世界中でサイバー攻撃が激化する昨今、日本企業では、セキュリティ管理部署を設立したり、セキュリティ管理者を増員したりと人材面の投資を増やす傾向がある。2007年に設立した日本CSIRT協議会は順調に加盟組織数を伸ばしており、2014年末の時点で69チーム、2015年9月時点では95チームに及んでいることからも、このトレンドが読み取れる。(下図)
では、この数年、どのような人たちがセキュリティ管理業務に着任したのだろうか?社外から専門家を招き入れるケースもあるようだが、多くの場合は、いわゆる「総合職」と呼ばれる既存の社員を、定期的な人事異動の中でセキュリティ管理部署に配属しているようだ。
本連載第4稿目となる今回は、日に日に進化を極めるサイバー攻撃に対して企業が有効な対策を打てるのか、人事面から検証する。

セキュリティ人材が育たない<br />「総合職」という壁日本シーサート協議会加盟組織一覧(2014年版)をもとにプライスウォーターハウスクーパースが作成

定期的な移動が前提では
セキュリティのノウハウが蓄積できない

「総合職」とは何なのだろうか?

 多くの方は、学生時代の就職活動中にはじめて「総合職」という単語に出会ったのではないだろうか。入社後は逆にそれを意識することが少なくなったかもしれないが、念のため、「総合職」について、あらためてその定義を確認しておきたい。インターネットで「総合職」と検索すると解説ページがいくつも表示される。簡単にまとめると、以下のような特徴がありそうだ。

  • 正社員
  • 将来、管理職になることを期待されている幹部候補生
  • 職務内容は非定型的であり、どのような内容でも
    臨機応変に対応することが期待されている
  • 定期的な異動や転勤を伴う

 総合職の社員は、複数の部署で様々な業務を担当する中で、幅広く業務への習熟を深め、同時に、社内の人脈を形成する。そんな社員がセキュリティ管理部門に加勢してくれるとすれば、それは喜ばしい傾向だ。特にインシデントレスポンスの際には組織横断的な対応が必要になるため、業務に詳しく、社内に顔が利く人材がいれば心強い。

 しかし、問題もある。定期的に異動するということは、何年かするとまた別の部署に移ってしまう可能性が高いのだ。セキュリティ管理業務は、危機管理の一種であり、非定型的な業務の最たるものだ。次から次へと繰り出される新しいサイバー攻撃に立ち向かっていかなければならない。