本連載「サイバーセキュリティ 経営者の視点」の第2回で、CISOやセキュリティ部門の役割や配置について述べました。セキュリティ対策を推進していくために、次に考えなければならないことは、責任者や責任部門を担う人をどのように確保するかということです。組織の仕組みや文化に根付いたセキュリティ対策を実行するためには、一定レベルのセキュリティ人材を組織の中で雇用し育成するのが望まれます。しかし、セキュリティ人材は売り手市場であり、多くの組織で人材が確保できないことが課題となっています。5回目となる本稿では、セキュリティ人材の育成について考察します。

情報セキュリティ人材が13万人不足

セキュリティ人材を社内で育てる難しさ<br />白濱 直哉(しらはま・なおや)
デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員

大学卒業後、大手セキュリティ会社にてサイバーセキュリティの技術的なコンサルティング業務に携わる。その後、マネジメント系のコンサルティングを多く手がけ、現在はセキュリティ人材の不足を解消するため、大学での講義やセキュリティ体制構築、人材育成の支援に力を入れている。「デジタル・フォレンジックの基礎と実践(東京電機大学出版局)」等、執筆多数。東京電機大学 国際化サイバーセキュリティ学特別コース 外部講師、日本大学 危機管理学部 外部講師

 2016年に経済産業省が発表した「IT人材の最新動向と将来推計に関する調査結果」によると、情報セキュリティ人材は、発表時の2016年で13万人、2020年には19万人が不足するとしています。インフラや身近な生活機器等、あらゆるモノのインターネット化が加速しており、サイバーインシデントが事業の継続はおろか、例えば停電や医療機器の誤作動によって人命を脅かす可能性も危惧されています。そのため、セキュリティ対策は急務であり、それを担う人材の確保は喫緊の課題となっています。

組織に必要なセキュリティ人材

 では、セキュリティ人材とはどういう人たちのことを指しているのでしょうか。セキュリティ人材と一言でいってもその領域は幅広く、日本ネットワークセキュリティ協会(JNSA)が2016年に公開した「セキュリティ知識分野(SecBoK)人材スキルマップ2017年版」では、セキュリティ人材の役割(ロール)を16に整理し必要なスキル項目を全体で400弱と具体化しています。

 役割の表を見ていくと、「CISO(最高情報セキュリティ責任者)」や「情報セキュリティ監査人」など、聞きなじみのあるものに混じって、「脆弱性診断士」や「フォレンジックエンジニア」といった、自組織に必要なのか判断が困難なものが並んでいるのではないでしょうか。

セキュリティ人材を社内で育てる難しさ<br />日本ネットワークセキュリティ協会 セキュリティ知識分野(SecBoK)人材スキルマップ2017年版より引用
http://www.jnsa.org/result/2017/skillmap/

 本スキルマップでは、役割ごとに「セキュリティベンダ職種」の記載があり、どういう専門業者にアウトソースすればよいのかがわかりやすく整理されています。中には「外部委託(アウトソース)しない前提」というのもあり、組織に適用しやすくなっていますが、役割をアウトソースした場合でも、その内容や結果の適切性については誰かが確認しなければなりません。もちろん、その確認もアウトソースすることが可能ですが、中長期で見た場合にセキュリティ業務の大半をアウトソースすることがよい結果になるかは判断が分かれるところです。

 筆者は、セキュリティ人材の採用や育成についての相談を受けることが多いですが、そもそも自組織に必要なセキュリティ人材モデルを明確に定義できていない組織が大半です。セキュリティ人材モデルが明確になっていない状態で、すべてをアウトソースしてしまったり採用や育成プランを検討したりしても、組織の特性を踏まえたセキュリティ対策が実現できないおそれがあります。