さてその「橋渡し人材」の育成が難しい理由だが、専門技術の理解と当該組織の業務、組織マネジメントの能力と3つを備えるべきことにある。組織マネジメントは相応の立場で組織を仕切った経験によって得られることであり、当該組織の業務もある程度その組織で経験を積まなくては分かりようがない。加えて専門技術は限られたIT現場でしか触れることが出来ずしかも日々進歩・変遷している。
僕はサイバーセキュリティに関しては、もうひとつの知識・能力は必要だと思う。それは攻撃者を理解し、世界でどのような攻撃が起きているかを知って次を読むことだ。孫子いわく「敵を知り、己を知れば、百戦危うからず」である。こう申し上げると「そんなスーパーマンいないよ」と一様に返事が返ってくる。そんな人たちに僕が話しているのは、
(1)まず御社の位置づけ(社会的責任)を考えましょう
強固で柔軟なセキュリティ対策をとらなくてはいけない機関というのがある。電力・金融・交通等重要インフラといわれる機関とそれを直接支えている企業群については、スーパーマンに近い能力が今後求められる。またインターネットが全てのようなe-commerce企業も、自社の生存のためにこのような能力を持とうとするだろう。そうでない企業・団体であれば、場合によっては通訳機能だけの橋渡し人材でもいいかもしれない。
(2)社会的責任等でセキュリティ強化を図ると決められたなら
組織の業務としてどこがチョークポイントで、インシデントによるインパクトを素早く予測できる知識は一朝一夕に見に付くものではない。また日本の組織では、外部からきた人材が直ぐ組織マネジメント能力は振るいにくい。したがってこの2つの能力は既存のプロパー人材に頼るしかない。ビジネスフロント等他の部門で必要だと言われても、見合う人材を選んでTOPの決断で引き抜くべきだ。
その人物を中心にチームを編成することにして、次にIT現場について専門技術を含めて理解できる人材を、これは外部調達でもいいのでチームに加える。円滑な運用を望むのなら、マネジメントのできるチーム長はTOPとの関係が良好で、専門技術を見る人材は現場との関係が良好であるのがいい。もちろん2人を含む「チーム」の人間関係も重要だ。
重要インフラを担う企業、およびそれを直接支える企業であれば、この程度の人員・予算措置は出来るはずだ。
<続く>
