セキュリティ人材は業界を越える――専門家と一般従業員で考える安全対策

　以前、このコラムで『インターネットの敵とは誰か？　サイバー犯罪の40年史と倫理なきウェブの未来』（原題：If It's Smart, It's Vulnerable）という本を取り上げました。その著者である、セキュリティ界の重鎮ともいえるミッコ・ヒッポネン氏が、2025年8月にWithSecureを離れることをSNSで投稿しています。

【画像】専門家と一般従業員で考える安全対策【全1枚】

　ヒッポネン氏はたびたび来日していて、記者発表や講演で5インチフロッピーディスクを取り出し、この中に初めてハントしたコンピュータウイルスが入っているとアピールする姿が定番になっていました。気になる転職先について、セキュリティはセキュリティでも、セキュリティベンダーではなく何と「対ドローンのソリューションプロバイダー」とのこと。同氏はフィンランド出身で、地政学的に考えれば非常に納得のいく選択です。ITセキュリティをさらに超え「国防」を含めたセキュリティに身を置くことになるようです。ヒッポネン氏のさらなる活躍に期待したいと思います。

●セキュリティ人材は他業種へ進出せよ

　この一件で思い出したのは、かつて筆者が「＠IT」で編集担当をしていたときのある連載の1ページでした。現在もセキュリティキャンプやOWASP Japanなどで活躍する、トライコーダの上野 宣氏による連載では、約17年前に卒業したセキュリティキャンプのメンバーに、このような言葉を送っていました。

興味を持たない人々にこそ届けたいのが情報セキュリティです。そういった人々にどのようにリーチすればいいのか。そのためには、送り出されたキャンプ卒業生たちには、ど真ん中のセキュリティ業界だけではなく、さまざまな業界に散らばっていってほしいと思います。

（＠ITの連載「キャンプに集まれ！ そして散開！：Security&Trust ウォッチ（54）」から引用）

　筆者はこの言葉が非常に印象に残っていて、セキュリティキャンプなどの人材育成の様子を見るたびに思い出します。その後に本格的なセキュリティ人材不足が叫ばれ、第一線級のエンジニアだけでなく、デジタルリテラシーとしてセキュリティ知識を加えていく「プラス・セキュリティ」という言葉も登場しました。しかし、プラス・セキュリティの人材が増えたかどうかというのは、実感としてはあまりよく分からないというのが実情です。

　今回のヒッポネン氏の事例にあるように、サイバーセキュリティの世界の第一人者であれば、他の業界でも当然ながら引く手数多であり、望まれているスキルです。ただでさえ足りない人材ではありますが、もはや他の業界にこそ必要なものとなっています。

　かつてのシステム構築では、最後のフェーズでやっとセキュリティの話が出てきて、工数的にも予算的にも「後付け」になることが問題視されてきました。それを何とかしなければならないとして出てきたのが「シフトレフト」や「セキュリティ・バイ・デザイン」といった、設計段階からセキュリティを考えるというものです。

　もしかしたら世の中の産業のほとんどがセキュリティの後付けから「セキュリティ・バイ・デザイン」ができるよう、セキュリティの考え方が分かる人を集めているのかもしれません。この流れはセキュリティ業界からすれば貴重な人材が奪われるように見えますが、社会全体で考えれば成熟度が進みつつある、良い傾向と考えることもできるでしょう。

●成長の痛みをどうカバーするか？

　思えば、金融業界といえば大変慎重にシステムを構築しており、セキュリティに関しても必要十分な対策を打ってきました。それでも不正取引は減りませんが、検知する仕組みを考え、全体としてはうまく回っているように見えます。

　以前も取り上げた、金融庁の「インターネット取引サービスへの不正アクセス・不正取引による被害が急増」という注意喚起が2025年6月5日にアップデートされ、4月、5月の被害額が更新されました。

　主には不正な取引による売却金額に注目してほしいのですが、4月は1540億円、5月も1101億円と驚くほどの金額が明らかになっています。厳しい見方をすれば、銀行やクレジットカード業界がこぞってセキュリティ対策をしていたときも、証券会社はセキュリティを後付けすればいいと甘く考えていたツケが回ってきたともいえます。

　しかしそれを非難するとしたら、我が身も振り返らねばならないかもしれません。新聞やテレビも「多要素認証を使おう」と報じていても、多くの人が人ごとのように流してしまっています。SNSの乗っ取りなども被害が続いており、芸能人のアカウントが乗っ取られても、それを軽くトークのネタにしていることもよく聞きます。本当にそれでいいのでしょうか。

　筆者はセキュリティ業界で「ハッカー」と呼ばれる方々が有するようなスキルは持ち合わせていませんが、それでも皆さんに今のサイバー空間と実社会の現状を知ってもらい、セキュリティを身近に感じ、“ジブンゴト”に考えてもらうための手助けをしたいと考えています。

　技術を持つ人はセキュリティ業界を飛び出してもらって、そのスキルを社会に役立ててほしいと思います。そして、筆者はセキュリティ業界以外の多くの方に向け発信することで、今すぐにできる「ちょっとセキュアになること」をピックアップしていきます。

　特にここ最近では個人や法人に向けた「詐欺」対策こそが、身を守るために必要なスキルになっています。セキュリティ業界を飛び出した方々が、世界を安全にする方向に活躍してくれるのは間違いありません。問題は、そこに至るまでに少々時間がかかること。それならば、皆さんももう数歩だけセキュリティに歩み寄ってもらい、面倒でも安全・安心が手に入るなら、その面倒を受け入れてほしいと思います。

　まずは詐欺対策で「電子メールやSMSのリンクは開かずブックマークから」「多要素認証は必ず設定する」「パスワードは長く強いものを」から始めましょう。できればパスワード管理ソフトの導入も……というのは欲張りすぎでしょうか。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。