セキュリティ人材は足りている? 64
ストーリー by hylom
そもそもまともなIT人材は足りているのでしょうか 部門より
そもそもまともなIT人材は足りているのでしょうか 部門より
あるAnonymous Coward曰く、
サイバー攻撃の増加を背景に、経済産業省は2016年に「2020年には国内で19万3000人のセキュリティ人材が不足する」との予測を発表しているのだが、日経新聞が報じたところによると、実際の企業は人手不足にあると感じていないようだ(日経新聞)。
こうした温度差が生じたのは、経産省の予測は一般企業の各部門にもセキュリティ人材が必要、という「あるべき姿」に基づいて算出されたためだという。ところが実際には、多くの企業が自社でセキュリティ人材を揃えず外部に委託するという選択肢を選んだため、人手不足が発生していないという。またAI技術の進歩により、単純な監視業務などには人手が要らなくなったことも挙げられている。
セキュリティ予算を増やす企業も限られており、記事では、自社でセキュリティ人材を揃えたものの深刻な問題が起きないことから削減を検討している、といった例まで言及している。一方でサイバー攻撃の被害は年々深刻化しており、また今後はオリンピックに向けて攻撃が増えることも懸念されている。
なお、「情報セキュリティ人材の不足」に関しては以前より「情報セキュリティ人材」の定義が幅広すぎるのではないか、という指摘もある(デジタル・フォレンジック研究会)。
せめて (スコア:2)
部門毎に、情報セキュリティ担当者を置くとか。
FEまでは要求しなくても、ITパスポート位のレベルでOK。
運用変更や問題発生時、情シスとの窓口になってくれるだけでもずいぶん違うのでは。
# 部門長か、部門長に上申できる副長が望ましいでしょう。
死して屍 拾う者なし
Re: (スコア:0)
部門と言わず、社員教育をきちんとする(のと、ルール守らない社員にペナルティがある)だけで全然違さね。
レベル1の一般社員を管理するために、レベル99とかなセキュリティ管理者を連れてきて、高額な装備(システム)を導入するよりは。
レベル10ぐらいに育てた一般社員とレベル70ぐらいのセキュリティ管理者に、普通の装備を持たせて運用するほうが安定するし、総費用も安かったりするんだけどなぁ、と。
Re:せめて (スコア:1)
セキュリティ業界に足突っ込んでるものから言わせてもらうとどっちもダメ。
今って攻撃側が超有利だからどっちのパターンでも攻撃されたらやられちゃうと思うよ。
被害にあってない!と言うかも知らないけどそれは攻撃されてないだけなんだよなぁ
(しょぼい攻撃の対象にはなってるかもだけど)
上層部 (スコア:1)
君がかけたセキュリティ対策の効果を試算できるのかね?
放置していたら、攻撃されて大きな損失になるだと?
それは決定事項かね?可能性の話かね?
可能性なら起きない可能性もあるわけだが、君をやとった費用対効果を出したまえ。
できないのかね?
どうなんだね?
Re: (スコア:0)
この辺も会社によってかなり違うよね
製造業とかの会社は「安全のためのコストをケチると事故ったときに最悪、会社が潰れる」のを知ってるから、セキュリティーとかも比較的、話を通しやすい
サービス業とかはかなり鬼門、価格と利益しか頭になかったりするから
Re: (スコア:0)
逆じゃね。
IT企業でセキュリティ事故をやらかすと、仕事に直結してるだけに信用問題で会社が傾きそうになるけど、
製造業なんかだと、信用に傷はつくものの、売り上げが落ちる程度で、仕事がなくなるほどではないのだよね。
だったら金もかかるし、何も起こらないほうに賭けとくかってことになりがち。
Re: (スコア:0)
んなことない。
製造業は安全をおろそかにすると人死にが出たりする。
目に見えるところで問題が起きることを経験をしてる業種で、安全にコストがかかることを体感してる。
一方ITは他人事なんだよね。
情報流出させても「被害の報告はない」とかいっちゃう。
Re: (スコア:0)
そりゃ人死にが出たりしたら、とんでもないペナルティを食らうような社会の仕組みになってるからな。
大したダメージが出ないようなところにコストかけたりしないよ。実際IT機器なんか人権には程遠いようなポンコツ使ってるし。
これ見てみ。
https://it.impressbm.co.jp/articles/-/13491 [impressbm.co.jp]
「きわめて遅れているのが、製造、小売/卸売、教育の3業種だ」って書いてあるだろ。
Re: (スコア:0)
そこにカテゴライズされてる「製造」って町工場のなれの果てみたいな、いまだに昭和を引きずってる企業も含まれるから。
セキュリティー事故を起こしたらヤバい程度に社内システムとか持ってる規模の会社だけで見れば案外マトモだ。
Re: (スコア:0)
都合のいい解釈ですなぁ。まぁそういうことにしときますか。これ以上は話しても無駄みたいだし。
Re:上層部 (スコア:2)
どんな業界だってマトモな会社もあれば腐った会社もあるし、その割合を確認したわけじゃないんでしょ?
