みなさんこんにちは。Rakuten-CERTの福本です。
最近、様々なインシデント事例があってセキュリティ関係者は大忙しみたいですね(苦笑)そんな状況でもあるので、ここ最近は多くの企業でセキュリティのニーズも増しているのかなと思うのですが、GovInfoSecurity.comの記事によると米国のセキュリティ人材の失業率はなんと0%とのことです。これは驚きの結果ですね。セキュリティエンジニアを採用するのは非常に困難な状況なのかもしれません。実際うちも採用は大変です・・。
最近、ユーザ企業側でのセキュリティ体制の整備についてちょっと調べていたのですが、やはり下記の一覧のように、ここ数年で多くの企業でCSOが任命され、企業内CSIRTの整備も進んでいるようでした。
この中でも個人的にはフェイスブックの取り組みは気になっているところで、彼らはかなりの腕利きのハッカーを採用してたり、Security Bug Bounty Programもやってたりします。(ちなみにこの記事によると、早速多数のセキュリティ研究者から脆弱性の報告があったようで$40,000を支払ったようです)これらはユーザ企業側のセキュリティの取り組み方が変化してきていることを示していると思っていて、彼らの今後の動向は要チェックです。
本題に戻りますが、この先多くのユーザ企業が自社のセキュリティ対策を整備していくためには、これまでより多くのセキュリティエンジニアが必要になると思うので、セキュリティの人材育成がますます重要になってくると思っています。はっきり言って今でもセキュリティの分野は人材不足です。そのためにも、セキュリティ&プログラミングキャンプのような人材育成支援の取り組みはもっとやった方がいいと思うし、そして日本でもCTFへの積極的支援があってもいいのかなとも思っています。例えば、お隣韓国のKISA(韓国インターネットセキュリティ庁)のCODEGATEの取り組みのように。これは僕の主観なのですが、韓国はここ数年、このような国策によってセキュリティエンジニアのレベルはかなり向上したように思えます。
やっぱり技術者を育てるためは高い目標とライバルと競い合う場は必要だと思うし、CTFはそのためも必要な場だと思うので、来年あたり楽天セキュリティサミット(楽天グループだけのローカルセキュリティカンファレンス)の一部をオープンな形にして、Rakuten CTFが出来ないかなって思っています。またひとつ、僕の目標が出来ましたね。