「ホワイトハッカー」その知られざる実態と任務 「四大卒採用」にこだわる大企業の残念な愚かさ
「サイバーセキュリティの対策は、攻撃を受けないよう事前対応をしていることが大前提ですから、直前ギリギリで防ぐということはほぼありません。現実には、皆さんが思い描くような派手な場面はあり得ないと言っていいでしょう」
陣容はさまざまだが、一般的に大企業のホワイトハッカーは5名前後。経験を積んだ30~40代のセキュリティ会社出身者が多く、年収は最低600万~1500万円程度。多くは職人的気質を持っているが、中には昇進してCISO(最高情報セキュリティ責任者)を目指す人もいるという。ただ、ホワイトハッカーに対する採用基準や待遇、昇進モデルは国内企業ではあまり確立されていない。
「そもそもホワイトハッカーは人手不足で、求人してもなかなか採用できない状況です。高専卒や中卒後、個人でスキルを磨いてきた人も少なくありません。しかし、採用基準を四大卒におくような大企業では、能力的に非常に優秀な人材をみすみすはねてしまうことも。ホワイトハッカーには学歴と年齢は不問にしたほうがよいと、日本ハッカー協会からも要請しているのですが」
「セキュリティマネジメント」だけでは意味がない
今後、企業はどのようにセキュリティレベルを上げていけばよいのか。
「中高年はITに苦手意識を持つ人も多く、IT弱者も多い。日常の業務ではそこが穴となって、外部ハッカーに侵入されてしまうケースがあります。また、いくらセキュリティレベルを高めても、侵入されるきっかけは必ず出てきます。
例えば、暗号資産などは狙われやすく、少しでも気を抜けば侵入されてしまうでしょう。企業はサイバーセキュリティに対する意識を全社的に向上させる必要があります。セキュリティマネジメントを一通りやったとしても、実態的調査を強化しなければ意味がないことを理解してほしいです」
企業はインシデントがない平和な期間が続くと、セキュリティ予算を減らしがちだ。しかし、防御のレベルを弱めれば次は何が起こるかわからない。最悪、攻撃を受けたことに長期間気づけなかったり、攻撃を受けたまま何も手出しができないこともある。ホワイトハッカーの存在意義は、今後ますます正しく把握されるべきだろう。
ログインはこちら