一部の会社のやらかしを指して、業界全体の傾向みたいに言ってたら、どんな業界も駄目ってことにしかならないような?
Re: (スコア:0)
逆逆
製造業とかの会社は「情報漏洩したところで何か問題あるかね?」程度の認識だから、ITセキュリティなんてどうでもいい
「どうせ現場の機械はネット繋いでないし?」
「ファイヤーウォールあるから大丈夫」
「ほらなんか警告表示されたからマイクロソフトインターネットセキュリティとかいうの入れたよ」
「俺もなんか表示されたからマイクロソフトアンチウイルスとかいうの入れたよ」
「え?偽もの?マイクロソフトの名前ついてるから大丈夫でしょ?」
Re: (スコア:0)
「バームクーヘンって天日干しして作るんだな」
「え?嘘?新聞が嘘つくわけないだろう」
Re: (スコア:0)
攻撃サイドに回って実証すればご満足いただけますかね?
需要と供給 (スコア:1)
セキュリティ人員なんて金を払えばいくらでも来るから、人材は足りてると思う
たとえ国内に今はいなくても、金を積めばすぐに海外から流れ込んで来るし?
「セキュリティの人材が足りているか」ではなく「低い待遇で働いてくれるセキュリティ分野の奴隷が足りているか」なら、そりゃまあ足りないでしょーね。
Re: (スコア:0)
その割にはjbeef先生の後継者が一向に現れないので、やはり足りないのではないかと思っています。
いつものこと (スコア:0)
障がい者基準も恣意的に広くしてたし、
こんなことばかりして仕事した気になっているのは
各省とも一緒だな。
Re:いつものこと (スコア:1)
そもそも企業側に「セキュリティ意識」なんてものがあるのかどうか。
玄関口におじいちゃんの警備員一人立たせるだけで防犯やってるつもりの企業も多いのに、
情報関連に積極的にセキュリティ要員を配置するような企業がどれだけあるんでしょうねえ。
Re: (スコア:0)
企業側の意識が高くても、従業員まで浸透しないのが実情かな・・・。
今そこにある危機と認識しにくいのがITの悪いところ。
家の鍵は大切にするのに、パスワードを付箋で貼っちゃうし、体重を教えてくれないのにUSBで社外秘のデータ持ち出しちゃう(クラウドにアップロードとかも)。
だから、机巡回したり、ホットボンド()やプロキシで制限することになるんだけど、まあ不満でますよね。
#そういえばUSBでウイルス持ち込まれて騒ぎになったなあ・・・。
どうせ (スコア:0)
顧客折衝から外注管理、サーバーの運用からビッグデータ解析までしてくれる組込サーバーフロントエンドプログラマに、
さらにセキュリティ対策までお値段据え置きでやってくれる、フルスタック・セキュリティエンジニアを募集してたんじゃね?
もちろん年齢は上限35才で。
#「募集をかけたのに、なぜか応募が一人もない。人不足」
Re:どうせ (スコア:1)
自分がやってる情報処理試験の受験者増やしたいだけ?
セキュリティー試験作って予算を確保
Re: (スコア:0)
まあでも実際、その条件のいくつかを満たすレベルの人は増やしたいよね。お値段はご相談。
Re: (スコア:0)
セキュリティのみだと無償が必須条件になりますね。
#だれも応募しないので「ボランティア」で呼びかけ
Re: (スコア:0)
豆蔵の人がやってくれるんでしたっけ?
五輪はボランティアで働けるエンジニアが必要発言の真意を聞いたら……
https://togetter.com/li/887533 [togetter.com]
UnNews:豆蔵HD、全従業員をボランティアに移行へ
http://ja.unc [uncyclopedia.info]
>深刻な問題が起きないことから削減を検討している (スコア:0)
これ典型的な死亡ルートにしか見えないんだが。
Re:>深刻な問題が起きないことから削減を検討している (スコア:2)
こういう話か。
https://togetter.com/li/1259115 [togetter.com]
Re: (スコア:0)
必要なのは問題を対策できる人じゃなくて責任を押しつけられる人だからな
要は誰でもいい
Re: (スコア:0)
情シスで似たような話を最近どこかで見た。
Re: (スコア:0)
経営者の頭の中は、
リスク(かけていい費用の上限)=被害額(商売の停止+顧客への保障)×発生確率
なので、被害額は大きいのは分かっていても、
実際におこらないと、発生確率がゼロの場合は対策しないよね。
実際は、発生確率がゼロじゃないのを経営者が分かる手段がないってことが問題で、
その点、ウィルス対策ベンダーのレポートは極端に、セキュリティの一部である
ウィルスとかマルウェアとかに偏っているから、ウィルス対策ソフトを入れて、
セキュリティは万全ってことになっているの。
それじゃないと投資家に説明できる目に見える実績がないじゃない。
Re: (スコア:0)
「コスト投入の結果防げているリスク」なのか、「コスト投入しなくても起きないリスクにコストをかけているか」の区別が付いていないんでしょう。
投入コストが何を防いでいるのか理解していないとそうなる。
国民が、税金の使途も確認せずにスキャンダルだけを見聞きして「政治家と官僚が税金を食いつぶしている」というのと同じ話。
×セキュリティ人材は足りている? (スコア:0)
○ITの人材は足りていない
Re:×セキュリティ人材は足りている? (スコア:2, すばらしい洞察)
「セキュリティ人材は足りていないと認識できる経営者が足りていない」
ってことでしょう。
Re: (スコア:0)
○セキュリティ人材=IT人材=偽装請負派遣社員で足りている
そもそも外部委託の評価を誰がするんだと・・・
評価するのも外部委託して、その評価も外部委託で評価するとか・・・
Re: (スコア:0)
〇セキュリティ人材なんていらない
多くの企業はこのレベル
「回線設備業者に頼んでルーターファイヤウォール設定したから大丈夫」
といってそれ以外の対策せず、もちろん教育もない
Re: (スコア:0)
評価なんかしてないんじゃない?
