える必要がある。企業におけるセキュリティ専門家は、法律、リスク、コミュニケーションなど、技術とは関係のないビジネスの側面にも日々対応している。これらは全て、何かしらの形でセキュリティと関わりがあるからだ。

　非営利の技術投資企業In-Q-TelでCISO（最高情報セキュリティ責任者）を務めるダン・ヘール氏は、「デジタルゲームの開発経験があるなら、定期的にロールプレイを行い、ストーリーを作り、問題を解決している。これはどれもセキュリティの専門職に帰属する特性だ」と話す。「ゲームのデザイナーは、セキュリティの分野で貴重な人材となるだろう。セキュリティに関連があるのは、数学やエンジニアリングだけではない」（ヘール氏）

　セキュリティGRCのコンサルタントで、ISSA役員会のメンバーでもあるキャンディ・アレクサンダー氏は次のように語る。「もっと早い段階から若い人材をセキュリティ業界に引き込む必要がある。そのためには、指導者が学生に対してより早期かつ頻繁に業界やセキュリティという仕事に関するアドバイスをするように教育機関に対して働きかけなければならない。そうすれば学生は、セキュリティという分野について関心を持つようになり、この業界で働いてみたいと考えるだろう。その上で学生たちは、セキュリティ業界で成功するために知識を得る努力を始めるだろう」

企業に強力な雇用制度と体制を用意する

　企業が人材を雇用する場合、採用候補者を多くの「不採用フィルター」に掛けている。確かに、企業が学生に対して学位や資格、特定の役割や地位における一定の経験年数を求めるかもしれない。だが、これら全てのフィルターによって、採用候補者は大幅に減ることになる。

　残念なことに、ほとんどの企業は、採用候補者を「Certified Information Systems Security Professional」（CISSP）認定資格という大がかりなフィルターに掛けて、企業の採用担当者と面談する機会を与える前に選別している。

　「CISSPは、求人の90％以上においてエンジニアリング職の応募条件となっている。だが、この資格を取得するにはセキュリティ分野で最低5年の経験が必要だ。初級レベルの人材を雇用する場合、採用したい人材はセキュリティ職で5年の経験を積んでいない」とモスキテス氏は指摘する。

　こうして、適切な能力を持っている可能性のある志望者は、応募するチャンスすら得られずに選考から弾かれてしまう。「誕生してから数年しかたっていない技術について数十年もの経験年数を要求している職務説明は少なくない。例えば、FireEyeソリューションの使用経験10年間以上という条件を書いても無駄なことだ。FireEyeは誕生してから10年もたっていない」（モスキテス氏）

　これらのフィルターは、何年にもわたって企業の雇用活動に対して不利に働いている。セキュリティ専門家のキャリアとして活躍できたであろう多くの人材を企業から奪っているはずだ。