英国最大手通信業者BT「セキュリティ担当者900人採用」の衝撃

江添 佳代子

May 13, 2016 12:00
by 江添 佳代子

4月13日、英国最大手の通信事業者BT(旧:British Telecommunications)今後1年間のうちに900人のセキュリティ担当者を採用する計画を発表した。BTは世界最大規模の通信事業者のひとつではあるものの、その派手な数字に欧米のセキュリティ業界がどよめいている。BTのウェブサイトを見るかぎり、それは真剣に打ち出した数であるようだ

「我々は、拡大を続けるサイバー犯罪の脅威から消費者や企業、政府を守る大きな活動の一環として、今後12ヵ月間で、当社のセキュリティ事業に従事する900人のスタッフを採用します」

「1年間で900人採用」の驚き

まずは、サイバーセキュリティの専門家を確保することがどれほど困難なのか、そしてBTが発表した「900人」という規模がどれほど派手なのかを考えてみよう。。

セキュリティ業界のみならず、あらゆる業種の企業や組織で、セキュリティに携わる人材は数年前から慢性的に不足しており、そのスキルギャップは深刻化の一途を辿っている。セキュリティイベントの講演でも、「絶望的なことは分かっているが、文句を言う暇があるなら一人でも増やせ!」といった意見が何度も語られるような状況だ。シマンテックのCEOは「2019年までには、セキュリティ専門家の人材不足の数が150万人に達するだろう」という試算を発表している。一部には「すでに大惨事」「パニック状態」などと表現する向きもある。

この人材不足は、世界共通の問題だ。たとえば日本政府も今年3月31日、サイバーセキュリティの専門家を「今後4年間で1000人以上確保する」という方針を発表した。言い方を変えるなら、五輪という大きなイベントの開催を控えてセキュリティ対策の強化を望んでいる日本が、4年がかりの国家プロジェクトで増員しようとしている人数は、BTが1年間で確保しようとしている人数と大差ないということになる。しかし日本だけが極端に出遅れているわけではない。

2013年には、韓国の未来創造科学部が「「4年間で5000人の情報セキュリティ専門家を鍛える」と発表していたものの、その時点で政府が求めるレベルの人材は国内に200人しかいないとも語られていた。この計画は、メディアや銀行などを狙った一連のサイバー攻撃(北朝鮮発の可能性が高いと考えられている)を受けたばかりという深刻な状況で発表されたのだが、「200人から5000人への増員」には無理があるとの見方も強かった。その後、目標に向けて順調に人材が育っているという噂は、いまのところ聞こえてこない。

BTのある英国は、日本や韓国よりも大幅に早い時期から、セキュリティの専門家を育成するべく多額の予算を注ぎ込んできた。しかし、その英国のシギント機関(デジタル諜報機関)のGCHQですら、人員の確保に難儀している。2015年11月には、同国のジョージ・オズボーン財務大臣が「2020年までに、GCHQに1900人の新たなスタッフを増員する」とスピーチで語った。その計画を加えると、英国政府がサイバー対策に費やす予算は32億ポンド(約4900億円)以上になると見込まれているものの、「才能のある人材をどこから調達するつもりなのか、誰も分かっていない」との意見もあり、早くもオズボーンの計画は失敗に終わるのではないかと囁かれている

もちろん米国政府も、学校や民間団体と提携したサイバーセキュリティの教育政策を進めてきた。オバマ大統領も、それは熱心に取り組まなければならない差し迫った問題だということを繰り返し主張してきた。それでも世界中からサイバー攻撃を受けている米国は、世界で最もセキュリティ専門家の供給が需要に追いついていない国だと考えられており、その不足数は65000人にも上っている

BTの打ち出した計画とは

様々な国の政府が、これほど躍起になって手に入れようとしているセキュリティの人材を、ひとつの企業が1年で900人も採用するというのは、かなり無理があるようにも聞こえる。「非現実的だ」と切り捨てるほうが簡単だろう。しかし、ここではあえてBTの計画の優れた部分に目を向けてみたい。先に紹介した同社のページには、次のような説明がある。