自分たちはやることやってますよ、とアピールできれば満足でしょうし、何かあったら責任押し付けるだけですから。
Re: (スコア:0)
派遣の質の劣化が激しい激しい。
プライドだけ高く知識もないくせにギャーギャーいうジジイしかこない。
クラウドツールの使い方も分からないくせに前職ではFirewallの設定もしてだぞ!とか…
AI技術の進歩により、単純な監視業務などには人手が要らなくなった (スコア:0)
製品の能書き的にはいかにもありそうな表現ですが、実際役に立つものなんですかね?
情報処理安全確保支援士 (スコア:0)
更新も必要な士業ですよ!
持ってないと仕事ができないとか今のところないのが寂しい。
自治体のシステム入札に必須になってくるとまた変わるんでしょうけどね。
情報セキュリティアドミニストレータはもう少し難易度上げてほしいな。
Re: (スコア:0)
そういや今月中頃迄でしたっけ、過去の試験合格者が移行できるの。
何度も案内来てたけど結局無視したな。
個人どころか業務でもメリット見いだせないんだよなぁ、あれ。
情報セキュリティアドミニストレータは素人を登竜門に誘うという位置づけだから簡単でいいのでは。
難易度高いのばっかだと誰もついてこないよ。
セキュリティ自体に (スコア:0)
日本企業が無関心すぎるだけじゃない?
Re: (スコア:0)
海外企業や組織も年中フルオープンでニュースになるじゃん
Re: (スコア:0)
関心があっても民間のみの限界はありますよね。
必要なのは宣教師 (スコア:0)
上にセキュリティに金を出すことの意味を説得しても理解できない人がいると全てそこでストップしちゃう
セキュリティ人材が足りないとか、そんなレベルが高い悩みとは無縁だわ
直接的に金を生み出さないことは無駄としか認識できない会社は零細ブラック貧乏企業の特徴なのよね・・・
Re: (スコア:0)
おちんぎん分は仕事をせねばと思い、金に渋いのもわかってるから、業者が持ってくるボッタくりでない必要最低限かつ高いコストパフォーマンスを得られるように練った提案が、
セキュリティのセの字もわからない偉い人に一蹴されると、もー知らん、好きにせいやってなるよね。
それはそれで仕事が少なくて済むので楽なんだけどな!取り敢えずおれの良心は満たされた。これでなんかあっても全部おまえらのせい。
Re: (スコア:0)
うちの職場もあまりにずさんなセキュリティ意識&10年遅れたIT知識で運用されてますが、
下手に口出しすると担当業務外のことまで押し付けられるので無視してますね。
いまだに「マックなら安全」「マックにすればみんな問題解決できる」とか言っちゃうレベルだしw
そんな古いオレオレ定義からはみ出すと文句言われるしw
効率悪いし二度手間三度手間で無駄な仕事生み出されまくってるけどしったことかw
Re: (スコア:0)
ウイルス対策ソフトが、ウイルスより害があったりするので
セキュリティー人材もそんな程度に思われている可能性も無きにしも非ず。
JOC (スコア:0)
「足りなければ技術者ボランティアを募集するのでなにも問題はない」
足りないのはセキュリティ人材ではなく (スコア:0)
セキュリティに金を払う経営者
私自身がそう (スコア:0)
事務職なので全然専門家じゃないけど、自分自身セキュリティ性が不足していると感じている。
専門家でない人のセキュリティ性の低さ・無理解が、セキュリティを甘くしている部分があると思うんだ。
セキュリティ意識高い系企業 (スコア:0)
セキュリティ意識高い系企業
こんな企業があって予算使ったらうまくいくと思いますか?
セキュリティはエンジニアがいても
個々人がアホならどーしょーもない