ひと月ほど前。内閣府のメールサーバに不正アクセスがあった、という報道があった。
ニュース番組などでは「国のセキュリティ要員がそもそも少ないのが問題」などという意見が多数を占めたように思う。
しかしだ、そもそも「そんな人材どこにいる?」のか。セキュリティの技術領域って、いわゆるインフラ技術の延長線上にある事が多い(もちろん他にもある)ので、インフラ技術者の層がないといけない。ところが、日本はこのインフラ技術者の層がうっすーいのだ。なぜなら、「大変なのにお金にならない」から。
そもそも日本企業のIT能力はかなり低い(と思う)。転職が当たり前の海外と違って社内育成される「社内エンジニア」は修羅場もくぐってないし、最新技術も扱えないし、「社内での出世」にしか興味がないので失敗リスクが大きいプロジェクトなど興味がない。営業などの花形部署と違って地位も低く、「ユーザ部門」の御用聞きでシステムを作るのが仕事。だから、まとまった仕事は有名SI企業に丸投げして進行管理だけする。それに日本の雇用制度は「ゼネラリスト採用」に偏る。「どこにでも配属できる汎用な高スペック人材」が求められる。その意味では日本人は優秀なのかもだが、ITでは通じない。ITでも特にインフラ技術は一通り学ぶのに百科事典1セット分くらいの知識はいるので、「ちょっと優秀」くらいじゃ足りない(詳細に知っているのは数冊分でもいいが、全体を俯瞰できる必要がある)。
それにSI企業にとって「オイシイ」仕事は開発の仕事。要件をくみ取ってプログラムに落とし込む仕事。かくして、50人100人の開発体制を組み、その中で1割とか、つまり数名をインフラ技術者に割り当てる。インフラの技術者って専門性が高いので本来は「プロ」を当てたいのだが、専門家を雇うとお金がかかる。かくして、「開発技術者の中でも勉強熱心でセンスのいい者」を選んで片手間でインフラ作業をやらせる。そもそも開発部隊はセキュリティはもちろんインフラの知識などないので、その重要性も大変さも理解してない。「インストールして設定するだけだよね?」なんて思ってたりする。なので、押し付けられたエンジニアは、結局便利使いされた上に顧客はもちろん社内からも全く評価されないから二度とやりたくないと思ってしまう。開発部隊で評価されるのは、「大きな開発案件を成功させたもの」であり、小規模部隊であるインフラエンジニアが脚光を浴びる事はない(専門のベンチャー等以外では出世もしない)。各製品開発などをやっている部隊やベンチャー企業だと、その製品の構築などがあるので専門の技術者がいたりするが、その場合は「自分の担当している製品部分だけ」しかやらない。ネットサービスをやっている会社にはそれなりにいるが、各社が自社サービスのために抱え込んでいるので外に出てこないし。
つまり、「ITインフラの構築設計」の専門家が育ちにくく、だからあまりおらず、いても労働市場に出てきにくい。そして、仮に「いる」と仮定しても人数を集めればいいというものでもない。専門が細かく分かれるから。メールサーバの専門家、開発サーバの専門家、Webサーバの専門家、ネットワークの専門家、などなど。もちろん、ある程度の共通知識はあって分野が変っても「全く対応できない」訳ではない。しかし、問題が起こるのは「重箱の隅をつつくような小さな部分」である事が多く、ある程度まとまった知識と経験がないとキャッチアップに時間がかかってしまう。普通のインフラ技術者でさえそうなのだから、より高度なレベルが必要なセキュリティ技術者は・・
で、改善する策としては「IT技術者」「セキュリティ技術者」云々じゃないんだよね。足かせになっているのが広く「雇用制度」なんだから。セキュリティ問題が起きると「国民」は「政府は何をしているんだ!」と怒る訳だけど、「一度雇われると安泰」という雇用システムが組織を硬直化させ、陳腐化させる原因になっている。組織の安定のため「能力に応じて大金を払う」事ができず、だから、一級の人材は集まらない。まあ、みんな外資行っちゃうからね。「自分たちの雇用を守るシステム」が「自分たちの安全を脅かしている」という皮肉な現象に、そろそろ気づいてもよいのではないか。