「世界中で拡大しているサイバーセキュリティサービスの需要に応じるため、また、この分野の技術不足に対処するため、『12ヵ月で900人の新人採用』の一部として、我々は170人の新規卒業生と実習生(apprentices)を訓練する所存です。彼らは、サイバーセキュリティに関連したサポートサービスの様々な分野で働くことになります」
「新卒生と実習生は、フィジカルセキュリティ、侵入テスト、脅威インテリジェンス、リスク管理、セキュリティのオペレーション及びセールスなどの様々な分野に渡る研修を、BTのSecurity Academyで受けることになります」
「我々は一流大学の学生を採用するだけではなく、他にも最高の人材を選ぶために、ハッカソン形式の『ウォーゲーム』競技に協賛しています」

つまり同社は、いまセキュリティの専門家として認められる人々をヘッドハンティングするだけでなく、学生や見習い生、アマチュアハッカーなどの有望な新人の育成も行おうとしているようだ。それは採用の間口を広げるだけではなく、実践的な人材の確保にも繋がるだろう。ペーパーテストで資格を取得したばかりの新人を大量に採用し、いきなり実務に就かせるよりも、最新のサイバー攻撃の現場に対応できる人材を得られそうだ。

しかし「ただでさえセキュリティ専門家たちが忙殺されている中、誰が新人を育てるのか?」という問題が持ち上がる。才能のある若者を探すことができたとしても、彼らを現場で育てられるスタッフがいないという意見も、よく聞かれる苦情の一つだ。その点においてBTは有利かもしれない。同じページには次のような記述がある。

「我々はすでに2500人以上のセキュリティ専門家を雇用しており、また我々のセキュリティオペレーションセンターは世界中に存在しており、その歳入は2桁成長を遂げています」

つまりBTは、すでに異例とも言えるほど多くのセキュリティ専門家を確保している。首尾良く計画を進められれば、新人が先輩の「手伝い」をしながら仕事を覚えることで、企業にもスタッフにも利益がもたらされるかもしれない。

さらにBTは英国だけでなく欧州、米国、中東、アジアからの採用も視野に入れている。経済が冷え込んでいる国々のハッカーにとって、その雇用条件は非常に魅力的だろう。なぜなら現在、欧米圏におけるセキュリティ専門家に提示されている給与は天井知らずとなっているからだ。

BTがセキュリティ技術者を大量募集した理由とは?

このような発表をBTが行ったのは、ただ単に「自社の人手不足を解消したい」というだけの理由ではなかっただろう。BTは世界でも最大手クラスの通信事業者ではあるものの、英国には「TalkTalkという競合企業もあり、BTとTalkTalkは国内の2大通信業者と見なされている。このBTのライバルにあたるTalkTalkは2015年10月、深刻なサイバー攻撃を受けて大量の顧客情報を危険に晒した。

この侵害事件が発覚した当初は、最大で400万人の顧客が攻撃の影響を受けた可能性があると報じられた。のちに同社は「実際にデータを盗まれたと見込まれる顧客数は、たった4%だけ」と表現したが、それは15万人を越える数だった。その後の調べで、同社は「顧客データの暗号化に失敗していた」などの決定的なセキュリティの失態を露呈する羽目となり、英国の各種メディアから多くの非難を受けた(例:The GuardianThe RegisterThe Telegraph)。そして今年2月の発表によれば、事件発覚後のTalkTalkは10万人以上もの契約者を失ったという。

この侵害事件から半年が過ぎた現在、BTは「セキュリティの強化に本気で取り組んでいる姿勢」をアピールすることによって、TalkTalkとの違いを見せつけようとしているのかもしれない。あるいはライバルに起きた大惨事を目の当たりにしたBTが、改めて気持ちを引き締めた、とも考えられる。いずれにせよ、1年後のBTが本当に900人のセキュリティスタッフの増員に成功するのかどうかは、英国にとっても他国にとっても大いに気になるところだろう。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…