国がサイバーセキュリティ人材を育成してもスキル格差が解消されない3つの理由

ホワイトハウスは最近、新たな国家サイバー人材・教育戦略(NCWES)を発表した。これは、「サイバーセキュリティの技術格差をすぐに解決しよう！」というような意味になる。

「基礎的なサイバースキル」を身につけて全ての米国人をスキルアップさせ、人手不足でプレッシャーのかかるサイバーセキュリティの労働力を「大卒の有無にかかわらず全ての労働者」に開放し、労働力を多様化させ、過小評価されている層(具体的には、女性、有色人種、障害者)の候補者を引き抜き、より多くのアメリカ人を適正な給与で仕事に就かせる、ということだ。少なくとも紙面上では素晴らしいアイデアのように思える。

CISOの見解： いい試みだ。けれど、技術格差は解消できないだろう。

今月初め、Contrast CISOの David Lindnerが自身のコラムCISOの視点で、バイデン政権の新しい構想について言及した後、誰がこの構想に従って行動するのか？について話をした。

残念ながら、CISOの観点からすると、計画が的外れであるというのが答えだ。

何をするのか？

バイデン政権の構想は、「米国全体で数十万人いるサイバー関連職の欠員を埋める」ことを目的とした一連の取り組みを示しており、同政権はこれを「デジタル経済で主導権を握る」ために国を支援する「国家安全保障上の責務」と呼んでいる。その中には、次のようなものがある。

• 全米科学財団(NSF)がサイバーコープス奨学金プログラム(CyberCorps®: Scholarship for Service )プログラムに2,400万ドルを提供
• 国家安全保障局(NSA)のサイバーセキュリティにおけるアカデミックエクセレンスセンター(NCAE-C)プログラムからの4件の助成金により、認定された米国の大学で4つの新しいサイバークリニックを開発する試験的な取り組みを支援
• 国家サイバーセキュリティ局長室(ONCD)から、過小評価されているコミュニティへの働きかけを強化
• 米国標準技術研究所(NIST)から、サイバーセキュリティ教育・人材育成プロジェクト促進のための地域連携・多職種パートナーシップ(RAMPS) に最大360万ドル 
• 労働省(DOL)は、サイバーセキュリティやその他の重要な分野における登録見習いプログラムを開発し、規模を拡大するために、45の州と地域に6,500万ドルの公式および競争補助金を授与すると発表

何ができないか？

Lindnerによれば、問題はこのプランがこの分野への初心者向けの道を作っていないことだという。そして、LindnerはContrast Securityの情報セキュリティ担当ディレクターNaomi Buckwalterにエールを送っる。なぜなら彼女は毎週日曜日に、彼女が見つけたサイバーセキュリティの初級レベルの仕事をシェアしているからだ。Naomiはこのミッションに献身している。彼女は、LinkedIn LearningのコースAttracting Cybersecurity Talent: Hiring and Retaining Talentを執筆した。このコースは企業が隠れたサイバーセキュリティの人材を発見し、サイバーセキュリティの求職者に関して一般的に信じられている通念を払拭し、採用予定企業が技術面接などを再考するのに役立つ。

その努力には敬意を表するが、初級レベルのサイバーセキュリティの仕事はスタートアップ企業にはないと、Lindnerは言う。 むしろ、スタートアップ企業でのセキュリティの仕事は気の遠くなるような仕事で、「スタートアップが、ハイテクを多用して、楽しく、ペースの速い企業というわけではない。」と彼は言う。

なぜ、輝かしいスタートアップ企業(例えば、Contrast Security社)には、きらびやかで、楽しくて、テクノロジーを駆使した初級レベルの仕事がないのだろうか？そして、そもそもNCWESプログラムが本当の問題に取り組めていないのはなぜなのか？

大統領のNCWES構想が進捗しない理由

Lindnerは、この法案が技術格差の解決にはならない理由をいくつか挙げている。彼の根拠は、基本的に2つのカテゴリに分類される。a.) 単にサイバーセキュリティの入門レベルの仕事が少ない。b.) NCWES構想は、まだテクノロジーに関心を持っていなければ、この分野に興味を持つように人々を説得するのは困難である。

魅力的なスタートアップ企業では、初級レベルの社員を教育する時間はない。

「昨日来て貢献できる人材が必要なんだ」とLindnerは言う。 「人手不足で予算も十分ではない。人を育てるのに必要な時間が、大きな障害になっている。」

とはいえ実態として、初級レベルのサイバーセキュリティの仕事は存在する。 問題は、いわゆるエントリーレベルの仕事は「技術系の仕事を2〜3年経験する必要があるように感じられる」ことだと彼は続ける。「それは受け入れ難い」(その例については、以下の項目3を参照)。

