総合セキュリティ人材を社内で育てる難しさ
本連載「サイバーセキュリティ 経営者の視点」の第2回で、CISOやセキュリティ部門の役割や配置について述べました。セキュリティ対策を推進していくために、次に考えなければならないことは、責任者や責任部門を担う人をどのように確保するかということです。
組織の仕組みや文化に根付いたセキュリティ対策を実行するためには、一定レベルのセキュリティ人材を組織の中で雇用し育成するのが望まれます。しかし、セキュリティ人材は売り手市場であり、多くの組織で人材が確保できないことが課題となっています。5回目となる本稿では、セキュリティ人材の育成について考察します。
情報セキュリティ人材が13万人不足
白濱 直哉(しらはま・なおや)デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員
大学卒業後、大手セキュリティ会社にてサイバーセキュリティの技術的なコンサルティング業務に携わる。その後、マネジメント系のコンサルティングを多く手がけ、現在はセキュリティ人材の不足を解消するため、大学での講義やセキュリティ体制構築、人材育成の支援に力を入れている。「デジタル・フォレンジックの基礎と実践(東京電機大学出版局)」等、執筆多数。東京電機大学 国際化サイバーセキュリティ学特別コース 外部講師、日本大学 危機管理学部 外部講師
2016年に経済産業省が発表した「IT人材の最新動向と将来推計に関する調査結果」によると、情報セキュリティ人材は、発表時の2016年で13万人、2020年には19万人が不足するとしています。インフラや身近な生活機器等、あらゆるモノのインターネット化が加速しており、サイバーインシデントが事業の継続はおろか、例えば停電や医療機器の誤作動によって人命を脅かす可能性も危惧されています。そのため、セキュリティ対策は急務であり、それを担う人材の確保は喫緊の課題となっています。
組織に必要なセキュリティ人材
では、セキュリティ人材とはどういう人たちのことを指しているのでしょうか。セキュリティ人材と一言でいってもその領域は幅広く、日本ネットワークセキュリティ協会(JNSA)が2016年に公開した「セキュリティ知識分野(SecBoK)人材スキルマップ2017年版」では、セキュリティ人材の役割(ロール)を16に整理し必要なスキル項目を全体で400弱と具体化しています。
役割の表を見ていくと、「CISO(最高情報セキュリティ責任者)」や「情報セキュリティ監査人」など、聞きなじみのあるものに混じって、「脆弱性診断士」や「フォレンジックエンジニア」といった、自組織に必要なのか判断が困難なものが並んでいるのではないでしょうか。
日本ネットワークセキュリティ協会 セキュリティ知識分野(SecBoK)人材スキルマップ2017年版より引用本スキルマップでは、役割ごとに「セキュリティベンダ職種」の記載があり、どういう専門業者にアウトソースすればよいのかがわかりやすく整理されています。中には「外部委託(アウトソース)しない前提」というのもあり、組織に適用しやすくなっていますが、役割をアウトソースした場合でも、その内容や結果の適切性については誰かが確認しなければなりません。もちろん、その確認もアウトソースすることが可能ですが、中長期で見た場合にセキュリティ業務の大半をアウトソースすることがよい結果になるかは判断が分かれるところです。
筆者は、セキュリティ人材の採用や育成についての相談を受けることが多いですが、そもそも自組織に必要なセキュリティ人材モデルを明確に定義できていない組織が大半です。セキュリティ人材モデルが明確になっていない状態で、すべてをアウトソースしてしまったり採用や育成プランを検討したりしても、組織の特性を踏まえたセキュリティ対策が実現できないおそれがあります。
なぜセキュリティ人材は育たないか
では、なぜセキュリティ人材モデルの定義ができていない組織が多いのか、理由はさまざまですが次のようなことが考えられるのではないでしょうか。
●専門分野が多く複雑
前述したようにセキュリティ人材の専門性は非常に広範且つ複雑です。400弱から構成されるスキル項目を取捨選択し組織に備えていく必要がありますが、これらの中身を理解することから始めなければなりません。
●セキュリティリスクの理解が不十分
