2026年4月6日
諸角　昌宏

本ブログは、CSAジャパンとしての正式な見解ではなく、あくまで筆者の個人的な意見としてまとめたものである。しかしながら、この問題はクラウドセキュリティに関わる人に幅広く関係することとして、このCSAジャパン・ブログに掲載させていただく。皆さんの屈託のない意見をいただければ幸いである。

以前のブログ「クラウドセキュリティは不要か？ ~ クラウドセキュリティは情報セキュリティの一部として整理すべきか」では、クラウドセキュリティが情報セキュリティに単純に吸収されて完結するのではなく、「情報セキュリティの基盤の上に専門的な理解が積み重なる」という構造を示した。今回はその続きとして、積み重なった専門的な理解はどこへ向かっているのか、そしてその先に、「クラウドセキュリティ専門家」という職種は存在し続けるのだろうか、という観点で考えてみたい。

結論から言えば、クラウドセキュリティ専門家は不要になる方向にあると考えている。ただしそれは、クラウドセキュリティの知識が当たり前になってきたからである。したがって、「不要か否か」という問いは、少し乱暴かもしれない。大切なのは「なぜ」「どのように」不要になっていくか、という点ではないだろうか。突然消えるわけではなく、独立した専門領域としての輪郭が、二方向からじわじわと溶けていく。それが今クラウドセキュリティに起きていることだと思う。以下、この2つの方向について考えてみる。

第一の方向：上位概念への統合

たとえば、アイデンティティセキュリティを語るとき、その実装基盤はクラウドである。AIセキュリティを語るとき、そのワークロードはクラウド上にある。ゼロトラストを語るとき、その実装環境はクラウドである。クラウドセキュリティの知識は、こうした上位概念の議論の中に自然と溶け込んでいく。この状況において、専門家の肩書きで言えば、「クラウドセキュリティ専門家」という看板を掲げる人は少なくなり、「AIセキュリティエンジニア」「ゼロトラストアーキテクト」「IDセキュリティアーキテクト」といった肩書きを持つ人が増えていくだろう。クラウドの知識はその人たちの中に前提として組み込まれているが、看板には出てこない。これが一つ目の力である。上から押し下げる力、と言えるかもしれない。

第二の方向：基盤層への沈降

もう一つの力は、下から押し上げてくる力である。クラウドセキュリティの考え方が広まるにつれ、その知識はインフラエンジニア、DevSecOpsエンジニア、SRE（Site Reliability Engineering）といった職種の当然の素養になっていく。ネットワークセキュリティの知識がネットワークエンジニアの前提になっているのと同じである。 「クラウドセキュリティを専門とする」という言い方が成り立つためには、その知識がある程度希少である必要がある。しかし知識が現場に浸透し、エンジニアリングの常識になっていくと、その希少性は自然と薄れていく。クラウドネイティブ開発の普及、Infrastructure as Codeの標準化、プラットフォームエンジニアリングの成熟。こうした流れが、クラウドセキュリティの知識を現場に定着させ、専門家が個別に関わらなくても機能する状態へと少しずつ近づいていると考える。

二方向から挟まれる構造

以上の2つの方向の力が同時に働いているのが今のクラウドセキュリティの状況と考える。上からはAI・アイデンティティ・ゼロトラストの専門家として吸収され、下からはインフラ・DevSecOpsエンジニアとして吸収されていく。「クラウドセキュリティ専門家」という独立した専門家像が成り立つ空間が、二方向からゆっくりと埋まっていくというのが、「不要」という意味合いになってくると思われる。

では、何が残るのか

クラウドセキュリティの知識が消えるわけではない。ゼロトラストアーキテクトもAIセキュリティエンジニアも、クラウドセキュリティの理解なしには成り立たない。CCMもISO/IEC 27017もなくなるわけではなく、監査やコンプライアンスの場面で参照され続けるであろう。ただ、その位置づけが変わる。クラウドセキュリティの知識はセキュリティ専門家全般の前提条件になっていくと考えられる。

ただ、一点付け加えたいことがある。前回のブログで「情報セキュリティの基盤の上に専門的な理解が積み重なる」と示したが、そうであれば、その積み重なった知識を次の世代や隣接領域の専門家に伝えていく仕事は、確かに残る。クラウドセキュリティ専門家の役割は「実装の最前線」から「知識の伝承と標準化」へと移っていくと考えられる。CSAのような組織が担ってきたのも、まさにその仕事である。

まとめ

専門家が必要なくなるのは、その知識が当たり前になるからである。概念が整理され、方法論が体系化され、標準や規制に組み込まれ、実装が現場の常識になっていく。ネットワークセキュリティがそうなったように、クラウドセキュリティも今その道を歩んでいる。この観点から、クラウドセキュリティ専門家に残される役割は、大きく二つあると考える。

一つ目は、「次のフロンティアへの参画」である。AIセキュリティ、アイデンティティセキュリティ、エージェントセキュリティといった領域は、まだ答えが出ていない問いに満ちている。クラウドセキュリティで積み上げた知識や経験は、こうした新たな領域を切り拓く上で確かな土台になる。クラウドセキュリティ専門家こそ、次のフロンティアで力を発揮できる存在である。

二つ目は、「知識の伝承と標準化」である。情報セキュリティの基盤の上に積み重なった専門的な知識を次の世代や隣接領域の専門家に伝えていく仕事は、確かに残る。概念が定着し当たり前になっていくからこそ、それを体系化し、標準として整理し、教育として伝えていく役割が必要になる。CSAのような組織が担ってきたのも、まさにその仕事である。

CSAは、既にこの方向に向かっている。最新のCSAのブローシャーにはこう書かれている。「forward-looking cybersecurity topics, including AI, cloud, and Zero Trust」。AIもゼロトラストも、クラウドと並列で挙げられている。クラウドセキュリティはCSAの原点であるが、CSAの活動はそこにとどまらない。クラウドセキュリティが当たり前になりつつある今、CSAは次の「まだ当たり前でない問い」に取り組みながら、その知識を体系化し社会に届ける役割を担っている。また、クラウドセキュリティで培った知識は、次のフロンティアへの確かな土台であり、次の世代へ受け継ぐべき財産でもある。

以上