@cchanabo先生の情報セキュリティ人材育成と業界の意識に関するTweet

Kyoko HANADA(花田 経子) @cchanabo

前にTweetしたことがあるけど、情報セキュリティの人材育成においては、突き抜けたセキュリティ技術者の教育が不可欠。ここにはトップクラスの技術者研究者を投入して潤沢な資金をもとにガツガツ指導するべき。もちろん、倫理教育も忘れずに。一方で、一般の人のセキュリティレベルを上げる(続く

Kyoko HANADA(花田 経子) @cchanabo

(続き)一方で、一般の人のセキュリティレベルを上げることを忘れてはならない。ユーザとしてかかわる人たちのレベルを多少上げるためには、学校教育が不可欠。教員以外のサポータ的人材を増やしていくことで学校教育をカバーしたい。教育コストも抑えられるし、教員負担も減るだろう。(続く)

Kyoko HANADA(花田 経子) @cchanabo

(続き)今、いろいろと問題になってきているのはシステムの開発現場において脆弱性やセキュリティ上問題のあるシステムを作りこんだままシステムがリリースされてしまう現象かなぁ。開発工程できちんと監査できていれば大方問題ないように思うのだが、そこがうまく機能してない。原因は何か。(続く)

Kyoko HANADA(花田 経子) @cchanabo

(続き)開発に関しては（たとえばスマホのアプリなどは）かなり期間が短くなってすぐにリリースしなければならないという状況で、従来通りの監査など入れていられないというのが実態なのだろう。脆弱性診断などをサービス展開しているセキュリティベンダーも多いけど、おそらくは高すぎる。(続く)

Kyoko HANADA(花田 経子) @cchanabo

(続き)セキュリティベンダーが提供するようなガッツリとした脆弱性診断ができる能力までは求めなくても、基本的な脆弱性をつぶすことができる程度のスキルを持った人材が開発現場やそれに近い位置に存在していることは必要なんじゃないかと考え始めている。そういう人材をどこで育成するか。(続く)

Kyoko HANADA(花田 経子) @cchanabo

(続き)セキュリティベンダーは、そういう人材育成をすることはできないものだろうか。要は、簡易的な脆弱性診断ができる人材の研修をベンダーが買って出て、本当にガッツリやらねばならなくなったらそれはベンダー側が引き受けるというのはどうだろうか。すでにやっているのだろうか。(続く)

Ikeda Masakazu @ikepyon

@cchanabo 脆弱性のあるシステムが出来上がる原因は監査とかじゃなくて、作る側の意識や知識の問題だと思います。作る側がセキュリティは付加価値を与えるものという認識でいる限り脆弱性はなくならない

Kyoko HANADA(花田 経子) @cchanabo

(続き)セキュリティ人材を増やしたいというNISCやベンダーさんの鼻息が荒いのは大変結構なことだが、情報セキュリティをサービスとして展開していく業界の規模は今後もそれほど急拡大するとは思えない。だから人材をどれだけ育成したとしてもその人たちが活躍できる場が限定されてしまう(続く)

Kyoko HANADA(花田 経子) @cchanabo

@ikepyon 続きをぜひ読んでください。まだ全部書ききっていないので。その上でコメントいただけますと幸いです。

Kyoko HANADA(花田 経子) @cchanabo

(続き)わたしはセキュリティ業界で働く人材の数は一定数で変化しないと思っているけど、情報セキュリティに関するスキルを持った人材は増やすべきだと考えている。育成した人材が、普通の業務で普通に活動（たとえば開発とか運用とかそれ以外も）していくことができる仕組みがないといけない(続く)

keijitakeda @keijitakeda

その前提として付加価値を与えるものなのかという問題が。 @ikepyon @cchanabo 脆弱性のあるシステムが出来上がる原因は監査とかじゃなくて、作る側の意識や知識の問題だと思います。作る側がセキュリティは付加価値を与えるものという認識でいる限り脆弱性はなくならない

Kyoko HANADA(花田 経子) @cchanabo

(続き)情報セキュリティというのはシステム開発にとって本来、付加価値ではなくて当然のように含めなければならないもののはずなのに、今は付加価値的な扱いになってる。内部で対応できないから余計に外部にお願いすることになると非常に高いお金を支払わされるが、その費用は回収できない。(続く)

