セキュリティ技術者とプログラマー

先日、とあるセキュリティ関連の講演会で、講師の方が言っていた。「セキュリティ技術者は非常に高い能力を求められるが利益部門ではないので低待遇。一方でプログラマは利益部門なのでソコソコの能力があればセキュリティ技術者より待遇が良い。」という。

説明の中での一部を抜粋した内容で、プログラマが高待遇なのかどうかは比較論での話であろうということは念のため理解のほど。

確かにそうなのである。上級セキュリティ技術者っていうのは育成も難しいし、経験も知識も豊富な凄い能力を求められる一方で、何か開発して売るわけではないし、機材なども高額である。会社の上位に登るキャリアパスも無い。

一方でプログラマーなんてのは上から下まで、能力に差こそあれ、下の技術力でもそれなりに稼ぐものである。

その結果、まともなセキュリティ技術者は社内には残らないという。有能な人は会社を辞めて一匹狼でやったりすることもあるそうだ。

システム開発会社に置いて、開発部門は重要なのは間違いない。売るものを作ってるわけだから。
しかしセキュリティ担当という存在も、このサイバー攻撃全盛のご時世では非常に重要な仕事となっているのを会社の経営層はわかっていないかもしれない。
一度不正侵入をくらえば、大金をかけて、皆が頑張って作ったプログラムをごっそりと盗み出されたり破壊されたりするのだ。さらに風評被害設けて、発注しようという顧客が別会社に変更してしまうかもしれない。

さらに悪いことに、セキュリティ担当者の社内での地位は非常に低い。
本来ならばセキュリティ担当には大きな権限を与えなくては成り立たない。それなりの地位のある人物には現実的な話、セキュリティ意識の低すぎる人たちが少なくない。そういう人たちに限って、セキュリティ政策に頑なに抵抗し、邪魔をするものなので、それに対抗できる権力が必要だ。

外部のITセキュリティ会社に依頼するのも良いかもしれないが、外注となると更に弱い。
おざなりなアドバイスやコンサルタントをしてくれることはあるが、綿密なセキュリティを施してくれることはあまりない。実際に対策をやってくれたものが突破されて被害を受けようものなら、その損害は大きく、責任を負うことができないからだ。
セキュリティというものはどんなに優れたセキュリティ製品を使っていても、運用する側の失敗でいとも簡単に突破されるものだ。その責任を外注のセキュリティ製品会社は負わない。

悪意の攻撃者たちは日々技術力を磨いている。それに対抗していくためには防衛側も技術を磨いていないといけない。そのためには並々ならぬ努力が必要なのだが、実際にはそれに応じた給与を貰えているとはいえない。それはひたすら利益部門ではないから。

だから日本企業はサイバー攻撃にさらされると脆弱であるところが多い。そして不正侵入されて機密情報が盗まれてから大騒ぎになり、セキュリティ専門家に助けを求めるというパターンになる。

というわけで、これからはセキュリティ技術者は、これまでの用心棒ではなくて、被害を受けた時にレスキューとして助けに来るサービスを展開すると良さそうだ。