セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

米国でセキュリティ人材としてスキルアップするには?

米国に赴任して以降、米港における人材育成方法にかなり興味を持って色々見ています。今回のエントリーでは、米国におけるセキュリティ人材の育成方法について書いてみたいと思います。

米国の人材育成の特徴

色々な人に話を聞く限り、米国には(日本人が想像するような)OJTという制度は存在しないと言っても良いと思います。日本では、インストラクターに色々指導を受けながら、時間をかけて育成していくことが一般的だと思いますが、そのような長期的育成という概念はありません。(もちろん、OJTという言葉は英語ですし、似た取り組みはあるかと思いますが、日本の師弟制度的な取り組みから見ればかなりドライですし、やってもかなり短期間の取り組みです。)

業務における教育が充実していない理由は、大きく三つの理由が挙げられると思います。

  • 人材の入れ替わりが激しい
  • 仕事内容がが異なるため、教えることができない
  • Job Security
理由1: 人材の入れ替わりが激しい

第一の理由は、アメリカは人材の流動性が高いので、育成して一人前になる頃には転職するなんてことはよくあります。そもそも長期的に在籍することを前提としていないので、育成にもあまり力をいれる文化がないと思います。(当然入社時研修は長くて半日で終わる程度ですし、e-Learningのことも多いです。逆に手間隙かからずトレーニングできるe-Learningの活用が進んでいると思います。)

少し前の統計ですが、ワシントンDCのセキュリティ人材の失業率は-3%だそうです。こちらでは、少しでも待遇がよくなるようであればすぐに転職しますので、かなりの売手市場です。今お世話になっている会社もセキュリティポジションの募集を行っていますが、良い人材を獲得するのはなかなか大変だと感じています。

理由2:仕事内容が異なるため、教えることができない

第二に、アメリカでは仕事内容(Job Description)がかなり厳密に分かれており、それ以外は基本やらないことが普通です。(雑用は雑用専門の人がいますし、雑用から仕事を学ぶなんていう「見て技を盗む」といった古きよき伝統芸のような考え方はありません。)そのため、そもそも同じ業務をしている人がおらず、教えるに教えられないなどの可能性があります。

理由3:Job Security

第三に、アメリカは人材の流動性が高いと述べたとおりですが、自分でキャリアアップのためにやめる場合もあれば、首になることもあります。そのため、自分の仕事がなくならないようにするため、仕事のやり方を共有しない、必要最低限しか教えないという可能性があります。(全員こういうことを考えているわけではないと思いますが、こういうことを考えて動く人がいるのもまた事実です。これをJob Securityの確保といいます。)

米国でスキルアップする機会は?

アメリカにおいてスキルアップする機会は、二つしかありません。(Off-JTという意味では日本と大して変わりません。)

  • 大学・大学院
  • カンファレンス・トレーニング

大学・大学院

専門的なトレーニングを受ける代表的な機会は大学です。
米国では、大学で何を学んできたかはかなり重要視されます。IT関連の職種であればコンピュータ・サイエンスの学位が必須のケースも珍しくありません。(日本のように、文系でSEになるみたいな日本的なことはまずありません。)そのため、キャリアチェンジしたりキャリアアップするために大学で学びなおす人も多いです。大学側もそのことを理解しており、学位以外にも、Certificateと呼ばれる6ヶ月とか1年で取れるミニ学位みたいなものが豊富に用意されているので、それを取得してキャリアチェンジをする人も多く存在します。実際、私の周りで別の分野からセキュリティの世界にキャリアチェンジした人の多くは、セキュリティに関する学位かCertificateを取得して基礎知識があることを証明して転職している人が多いですね。

私が驚いたのは、米国の大学がかなり職業訓練校として機能している実情でした。日本でも以前、文部科学省の有識者会議において、冨山和彦氏が「一部のトップ校を除いて、ほとんどの大学は職業訓練校になるべき」と発言したことを受けて様々な議論が飛び交いましたが、米国の大学の一部は既に職業訓練校になっていると考えられます。(いわゆるアイビー・リーグなどは話が別かもしれませんが)
president.jp

カンファレンス・トレーニング

もう一つの手段は、カンファレンスなどに参加する方法です。ある程度キャリアがある人が最新知識をキャッチアップするために参加したり、新しい人が知識を吸収するために来ます。但し、会社が費用を負担してくれないこともあるため、SANSなどではWork Studyプログラムというプログラムなどが存在します。簡単にいえば、ボランティアをする代わりに安く研修を受けられる制度です。ちなみに、何を学んだかが重要となるのはトレーニングも変わらないため、学んだことを証明する手段として資格が存在し、資格が存在する場合はみんな資格を取ることが一般的です。

その他(資格と職種)

米国では仕事は厳密に細分化されていますが、各仕事ごとにきちんと資格が存在している点が印象的です。例えば、以下の通りです。各仕事に対する専門的知識を持っていることを示すため、各種資格が用意されているという印象です。

内部監査 CISA(Certified Information Systems Auditor)・CIA(Certified Internal Auditor)
PM (Project Manager) PMP(Project Management Professional)
BA (Business Analyst) CBAP(Certified Business Analysis Professional)
BCP(事業継続計画) CBCP(Certified Business Continuity Professional)

まとめ

米国の人材育成状況についてご理解いただけたでしょうか。大学が職業訓練に大きく影響を与えていることは、私にとってはかなり意外でしたが、文化によって育成方法も違うことが非常に良くわかりますし、アメリカにおける人材育成について知ると色々と面白い発見があります。