自組織のビジネスとセキュリティリスクの関連を明確にし、自組織に必要な役割等を洗い出す必要があります。例えば、インターネットに接続できる機器を製造している会社であれば、データセンターに設置しているサーバやクライアントPCだけを守るのではなく、製造する製品のセキュリティ対策も考えなければなりません。
●セキュリティ担当者が多忙
セキュリティ担当者が日々の業務に忙殺され、定義の整理や育成プランを考える時間がない。同じ理由から、セキュリティ対策がモグラたたきになっており根本原因が把握されていない例がよくあります。根本原因が不明であるため、その対策に必要な役割・スキルも明確にできないという問題になっていると考えています。
つまり、セキュリティ人材モデルを作成するにも、組織の状況を把握し相応のスキルを有したセキュリティ人材が必要ということです。鶏が先か、卵が先かといった話になりますが、人材あってのセキュリティ対策であるため、セキュリティ人材モデルと育成プランの作成を外部のコンサルタント等に支援を依頼するケースが増えています。人材育成には時間と費用がかかるため、中期セキュリティ戦略の中にセキュリティ人材戦略も組み込み、育成できるまではアウトソースを活用するといった大手企業も珍しくありません。
人材育成とキャリアパスの問題
組織に合ったセキュリティ人材モデルを作成後、育成プランを検討します。既存のITやセキュリティ担当を育成する場合、役割ごとに必要なスキルと現在のスキルとのギャップを埋めるトレーニング等を行います。
役割を見ていただければわかるように、セキュリティ人材はIT人材以上に専門性が広いといえます。それぞれのスキルにもレベルがあり、最新のサイバー攻撃やその対策を理解するためには深い知識と経験が必要になるため、どこまで深い技術力をインソースでまかなうかは組織の方針として決めておくことが肝要です。
セキュリティ人材には大きく二つのキャリアパスがあります。ひとつはセキュリティ技術をある程度理解した上でマネジメント系に進む道で、セキュリティマネジャーやいわゆる橋渡し人材になり、将来はCISOを狙うコースです。もうひとつはセキュリティ技術の最先端を常に追いかける技術者コースです。
ベースとなるトレーニングはどちらも変わりませんが、前者はセキュリティのトレーニングに既存の管理職研修といったものを組み合わせることで、ある程度は方針に則った育成が可能です。後者は職人のようなもので、既存のトレーニングでは育成が難しくなります。最新のサイバー攻撃やセキュリティ技術をキャッチアップするためには、自分で探して自らその場にいく必要があるからです。本人任せにも見えますが、このようなモチベーションを維持させるためにも、目標とミッションを与え、キャリアパスを見えるようにすることが重要となります。
海外の動向について
セキュリティ人材の採用と育成について、参考までに欧米の話を記述します。まず、数では日本ほどではないですが、人材不足と言われています。セキュリティ人材としてのキャリアスタートは、大学・大学院でコンピュータサイエンスやサイバーセキュリティを学ぶところから始まっており、新卒でも最低限のサイバーセキュリティの知識を習得している状態で入社してきます。入社後はサイバーセキュリティの担当者として、専門のトレーニングや実践によってキャリアを積み上げていくことになります。
サイバー攻撃は世界のどこからでも可能であるため、海外と日本で人材のレベル(結果としてセキュリティ対策レベル)に差があれば、必然的に日本が狙いやすい国と見なされてしまいます。高度なITを活用しビジネスを成功させるためにも、セキュリティ人材への投資を積極的に行い、育成やリテンションに力を入れる必要があります。
優秀な人材が転職しないために
冒頭でも記述したとおり、セキュリティ人材は売り手市場であり、人材の流動性が激しいです。仕事柄、多くの転職希望者とも会話をしますが、転職のきっかけとしてよく挙げられるものは下記です。
・セキュリティを専門とする上司がおらず、目標がない
・管理職になるとセキュリティ業務から外される
・スキルアップの研修等が用意されいない
・もっと高度なセキュリティに携わりたい
報酬というのも一定数はありますが、きっかけとしてはキャリアやスキルに関するものが多いという印象です。優秀な人材を育成し定着させるためにも、セキュリティ人材モデルを作成し、目に見える形でキャリアパスや育成(トレーニング)プランを用意することを推奨します。