ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ 経営者の視点

セキュリティ人材を社内で育てる難しさ

デロイト トーマツ リスクサービス
【第5回】 2017年9月4日
著者・コラム紹介バックナンバー
previous page
2
nextpage

なぜセキュリティ人材は育たないか

 では、なぜセキュリティ人材モデルの定義ができていない組織が多いのか、理由はさまざまですが次のようなことが考えられるのではないでしょうか。

●専門分野が多く複雑
 前述したようにセキュリティ人材の専門性は非常に広範且つ複雑です。400弱から構成されるスキル項目を取捨選択し組織に備えていく必要がありますが、これらの中身を理解することから始めなければなりません。

●セキュリティリスクの理解が不十分
 自組織のビジネスとセキュリティリスクの関連を明確にし、自組織に必要な役割等を洗い出す必要があります。例えば、インターネットに接続できる機器を製造している会社であれば、データセンターに設置しているサーバやクライアントPCだけを守るのではなく、製造する製品のセキュリティ対策も考えなければなりません。

●セキュリティ担当者が多忙
 セキュリティ担当者が日々の業務に忙殺され、定義の整理や育成プランを考える時間がない。同じ理由から、セキュリティ対策がモグラたたきになっており根本原因が把握されていない例がよくあります。根本原因が不明であるため、その対策に必要な役割・スキルも明確にできないという問題になっていると考えています。

 つまり、セキュリティ人材モデルを作成するにも、組織の状況を把握し相応のスキルを有したセキュリティ人材が必要ということです。鶏が先か、卵が先かといった話になりますが、人材あってのセキュリティ対策であるため、セキュリティ人材モデルと育成プランの作成を外部のコンサルタント等に支援を依頼するケースが増えています。人材育成には時間と費用がかかるため、中期セキュリティ戦略の中にセキュリティ人材戦略も組み込み、育成できるまではアウトソースを活用するといった大手企業も珍しくありません。

人材育成とキャリアパスの問題

 組織に合ったセキュリティ人材モデルを作成後、育成プランを検討します。既存のITやセキュリティ担当を育成する場合、役割ごとに必要なスキルと現在のスキルとのギャップを埋めるトレーニング等を行います。

 役割を見ていただければわかるように、セキュリティ人材はIT人材以上に専門性が広いといえます。それぞれのスキルにもレベルがあり、最新のサイバー攻撃やその対策を理解するためには深い知識と経験が必要になるため、どこまで深い技術力をインソースでまかなうかは組織の方針として決めておくことが肝要です。

 セキュリティ人材には大きく二つのキャリアパスがあります。ひとつはセキュリティ技術をある程度理解した上でマネジメント系に進む道で、セキュリティマネジャーやいわゆる橋渡し人材になり、将来はCISOを狙うコースです。もうひとつはセキュリティ技術の最先端を常に追いかける技術者コースです。

 ベースとなるトレーニングはどちらも変わりませんが、前者はセキュリティのトレーニングに既存の管理職研修といったものを組み合わせることで、ある程度は方針に則った育成が可能です。後者は職人のようなもので、既存のトレーニングでは育成が難しくなります。最新のサイバー攻撃やセキュリティ技術をキャッチアップするためには、自分で探して自らその場にいく必要があるからです。本人任せにも見えますが、このようなモチベーションを維持させるためにも、目標とミッションを与え、キャリアパスを見えるようにすることが重要となります。

previous page
2
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ 経営者の視点

経営者は情報セキュリティに対するリスクマネジメントや投資についてどう考え、取り組むべきか。さまざまな視点でデロイト トーマツのセキュリティエキスパートがリレー形式で解説する。

「サイバーセキュリティ 経営者の視点」

⇒バックナンバー一覧