セキュリティ業界の人材不足は、ゲーマーの登用で解消できる!?
サイバー犯罪が増える一方で、その回避をするための専門家の数は足りない。需要が供給に追いついていないという事実があり、2021年には200万人のサイバーセキュリティ担当者が不足すると予想されている(ISACA調べ)。人材育成がセキュリティ業界の課題になっているのだ。
アメリカではSTEM教育があり、新しいカリキュラムで子どもたちに知識をつけようとしている。日本ではSTEMはプログラミングの授業だと思われているが、ITリテラシーを含む、理科系分野全般のスキルアップを図ることが目的だ。マカフィー本社でもインターンとして迎え、人材不足を埋めようと考えている。日本でもSTEM教育を重視する風潮があるが、情報テクノロジーの時代では単にパソコンが使えるとか、プログラミングができるということ以上に、サイバーセキュリティに立ち向かえる人を育成していく教育が必要だ。
人材不足回避のもう一つの選択肢として「ゲーマーの採用がある」とデイビス氏は言う。大学を卒業して就職する人は一つの方向からで物事を考えるが、ゲーマーは、どうやって目的を達成するか、障害を避けられるかを、プロセスに対して複数の視点から考えていく。
例えば、あるゲームでスナイパーがいるためにレベルアップができないときに、IPアドレスを調べてDDoS攻撃をしてスナイパーを消すといったことをする。ゲームの上ではサイバー犯罪だと認識せずにそのような行為に及んでいるが、その目的のために様々な方策から有効な手段を採用し、実行するという行動から考えて、ゲーマーはサイバー犯罪に立ち向かう基準を満たせると考えている人は多い。
デイビス 「サイバー攻撃では複数のテクニックを駆使してシステムに入り込む。ゲーマーはいろいろ工夫しながら、次のレベルに上がるための方法を試行錯誤する。どちらも従来の考え方に固執せずにいろいろな課題に取り組める点が共通している。
もちろん楽にできるとは思っていないが、200万人もの人材不足になることはわかっているし、業界としても通常とは違う考え方をしていかないといけない。サイバー犯罪対策は成長中の業界であり、STEM教育は必要ではあるが、短期的な需要に応えるには時間が足りない。そのためにゲーマーを採用して人材を確保することも考える必要がある」
PCで20年かかった500万のサンプルが、モバイルでは5年で集まった
――ランサムウェアなど、今年前半の傾向について教えてください。
デイビス 現在、弊社の顧客への攻撃として毎日500億クエリーのデータが入ってきます。これはTwitterやFacebookなどのSNSに投稿される情報を足したものより多い数値です。毎秒3~4個の新しいマルウェアができている感じです。
――カテゴリ別に数字を教えてください。
デイビス さきほどの脅威レポートでは累計、PCマルウェアが7億3400万、モバイルマルウェアが2600万、ランサムウェアが1600万、仮想通貨マイニングのマルウェアが260万になります。
――IoT向けのマルウェアの現状は?
デイビス IoT向けのマルウェアはそれほど増加していないのですが、ほとんどの企業が不正にインストールされたこを把握できていません。そこが懸念事項になります。
――IoTデバイスの増加に伴い、マルウェアも増えていくと考えられそうですね。
デイビス PCではマルウェアのサンプルを500万集めるのに20年かかりましたが、モバイルではたったの5年でした。IoTは今後急速に普及していくでしょうし、2年で500万サンプルに到達しても驚かないと思います。悪事を働く機会は多く、目の前にあるわけですから。ただしIoTデバイスは、マーケットに出てからそれほど時間が経過していません。今はどうやったらIoTにマルウェアを埋め込めるか精査している段階でしょう。
脅威の調査グループに聞いたところ、現在発見されるものの80%が過去のマルウェアの亜種で、新しいマルウェアは20%とのことです。IoT向けのマルウェアでも同じようなことが起こると思っています。Miraiのようなマルウェアが現れ、その亜種が生まれていきます。
――IoT向けのマルウェアのターゲットは?
デイビス 個人と企業の両方だと思いますが、犯罪者の興味は企業のほうが高いでしょう。個人のデバイスに攻撃できたとしてもたいして儲からない。サイバー犯罪の60%は金融機関を狙うというデータもありますが、個人と企業、同じ労力でアクセスできるとしたらやはり企業システムにアクセスするでしょう。
――仮想通貨のマイニングを勝手に始めるマルウェアも増えていきますか?
デイビス 業界のイベントなどに出席すると、もっと多く質問されるのが仮想通貨のマイニングをするマルウェアです。ブロックチェーンというテクノロジーは強固です。唯一ブロックチェーンを攻撃できるのは量子コンピューティングだけでしょう。しかし、その周辺のテクノロジーには脆弱性があります。日本でもコインチェックの例がありましたね。
――人材不足に対応するため、ゲーマーを起用してはどうかという提案がありましたが。
デイビス セキュリティ市場で働くエンジニアの不足は深刻です。2021年にはさらに200万人の不足が出ると言われています。現在の募集数に加えて、さらに200万人もの埋められない求人が発生するということです。1つの空きに5人しか応募がない。応募者のレベルも低く、採用できるほどのスキルを備えていない。ではどこで新しい人材を見つけるか? そこにゲーマーを入れるのが適切ではないかということです。
――学校でセキュリティの教育を受けた人ではダメなのでしょうか?
デイビス アメリカでもセキュリティ教育はまだまだこれからです。教育を受けた子どもたちが社会に出るまでには時間がかかります。しかしセキュリティ業界の人手不足は数年後には切実となり、とても間に合いません。
――セキュリティエンジニアの応募はなぜ少ないのでしょうか。
デイビス やはり華やかでないからでしょう。スポーツでもスターが生まれるのはディフェンスではなくオフェンスで、率先して守備をしたいと考える人は少なくなります。そして問題の大きさやどれだけのニーズがあるかを理解している人がほとんどいないという面もあります。
――その穴埋めとしてゲーマーを採用する場合、どのような課題がありますか
デイビス ゲーマーのスキルをサイバーセキュリティのスキルに仕立てること。たとえばゲーマーを採用して、脅威についての調査を担当させたとき、そのゲームスキルをどう実際の実務に変えていくかが重要だと思います。これが楽にできるとは思っておりません。ただ、200万人の人材が不足し、犯罪者はこれから増えていくわけですし、業界としては通常でない考え方をするべきです。いままでやってきたことを続けてもダメだと思っています。
――なるほど、ありがとうございました。
