言い換えれば、セキュリティ専門家は必要とされていないのではなくて、セキュリティ専門家は必要とされるべきなのに、セキュリティ専門家を必要とすべき情報統括責任者や経営層が不足しているということなのです。このことを勘違いして「セキュリティ対策が進まないのはセキュリティ専門家が不足しているからだ」という誤った施策を講じてしまうのです。
従って、これから講じるべき施策は「情報セキュリティ人材を活用する人材の育成」なのです。日本にはそもそもCIO（chief information officer）が決定的に不足しています。本来であればCIOがこのような役割を果たすはずです。情報そのものを戦略的に生かすためにはセキュリティについても同時に考慮する必要があり、それにはセキュリティ専門家を活用して効果的な対策を講じつつ、コストや利便性のバランスを実現していくのです。

今、不足しているのはセキュリティ技術者そのものよりも、脆弱性を作りこまないことを意識して各開発工程に適切なセキュリティ対策の要素を取り込むプロジェクト・マネージャーやシステムエンジニア、コードに脆弱性を作りこまないプログラマー、そしてそのような体制を構築、推進する経営層なのです。

情報セキュリティ人材を活用する人材の育成が必用（後編） | 日経 xTECH（クロステック）