深刻化するセキュリティ人材不足
皆さんご存知のとおり、セキュリティ人材が不足していると叫ばれはじめて数年経ちました。2016年には経済産業省が、2020年の東京五輪までに日本全体でセキュリティの専門性を持った人材が20万人不足するという調査結果を公表しています。弊社が独自に実施したグローバル情報セキュリティサーベイ(Global Information Security Survey。以下、GISS)においても、2016年度は79%、2017年度は87%の回答者が、情報セキュリティ運用の課題となっている事項として「セキュリティスキルをもつ人材の不足」と答えています。現在もセキュリティ人材が不足しているという声は消えることはなく、むしろ大きくなってきています。
それでは、具体的にどのようなセキュリティ人材が不足しているのでしょうか。
セキュリティ人材とは?
一昔前まで、セキュリティ人材とは「ファイアウォールなどのセキュリティ製品の設計・運用」や「マルウェア感染時の技術的対応」など、現場のセキュリティエンジニアのイメージがあったかと思います。しかし、現在ではセキュリティは会社全体の経営リスクの一つという認識に変わっており、経営層から設計・開発・運用を行う現場に至る様々な職種・工程で、ITおよびセキュリティのリテラシーが求められています。次に示す囲みは、そうした現状をまとめたものです。
<経営層と現場のそれぞれで求められているセキュリティ人材の役割と不足状況>
経営層
役割
ITおよびセキュリティのリスクを経営リスクとして意識した経営戦略の立案、およびセキュリティに関する「権限」と「責任」の決定。
不足状況
日本の経営層は欧米と違ってMBAを取得して経営につくということが少なく、また人事や経理部門からそのまま経営につくことが多いため、ITおよびセキュリティのリテラシーがあるとは限らず、したがって経営層におけるセキュリティ人材が伝統的に足りない。
現場
役割
- 現場リーダー:セキュリティ対策の具体化やその運用および改善を統括。プロジェクト単位ではセキュリティポリシーに基づいた要件定義を実施。
- SE、プログラマ、テスター:セキュリティを考慮した設計、コーディング、テストの実施。
- 運用担当者:セキュリティインシデントの早期発見とインシデント発生時の迅速な対応。
不足状況
内部不正を含むサイバー攻撃及びその対策の多様化と技術的先鋭化への対応、インシデントの日常化に伴って急速に不足している。特に最近ではインシデント対応を組織内部で完結できるよう人材を確保したいという動きも多くあり、人材不足感に拍車をかけている。
繰り返しになりますが、セキュリティは経営リスクであり、経営課題の一つとして全社的な対応が必要です。しかし、経営層が必ずしもセキュリティに詳しいわけではなく、セキュリティリスクの理解も不足しています。一方の現場も、日々のサイバー攻撃などへの対応に追われてリソースを確保しづらいとはいえ、経営層がセキュリティを自分事へと意識を変えるような報告を行う体制がない、またはその機会が少ないという状況です。
また、近年では、経営層と現場におけるセキュリティ意識およびニーズが合致していないことも、課題として顕著になってきています。
つまり、企業の中にセキュリティを経営課題として捉えることのできる人材が、どこにも存在しないのです。そのため、この状況を解消すべく、経営層と対策現場をつなぎコミュニケーションを行う「橋渡し人材」の確保が急務となっています。政府のサイバーセキュリティ戦略本部が2016年に取りまとめた「サイバーセキュリティ人材育成総合強化方針」や、内閣サイバーセキュリティセンターが2018年に公表した「サイバーセキュリティ人材育成プログラム」の中でも、この橋渡し人材の必要性および育成が、重点項目の一つに挙げられています。
<橋渡し人材に求められているセキュリティ人材の役割と不足状況>
役割
経営戦略だけでなくサイバーセキュリティに関する課題と対応を経営層に進言するとともに、技術者をはじめとする様々な役割を持った実務者層を指揮する。
不足状況
このような「橋渡し人材」を自社内ですぐに確保または育成することの困難な企業がほとんどであり、確保できたとしてもその役割を果たすための知識・スキルが十分ではないことから、セキュリティコンサルタントなど外部リソースを活用することが多くなっている。
