セキュリティ人材をどう育てるか
――情報セキュリティ人材の不足は政府をはじめ多くのところで叫ばれています。また、「外部委託する部分と、内製化する部分をどう切り分けるのか」「セキュリティ人材のキャリアパスをどう設計するのか」「採用できない、採用しても定着しない」といった問題もあります。みずほフィナンシャルグループではセキュリティ人材について、どう取り組まれているのでしょうか。
セキュリティ人材に関する問題は、国内だけでなく世界的な問題となっており、みずほフィナンシャルグループでも解決に向けて継続して努力しているところです。例えば、セキュリティに向いている人、好きな人を発掘することも大事なこととして、資質のある人間の発掘を目的に「みずほサイバーチャレンジカップ」というグループ会社間でのハッキングコンテストを開催しています。しかし、簡単に解決できる問題ではなく、基本的には一般的な会社と同じように、適性のある人間を配置して一緒に仕事をしながら育成していくしかないと思います。
この3年間で、みずほフィナンシャルグループが必要とする人物像やスキルは定義できたものの、一人でその全てはできません。技術者だけでなく、経営層や行政ともやり取りができる人、あるいは経営者に説明できる人などを組み合わせて、チームとして機能を担保しようとしています。私たちの部署には、外部から参加した方や中途採用で入社した方が多く、銀行としては珍しいぐらいの混成軍でスタートしています。得意分野のあるエッジの効いた方が集まってくれましたので、オープンイノベーションにも対応でき、それが成功体験となって次の人材も育ってきたように思います。
例えば脆弱性診断は外部に依頼していましたが、その後自分たちで運用できるようになってくると、ある程度自動化できそうなところが見えてきました。そこで、外部委託とロボット化する部分を分けて効率化するアプローチをとりました。ただし、このアプローチはそれなりの体力やノウハウが求められますから、例えば中小企業などであればそういう機能をしっかり持っているベンダーさんや専門会社、あるいは同業他社との協業が必要になるかも知れません。それは経営層やチームのリーダーがリソースを見ながら決めていくべきことだと思います。
一方で、セキュリティ人材を全て内製で持ち続けられる会社はなかなかないということも事実です。私たちは発想を転換して、「自分たちだけで自分たちのためだけに人材を育成する」ことはもうやめようと思っています。
例えば、みずほフィナンシャルグループでは「みずほサイバー道場」と呼ばれる、実戦経験を積める場を提供しています。これは、座学だけではサイバー人材は育たないという信念によるもので、自社やグループ会社だけではなく外部の方にも参加してもらっています。その延長で産官学連携として、専門機関や大学、専門ベンダーさんとも共創しながら人材育成をしています。
このように、一社で人材を抱え込むのではなく、社内外関係なく色々な機関や人が協働できるようにしたいと思います。みずほサイバー道場で経験を積んで、様々なところで活躍していただいて、みずほを守ると同時に世の中も守っていけるようになって欲しいと思っています。
