ブログ記事

セキュリティ人材の確保・育成をどうする?

2018/06/19

セキュリティ人材の現状

企業によるITの利活用は、業務の効率化・省力化ばかりでなく、新しい技術であるIoT、ビッグデータ、AIを活用した付加価値とセキュリティの高いビジネスを、グローバルに展開する必要に迫られています。

しかし、その開発の役割を担う先端IT人材や、今や企業にとっては不可欠な情報セキュリティ人材等の不足が懸念されています。

(出典:NRIセキュアテクノロジーズ、「企業における情報セキュリティ実態調査2017」)

情報セキュリティ人材の不足については、NRIセキュアテクノロジーズ株式会社が2017年3月に発表した実態調査により明らかです。2016年においては、実に89.5%の企業が不足していると回答し、足りているとの回答は10.1%に過ぎません。

(出典:経済産業省、「ITベンチャー等によるイノベーション促進のための人材育成・確保モデル事業、今後のIT人材需給推計モデル構築等編」、P219)

また、経済産業省が2016年6月に公表した調査結果によれば、IT企業とユーザー企業全体の情報セキュリティ人材の不足人数推計値は、2016年13.2万人、2020年19.3万人でした。

少子高齢化時代に突入した日本において、各分野で人材が不足していますが、IT利活用の高度化・多様化等によるITニーズの拡大により、企業にとっては情報セキュリティ人材の確保・育成も喫緊の課題になっています。

では、企業にとって必要な人材とは、どのようなものでしょうか。

必要な情報セキュリティ人材

企業経営者は、自社とビジネスパートナーやサプライチェーンを含めたサイバーセキュリティ対策を推進し、高い信頼性を有した企業として成長するために、セキュリティ投資する必要があります。

ビジネス分野により異なる部分もありますが、必要と思われる主な人材を以下に列挙します。

1.最高情報セキュリティ責任者(CISO)

第1に必要な人材は、組織全体の情報セキュリティ対策を統括・管理する最高情報セキュリティ責任者(CISO)です。

(出典:経産省、前出と同じ、P166)

前述のNRIセキュアテクノロジーズの調査では、52.5%の企業がCISOが未設置です。経産省の調査では大企業ほど設置割合が高く、従業員1,000人以上の企業で45.6%、CISO相当の役割を含めると76.9%に達しています。

2.情報セキュリティ管理者

CISOの指示のもと、担当部門のセキュリティ対策を実際に主導しマネジメントする人材です。

3.開発系人材

セキュリティ対策製品、サービス、ツール等の設計・開発・実装する技術者です。最近は、IoT、AI等先端技術の知識と理解が必要とされます。

4.運用系人材

日々、サーバ・ネットワーク等を監視し、インシデントが発生した場合に対応する人材です。

5.監査系人材

情報システムだけでなく、情報資産全体に対して情報セキュリティ対策の整備・運用が適切かどうかを検証・評価する人材です。

6.コンサルティング系人材

情報セキュリティに関するコンプライアンスやガバナンスに関し、ポリシー策定や教育・マネジメントサービスを行う人材です。

上記の人材の中には、企業の業種により、必ずしも必要でない人材も含まれています。また、多くの企業では他の業務との兼任や、社内に準備することが困難なためアウトソーシングしているのが実態です。

情報セキュリティ人材の確保と育成

IT社会が進展する中、情報セキュリティ人材は、社会全体においてますます重要な役割を担うのですが、その人材不足状態は、経産省の推計にあるとおり短中長期にわたり継続することが見込まれています。

したがって、企業の事業継続性の観点から、重大なインシデントが発生しても、自社の人材で対応できる組織体制を整え、人材育成に対する投資を継続的に行う必要があります。

企業が情報セキュリティ人材を確保する方法には、新卒者の採用、既存社員の配置換えや教育・育成、外国人を含めた中途採用、女性等の再雇用、定年延長等があります。

確保した人材の育成に対しては、投資として適切な予算を確保し、社内外の研修会の開催・参加、自主的あるいは外部講師を招いた研究・勉強会等を継続的に支援するとともに、人事部との連携によりキャリアパスを設計することで自社にとどめることが大切です。

また、情報セキュリティに関係する民間企業の専門資格や独立行政法人情報処理推進機構(IPA)が実施する情報処理安全確保支援士等の資格取得により、給与や処遇を改善することもインセンティブになります。

自社内で育成が困難な場合は、IPAのセキュリティ人材育成事業(産業サイバーセキュリティセンター)等を活用することも1つの方法です。

また、自社内の日常業務では身につかないグローバルな実践的経験を疑似的に体験し、セキュリティ・スキルをアップするため、世界各地で開催されているセキュリティコンテストCTF(Capture The Flag)に参加することも非常に有効です。

最新記事

カテゴリ

アーカイブ

%d人のブロガーが「いいね」をつけました。