Kyoko HANADA(花田 経子) @cchanabo

(続き)なので、やっぱり内部できちんと対応できる人材を用意すべきだと思う。それは、新たな人材を雇うというよりは内部人材を研修などしてできる人間を増やすしかないだろうと。そのために外部リソースとしてセキュリティベンダーさんは大いに活躍の場が有ると思うんだけどな。(続き)

Ikeda Masakazu @ikepyon

同意 RT: @cchanabo 情報セキュリティというのはシステム開発にとって本来、付加価値ではなくて当然のように含めなければならないもののはずなのに、今は付加価値的な扱いになってる。

Kyoko HANADA(花田 経子) @cchanabo

(続き)運用の現場とかも似たような感じのイメージを持ってる。完全な知識とスキルを持たなくてもいいけど、業務上必要な範囲でのスキルがほしい。そういう人材が欠乏していると、結局のところセキュリティ的に不完全なシステムをリリースしたり情報漏えいなどを引き起こして、(続く)

Kyoko HANADA(花田 経子) @cchanabo

(続き)結果的に企業により甚大な被害をもたらすことになる。セキュリティ対策に高額の費用を払ってセキュリティベンダーさんにお願いすればそれは一時的にはベンダーさんも潤うが、どの企業もそのような高額な費用を払えるわけではない。放置すればマーケット自体が今よりも縮小しかねない。(続く

Kyoko HANADA(花田 経子) @cchanabo

(続き)そういうわけで、突き抜けた人材育成と全体の底上げは当然のこととしてやるとして、特にシステムを提供する企業と重要業務にシステムを使っている企業には、内部にある程度のセキュリティスキルを持った人材が必要だし、それらを育成するためにベンダーの力は不可欠だと思う。(続く)

Kyoko HANADA(花田 経子) @cchanabo

(続き)日本のIT業界っていい意味でも悪い意味でも見事なまでにOJT的な社員教育を施してるので、どっかできちんと人材育成できれば、その風土は定着していくんじゃないかと考えている。セキュリティを付加価値的なものではなく、自社の製品の品質向上に不可欠だという風土が根付けば(続く)

tomokisanaki @tomoki0sanaki

RT @ikepyon: 同意 RT: @cchanabo 情報セキュリティというのはシステム開発にとって本来、付加価値ではなくて当然のように含めなければならないもののはずなのに、今は付加価値的な扱いになってる。

Kyoko HANADA(花田 経子) @cchanabo

(続き)リリースされる製品の安全性も高まるし、運用現場でのシステム管理におけるセキュリティも重要視されるのではないかと。加えて、社内における人材の相対的なセキュリティレベルも向上する。うまく歯車がかみ合っていい方向に進むのではないかと考えているのだがいかがだろうか。(続く)

Hideyuki Ito @itochif

RT @ikepyon: 同意 RT: @cchanabo 情報セキュリティというのはシステム開発にとって本来、付加価値ではなくて当然のように含めなければならないもののはずなのに、今は付加価値的な扱いになってる。

Kyoko HANADA(花田 経子) @cchanabo

(続き)以上が、ざっとわたしが考えているセキュリティに関する人材育成の方向性なんだけど、これをさらに働く人のキャリアデザインとの関係で見つめ直しているのが、現在の私の立ち位置です。いろいろと不十分な論点の粗い箇所も多々あるかと思いますがご容赦ください。以上です。(終了)。

keijitakeda @keijitakeda

「情報セキュリティというのはシステム開発にとって本来、付加価値ではなくて当然のように含めなければならないもののはず」かどうか人それぞれというところに本質的なギャップがあるのかと。 @cchanabo (続き)情報セキュリティというのはシステム開発にとって本来、付加価値では

Ikeda Masakazu @ikepyon

@cchanabo 突き抜けた人材ってのは作るのじゃなくて、素質のある人材が勝手に育っていくものだと思います。回りは成長するのを阻害しない環境を作ったり、育つ手助けをするものかなぁ。底辺の底上げは関係ないと思っている人をどうしむけるかが課題だし･･･

Kyoko HANADA(花田 経子) @cchanabo

あー、なんか専門家の前でど素人がこっぱズかしいことを言ったような気分に陥ってるｗｗｗ