サイバーセキュリティ業界は、とかく隔絶した世界だと言われる。専門性が高く、素人には分かりにくい業界であることも確かだ。それゆえに「孤高」で、外部との人材交流も少ない。
僕自身は、セキュリティの専門家ではない。僕のテーマは「Global & Digital」の追及で(お客様企業の)価値を高めること。そんな活動の中で、セキュリティ製品・ソリューションの拡販に携わったり、企業のリスク管理(不正会計や災害対策)にITを活用するお手伝いをしたことはある。
10年近く前、サイバーセキュリティの強化に関わることになって、改めて業界をサーベイしてみると、上記「孤高」の状況が分かってきた。頑張っている社内のセキュリティ部門はいても、経営者はもちろん関係部署からの目は厳しい。いわく、
・何もなくて当たり前、何かあったら叱られる
・言ってる言葉が分からなくて、努力など評価できない
・何もないなら不要な部門、まあ保険みたいなものかな
という状況だった。部門の人達もそんなものだと諦観していて、黒子であることに甘んじているように見えた。これからはそれではいけない。企業のリスク管理、いや経営そのものに直結する部署だし、十分働いてもらう(含む予算獲得)には、各種の見える化が必要だと思った。
その後いろいろな人たちと議論をして、いくつか方向が見えてきた。
◆ポストの見える化
CRIC-CSFという団体が、企業の業務内容を40種ほど分類。そこにどんなスキルを持った人が必要かを明示してくれた。
◆人材の見える化
JTAGという団体が、人材の教育履歴・資格・業務経験・人柄まで数値化する手法を開発。人のスキルを、客観的に評価するシステムを確立してくれた。
これで、ただ闇雲に「人材不足19万人」と憂うるだけではなく、どこにどんな人材が足りないかを経営者が判断し、適材適所のマッチングができるベースはできた。育成計画を立てることも、「ジョブ型」の採用をすることもできるし、その結果人材に流動が起きて、セキュリティ人材の評価(ありていに言えば処遇)も高まるはずだ。
ただもう一つ、重要な見える化については、僕の想いに応えてくれる「何か」は登場しなかった。それは「企業の見える化」。
<続く>