セキュリティ人材の育成でいつ肥料を与えるべきなのだろうか
プランターの花に肥料入りの水をあげていてふと思った。なんだか、この水をあげて育て綺麗に咲かせることは人材育成にも近いものがあるな、と。
意外にも長く続いているプランターで花を育てる趣味、時期により咲く花を考えて寄せ植えしたり、花の色を考えてプランターの置く位置を変えたりする。紫陽花は特に咲かせるのが楽しみだ、剪定の位置、植えた土の酸度、与える肥料で花数や色が分かりやすく変わる。梅雨時期が近づき、青々とした葉が生い茂る姿は一年越しの楽しみの一つである。
セキュリティエンジニアの成長
そんな趣味を片手間に、セキュリティに携わりながらITエンジニアとして生きているわけだが、新たにチームに配属される人、中途で入ってくる人、新卒から叩き上げで転属する人、様々なバックグラウンドを持ったエンジニアが入ってくる。ここに一つの悩みがある。チームに掛けられるリソースの有限性が課題となる。
我々セキュリティエンジニアは総合格闘技並みのスキルと知識が求められる。時には屈強な精神とタフな体力も。これらは各個人で研鑽を続ける人も居れば、組織のリソースを上手く利用して育っていく人もいる。だが残念なことに組織のリソースは無限ではない。利益を生み出すビジネスの、さらに間接的には生み出すことのない、セキュリティとビジネスの狭間に行きている我々には潤沢に扱えるリソースは多くはない。誰しもが望むだけリソースを貰え、好きなイベントやトレーニングに参加できる世界があったなら…。
そんななかで、「誰にリソースを与え、学習機会やライセンス、社外トレーニングを受けさせるのか」はなかなかシビアな問題だ。本人の意志、チームの意志、組織の意志と様々な要因があるなかで、無駄打ちはさせられない。伸びる人材は特に伸ばし、リソースを掛けた分、一端に育って欲しいものである。ここで一つ問題となるのが、有限なリソースを上手く扱えない、伸びて欲しいが伸びない人材である。
植物を育てることと似通う人材適正、育成
植物にも様々な性質がある。陽の光に強い弱い。乾燥に強い弱い。栄養を必要とするしない。ただのプランター栽培でも置き場や水の頻度、含まれる栄養素で伸びが異なる。これらは勝手に雨が降り育つものもあるが、大半は形が悪くなるか、水切れか水分過多で腐り枯れてしまうものばかりだ。雑草のように強く育つものもあるが、綺麗な花は咲かず、長く咲かないものが多い。
面白いことに企業の人材適正、育成も同じだ。人間であるが故に表面上の成長は起こらないが、内面のソフトスキル、ハードスキルは成長する。これも勝手に成長するわけではなく、扱う業務やプロジェクト、業務外での研鑽で成長度合いが違う。楽しくなくつまらない、やりがいのない仕事は成長もしないし、最後には心かやる気が腐って仕事を辞めていってしまう。
勝手に伸びてくれる人材なら良いが、どれだけ頑張って評価されようとしても、教育リソースが割り当てられず、「どれだけ頑張っても評価されない」と判断した辞めていってしまう惜しい人材も少なくない。反面、リソースを掛けずとも成長し、更なる期待を込めて注ぎ込んだ教育リソースの恩恵を受けながら、受けたのちに飛ぶように転職していってしまうエンジニアもいる。あぁ…そのリソースを別のエンジニアに割り当てていれば、今頃夢のドリームチームもあったかもしれない…。そんな成長と可能性のプランが掻き消えないようにどうすれば良いのか。
理想論と現実
「うちで育った人が他所で活躍している!」と喜べるのは余程仲の良い人か、ビジネス的にメリットのある時だけだろう。何十万、何百万のリソースを掛けた結果、他所で活躍されてもリターンが無ければ掛ける意味がない。出稼ぎのように一時的な転属であれば話は別だが、一般的にそのような形はまず存在しない。
学校の教師と学生の関係なら良いだろう、手塩をかけて育て上手く飛び立っていくのは嬉しい。だがそれは「教育を提供する場」だからこそ成立するのであり、ビジネスでお互いに支え合う場では成り立たない。社会全体で見ればセキュリティ人材が育つことはうれしいが、ボランティアではないのだ。
この教育リソースを享受出来ることは一種の福利厚生である。会社として福利厚生の項目に数十万数百万の個人では困難な高額なトレーニングを受けられることについて公に言及されていることはほぼ無いのではないかと思うが、まあ実質似たようなものである。
この高額なトレーニングを受けた直後あるいは数ヶ月後に退職(転職)してしまう事例を直接あるいは間接的に見聞きすることが多い。転職される側の元所属企業からすれば寝耳に水であり、そんな事象を想定して教育は受けさせないし、リソースを割り当てることはない。本来であれば数年後のキャリアを見据えて支払ったリソースが、いわば持ち逃げのようにまで聞こえてしまう。
しかしここで、「数年後まで会社に居続ける人のみにトレーニング受講可能とします、途中で退職した場合は別途年数で金額を割り、残金を請求します。」とは到底できないだろう。業界全体で法的に規制するのならまだしも、極一部の組織だけが始めれば業界の人間から蔑まれ、その組織に所属する、し続けるメリットが極めて低くなる。福利厚生は自然に存在し、誰でも享受できる権利があるからこそ福利厚生なのであって、権利が無くなるか劣化する時にそれは極めて強い反発を受けるに違いない。
いつリソースを求め、そして与えられれば良いのか
冒頭の肥料をあげる話に戻ると、あげるタイミングも重要なのだと思う。成長したい時に求められた成長/学習リソースを正しく与え、受け取れることが福利厚生を超えるキャリアへのボーナスタイムであると考える。そんなボーナスタイムを上手く貰え、与えられる素晴らしい組織があってほしい。
やる気が湧いた時、キャリアに悩んだ時、方針が定まった時、本人が前に進みたくなった時、そんな時に背中を後押ししてくれるような形を、チームや組織のメンバーと自己開示しながら選んでいけるトレーニングと資格を、受けるタイミングが用意されると良いのではないかと考える。
もちろん、これらの資格取得へのリワード、資格を取ることの支援は当然の権利であるとも言えるし、まるでビジネスハックのような存在だとも思う。資格を大量に取得し、リワードの報奨金を得ながら荒稼ぎし居なくなる企業は人事的観点から頭の痛い話になるのだろう。しかしこの報奨金のシステムも、企業が資格を持った社員の数や、勉強させるための奨励の一種である。終身雇用前提の時代が終わりを迎える時、この資格報奨システムも緩やかに終わりを迎えるのではないだろうか。
いずれにしても、ビジネスとして、ITエンジニアとして、セキュリティに関わる人間として、これら技術への関わりのあり方がLLMの急激な発達と一般化によって変わりつつあるのは間違いない。けれど最後に決めるのは人間で、手を動かすのは人間、全てが自動化されるわけではなく、最終決定権はまだまだしばらく人間のものだ。技術や知識、経験をもとに責任が持てるような、そんな人材が出てくることを願いながら、トレーニングと業務を後押ししていくしかないのかもしれない。
寒い冬の窓辺で育てるバニーテール、育つと春には丸い猫じゃらしが生えてくる。この時期に外では育たないが、室内なら芽吹も成長も問題ない。環境を整えれば冬でも育つ。過ごしやすい適切な環境は人間も大事だ、怠けない程度の仕事と、適度な負荷、インプットアウトプット… 求められる責任と情報量に溺れぬよう、うまくセキュリティと付き合っていきたい。
