情報セキュリティ人材のあり方を考える(7)

またまた、前回の続きです。

「考える」の次は、「やってみる」ことです。
実機を使用したり、ケーススタディやロールプレイをしたり。
実際に「やってみる」ことで、実施できるスキルを習得します。(それから演習では失敗ができます。実戦では失敗が許されない場合が多いでますが)
演習では、自分がやってみることが重要なのですが、他人がやっていることを観察することもできる貴重な場でもあります。

さて、米国国土安全保障省(DHS)の「HSEEP」によると、「演習」とは

組織への脅威に対して、①未然に防止する、②リスクを低減させる、③的確に対応する、④迅速に復旧する、といった能力を仮想環境で検証するもの。

脅威が顕在化する前に、組織の上記能力を向上させるために、演習は極めて有効な手段であり、以下のような効果が期待される。
・ポリシー、プラン、プロシージャ、教育、技術、組織間の規則の検証
・参加者の役割と責任の明確化
・組織間の情報共有体制の向上
・人的リソース、経済的リソースの最適化
・参加者個人の能力向上

とされています。

このような文章を見ると、やはり情報セキュリティ人材に「演習」は欠かせないものだと思います。
合理的かつ実践的なスキルは、このような学習方法でないと身に付かないからです。

しかし、日本においてはこのような学習が重視されていなかったり、提供されるコースが少なかったり、教えられる講師がいなかったり…
こういう問題も、解決していかなければなりませんね。