自身のキャリアに関しては、彼は幸運だと考えている。彼のスタートはメインフレームでPL/Iを書く仕事だった。彼はそれが大嫌いだったが、ネットワークのやり方はすぐに覚えたと言う。

その後、ネットワーク部門に異動し、Webアーキテクチャーの構築と管理を始めた。その後、この分野で修士号を取得し、Webアプリケーションのセキュリティに夢中になった。

幸いなことに、彼の雇用主はそのすべてを支援してくれた。「ありがたいことに、私は当時、それが許される会社に勤めていた。転職したくなった際に社内異動制度がとても充実していて、『ねえ、君は本当にいいネットワーク経験を持っているね。 君はWebをよく理解している。だから、君をセキュリティチームに異動させるよ。』と言ってくれた。」

彼は一度も後ろを振り返ったことがない。

残念なことに、そのような企業は最近では少数派であり、新入社員はサイバーセキュリティの世界で出世するのではなく、一からやり直す必要があるとLindnerは言う。

多くの人が気にしていない。

CISOが、この構想がすべてのアメリカ人のスキルアップにつながらないと考えているもう1つの理由は、ほとんどの人がサイバーセキュリティが問題になるまで気にしていないからである。1例を挙げよう(既に何百ものバージョンを聞いたことがあるなら止めてくれ)。最近、ハッカーがLindnerの友人であるダンスインストラクターのFacebookアカウントを乗っ取った。友人と称する誰かが、Facebookで彼女にメッセージを送り、自分のアカウントがハッキングされたと主張してきたのだ。

Lindnerの友人はそれに応じたが、そのことにより自分のアカウントをハッカーに奪われ、そのハッカーはそのアカウントを使って無差別にゴミを売ったり、他の被害者を捕まえたりしている。

「彼女はセキュリティを気にしない。政府はそれを解決できるのだろうか？」Lindner は考える「私はそうは思いません。この構想は良いように聞こえるが、人々は問題になるまでサイバーセキュリティを気にしない。政府は、人々がセキュリティに関心を持たせるようにするつもりはない。それでは、人々にセキュリティの仕事をさせることはできないだろう。」

この構想によって初心者向けの道が作られるわけではない。

Lindnerによれば、この分野への初心者向けの道がほとんど無いという事実が、この構想によって解決されるわけではない。例えば、マーケティングの学位を取得し、セキュリティについてある程度理解して学校を卒業した人にとって、NCWES構想は一見有望に聞こえるかもしれない。「彼らはそれが素晴らしいと思うだろう」と、Lindnerは推測する。『「どこから始めればいいの？」と彼らはおそらく言うだろう。「私も入れて！」ってね』。

しかし、Naomiが最近投稿したMorganFranklin Consultingのリモートサイバーセキュリティアナリストとしての「初級レベル」の仕事でさえ、「一般的なサイバーセキュリティのベストプラクティスに関する知識と実務経験」、そして以下のいずれかの分野での「ツール/知識体系に関する基本的な経験」が必要とされている。

• 戦略とガバナンス、リスクとコンプライアンス(GRC)
• セキュリティ運用(SecOps)
• IDおよびアクセス管理(IAM)
• セキュリティオペレーションセンター(SOC)とインシデント対応
• サイバーレジリエンス

求人情報には、情報技術または関連分野の学士号が 「望ましい」と記されている。

Lindnerの指摘によれば、この初級レベルの仕事は、サイバーセキュリティのトレーニングを受け、その分野である程度の経験を積んだ人向けの仕事のように思える。マーケティング専攻、あるいは英語専攻、あるいは教養学部などの学生で、このような初級職に就ける者は何人いるだろうか？

そのマーケティング専攻の学生をサイバーセキュリティの仕事に就かせるには?

この仮説上のマーケティング専攻とサイバーセキュリティの初級職との間に橋渡しをするには、資金、トレーニング、リソースが必要だと、Lindnerは言う。  「NCWESの計画では、初級レベルの道を作ることはできない」と彼は言う。

Naomiは、メンターシッププログラム、スキルアップ/再スキルアップ、人材発掘の拡大を推奨している。 さらに詳しく知りたければ、彼女のLinkedInラーニングのコース「Building the Next Generation of Cybersecurity Professionals」をチェックしてほしい。

このコースでは、セキュリティリーダー、CISO、採用担当者が、セキュリティ部門のために若手のサイバーセキュリティ専門家を引き付け、面接し、育成する方法を学ぶことができる。

もちろん、このコースではマーケティング専攻の学生をサイバーセキュリティの専門家にする方法まで取り上げている。

Read more:

• 7 tips for women to land their dream job in tech
• Recruit qualified internal talent to serve as security coaches
• Legacy AppSec = more time wasted by your scarce cybersec crew
• Stop fretting about the skills gap, start hiring Ted Lassos
• AppSec Instrumentation Addresses AppSec Skills Shortage

Click here for more CISO Insights from David Lindner.