情報セキュリティ人材の必要性を認識していない企業が15%もある現状
――なぜいま、情報セキュリティマネジメント試験が開始されることになったのでしょうか?
谷澤氏:ご存知のとおり、インターネットが普及し、ITの利活用の場面が多様化している中で、サイバー攻撃が大きな社会問題になっていることがまず背景にあります。昨年、政府の関係機関で100万件を超える大量の情報漏洩事件が発生しましたが、情報は一度外部に出てしまうと取り返しがつきません。社会的な信頼も失墜し、大きなダメージを受けます。そのため、各組織はもちろん、これから社会に出る方全員が情報セキュリティの知識を持つ必要があると考えています。
IPAが2014年に、情報セキュリティ人材の推計値を調べたところ、日本国内で情報セキュリティに携わる人材は約26万人おり、そのうち約16万人はスキルが不十分だという結果が出ました。加えて、これから充足が必要な情報セキュリティ人材の数は約8万人に上りました。また、IPAが発行する『IT人材白書』の2015年版では、調査したユーザ企業のうち約7割が、情報セキュリティ人材の育成ができていないことが明らかになりました。育成ができていないと回答した企業のいう理由は、半数が「投資ができない」から。驚いたことに「必要性を認識していない」と回答した企業が約15%もありました。非常に危険だと思います。
情報セキュリティの確保は、すぐにも取り組むべき経営課題の1つです。ただし、システムにどれほど高度な監視等の仕組みを組み込んだとしても、それを人がしっかり運用できなければ意味がありません。また、業務の現場で情報セキュリティを維持・管理する担当者が各組織、各部門にいないと、組織全体としての情報セキュリティの底上げは困難です。
情報セキュリティマネジメント試験が創設された背景はまさにこれです。安倍政権の成長戦略『「日本再興戦略」改訂2015−未来への投資・生産性革命−』の中でも、政府機関だけでなく民間事業者においても情報セキュリティ(サイバーセキュリティ)に取り組むことが触れられています[1]。これを受けて、経済産業省でも産業構想審議会の中で検討を進め、今春4月から情報セキュリティマネジメント試験がスタートするに至りました。
注
[1]: 『「日本再興戦略」改訂 2015ー未来への投資・生産性革命ー』p.11-13、p.31-32
――各組織、各部門に配置する情報セキュリティ人材の育成という点が、情報セキュリティマネジメント試験のポイントですね。ITプロを対象とする情報セキュリティスペシャリスト試験とは明確に位置づけが異なります。それでは、情報セキュリティマネジメント試験を通して育成される情報セキュリティ人材は、どの程度の割合で配置されるべきだとお考えですか? 課に1人とか、10人に1人とか。
谷澤氏:企業の規模や組織の大きさ、各部署で扱う情報資産の数や種類によって変わってきます。イメージは「人事部や総務部、製造部門、営業部門といった各部門の中で、日頃は通常業務を遂行する1人あるいは2人が、その組織における情報セキュリティのリーダーとなって各種施策を推進する」というものです。緊急事態になったときには、彼らが対応をリードすることになります。
今はどの部門でも情報を利活用してますので、情報システム部門でなくても、情報セキュリティにしっかり取り組まないといけません。この図でいえば、最低でも各部署に1人ずつ最低と理解していただければよいと思います。
――すると、企業などの各部署・部門で「あなたに情報セキュリティ管理者をお願いします。試験を受けてきてください」と任命する。そういう利用形態をイメージされていますか?
谷澤氏:基本はやはりトップダウンですね。きちんと任命したほうがよいと思います。当座は、パソコンの調子が悪いとか、ネットワークを設定しないといけないとかいったときにいつも相談する、各部署のパソコン係のような方を任命するのが早いでしょう。ただやはり、組織として適切に役割を割り当てたほうがよいと思います。
山内氏:専任者をつけるのはコスト的にも難しいはずです。各部署の中でITに比較的詳しい人が情報セキュリティ担当も兼務するというのが現実かなと思います。
谷澤氏:また、これから充足が必要な情報セキュリティ人材は、従業員規模が100人~300人の企業の割合が多く、約8万人のうち半数の約4万人を占めています。やはり中小企業さんですと、情報セキュリティ人材を確保するのが難しいのかもしれません。
危機感の欠如が大きな問題
――先ほど、情報セキュリティ人材の育成に取り組んでいない企業のうち、約15%は必要性を認識していないと回答したというお話が出ました。なぜ、必要性を感じられないのでしょう?
谷澤氏:まず、経営者のITリテラシー不足があると思います。情報セキュリティの必要性を経営者が感じなければ、やはり「何でやるんですか」となりますよね。情報セキュリティへの投資は利益を生みません。お金が出ていくだけです。そうしたところから、理解が進まないのだと想像します。
そこで、去年の12月28日に経済産業省から「サイバーセキュリティ経営ガイドライン」が出されました。このガイドラインでは、サイバーセキュリティは経営リスクだということをはっきり示し、経営者が認識する必要がある3原則や、情報セキュリティ対策の責任者となる担当幹部やCSIRT[2]に指示すべき10項目など、ちょっと強い内容で発表されているんです。対象は大手企業だけに限定されず、ITを利活用する企業すべてです。そうなると、もうほとんどの企業が該当します。そういうところからも、政府に強い危機感があることが読み取れます。
――経済産業省がガイドラインを出しているのに対応していない企業が、もし情報漏洩を起こしたとなると、さらに大きな社会的ダメージを受けることになると思います。
谷澤氏:ガイドラインは出たばかりなので、これから各企業へそのことの認知を浸透させていかなければならないと考えています。(この取材の)前日にも地方の国立大学で、在校生や卒業生の個人情報など11万件以上を保管するサーバーがサイバー攻撃を受け、その一部が流失した可能性があるという残念なニュースがありました。情報はいったん流出したらもう取り戻せませんから、対岸の火事ではなく「次は自分だ」と当事者意識をしっかり持っていただく必要があります。
注
[2]: Computer Security Incident Response Teamの略で、シーサートと読む。サイバー攻撃による情報漏洩や障害などが発生した際、それに対処するための組織。
