概要

昨今「セキュリティエンジニアが数万人不足する」というニュースを数多く聞く（あるニュースでは20万に不足すると予想されていた）。確かに近年はサイバー攻撃の増加により、ITセキュリティを重視する必要があるのは間違えない。しかし、人員を10万人単位で充足させることなど今の日本では不可能だと考える。

何故不可能なのかを、各観点で考察する。

人口構成的な問題

まず、少子高齢化が激しい日本において、特定の業種（しかもセキュリティエンジニアという特殊な業務）を増やすことは非常に難しい。

2021年度の出生数は約80万人。2000年の110万人(今の20歳)、1980年の150万人(今の40歳)と比較すると急激に減っていることがわかる。

そうなると貴重な労働力をある特定の業務に集中させることは現実的ではない。そのようなことをすれば社会を構成するIT業務以外の仕事が成り立たなくなるのは確実だ（店員等をほとんどロボットに変えない限り）。労働者がありあまっている国であれば可能かもしれないが、日本において不可能だと考える。

スキル的な問題

新しく数十万人のセキュリティエンジニアを増やすことが難しいなら、今の人材にセキュリティを習得させることが望ましいだろう。

しかし、セキュリティ業務は専門職だ。習得が一般人には不可能....というほど難しいわけではないが、片手間で誰でも習得できるほど簡単でもない。メイン業務を担当しながら、セキュリティを専門職と遜色ないレベルまで持っていける人はどれくらいいるだろうか？

出来る人は数多くいると思うが、少なくとも10万人単位での確保は難しいだろう。その努力に見合うほどの報酬が出る企業は少ない。よくエンジニアは一生勉強だ...とは言うが、それは報酬がついてくる時の場合だ。セキュリティの専門知識を得ても報酬が急激にあがらないのであれな、無理してでも頑張ろうと考える人はいないだろう。多くの人が技術に命をかけてるわけではないのだから。

また、一言でセキュリティエンジニアといってもマルウェア解析、フォレンジック、脆弱性診断、機器の導入等多岐にわたる。多くのセキュリティエンジニアはどれかに専門性を持っており、「なんでもできます」というような人はそれこそ稀も稀な存在だ。単純に不足するとはいっても、具体的にどの技能のセキュリティエンジニアが欲しいのかは謎である。

少なくとも企業全体のセキュリティを考えリーダーシップを発揮できる人材...なんて、それこそ10年単位で教育が必要だ。

利益的な問題

そもそもセキュリティは利益を産まない。何かが起きた時に利益を守る役割はするが、セキュリティを厳重にしたからといって売り上げは伸びない。そうなると経営層的にはセキュリティエンジニアを積極的に作っていくメリットは感じられないだろう。

これは実務的にもいえる。セキュリティ業務を外部に売っていかないのであれば、一般企業においてセキュリティの業務はそう多くはない。マルウェア解析やフォレンジックなんて数年に1度あるかないかだし、システムへの脆弱性診断も毎日やるようなものでもない。そうなるとセキュリティエンジニアを増やそうという動機は増々減るだろう。

まとめ

セキュリティエンジニアが充足できない理由を考察してみた。

今後確かに不足するかもしれないが充足することはないだろう。現実的な路線としては今動いているシステムを縮退させ、今いるセキュリティエンジニアで回していくしかない。

また余談であるがセキュリティエンジニアの報酬がうなぎのぼり....というのも眉唾物だ。超スーパーエンジニアならともかく、一般的なセキュリティエンジニアにそれほど高給を払える日本企業はないだろう（利益を産まないから）。少なくとも私は「○○が不足している」という理由で給料が50%もあがった職業を見たことがない。セキュリティエンジニアも特別扱いされることはないと考える。