【CSIJコラム13（2023,10,17）】

「自組織を守るセキュリティ人材、足りていますか？」

 

ＮＲＩセキュアテクノロジーズ株式会社

／CSIJ人材分科会リーダー

時田　剛

 

　今月からサイバーセキュリティプロフェッショナル人材フレームワーク分科会（以下、人材分科会）でもコラムを執筆していきます。初回のコラムは、人材分科会の設立経緯や私達の目指すべき姿をご紹介します。

　近年、DXの推進やテレワークの普及などによる働き方の多様化、デバイスの多様化など、IT技術の進展も著しいものがある中で、日々新たに発見される脆弱性への対応やマルウェア対策、あるいは発生したインシデントに緊急対応するなど、サイバーセキュリティの世界はまさに人材育成待ったなしの状態となっています。NRIセキュアテクノロジーズが2022年に公表した調査（図１）によると、セキュリティの業務を担う人材が足りないと回答される組織が8割を超え、不足している人材を育てるための施策を打つ必要に迫られていることが伺えます。
 

 

 

 

 

 

 

 

【図１】

出典：NRIセキュアテクノロジーズ「企業における情報セキュリティ実態調査2022」

 

　では、どのような育成方法があるのでしょうか。多くの組織では、実際の業務に携わりながら必要な知識や経験を獲得するOJTの仕組みがあるはずです。これらの取り組みは既存の業務を継続させるという観点では有効ですが、仮にセキュリティ専門部署を作ろうと考えている組織にとっては、何を範とすべきか不明なため実現が難しくなります。そのため、各種トレーニングや資格取得を通じた育成を期待しますが、なかなか進捗が芳しくないというのが現状かもしれません。

　人材分科会では、業界において確かな実績と豊富な経験を持つコンサルタントやトレーナーがCSIJ設立当初から集まっていました。私達の共通した見解は、一口にセキュリティといっても様々な業務があり、それぞれに求められる知識や業務を進めるにあたっての業務遂行能力   は異なることが人材育成を推進するにあたっての課題ではないかというものでした。そこで、まず世の中で必要性が強く求められ、育成が急務とされる業務（CSIJではロールと呼称：以下、ロール）について、図2の​不足している人材種別の調査結果を参考にしながら選び、その育成に必要な知識と業務遂行能力を整理して提示することにしました。

​

​

​

​

​

​

​

​

​

​

​

​

【図２】
出典：NRIセキュアテクノロジーズ「企業における情報セキュリティ実態調査2020」

​

　図3は、私たち人材分科会がまとめたフレームワークの全体像を示したものです。フレームワークにおいては、育成を効率的に進めるためにスキルの積み上げを意識し、既存の知識や経験を無駄にすることなくセキュリティを追加してゆくことをイメージしています。また、それぞれの業務をエントリーとマスターと呼ぶ2つの段階に分けることで複雑化しがちなスキルマップをシンプルに示すことも念頭において作成しています。（フレームワークの詳細は解説は、また別のコラムでご紹介する予定です）

​

​

​

​

​

​

​

​

【図３】

「サイバーセキュリティプロフェッショナル人材フレームワーク概要」

​

　CSIJ設立初年度の2022年度は5つのロールについての資料を公開しましたが、2023年度は新たに3つのロールを検討し、現在公開に向けて最後の調整を進めているところです。新たなロールの検討背景については、図4で示したように、コロナ渦において対応を余儀なくされたテレワークと新しい働き方（ニューノーマル）に伴うシステム間連携やIoTの普及による攻撃表面の管理不備や、クラウドファーストの浸透、そしてさまざまなサービスを連携させて新たな価値を提供する際に陥りがちなポイントをロールとしてまとめたもので、既存の5ロールと合わせて8ロールとなります。

​

​

​

​

​

​

​

​

​

 

【図４】

「昨今のセキュリティトレンドと新3ロールの検討の背景」

​

　ところで、海外では戦略や企画を専門としたキャリアパスが存在していますが、わが国の組織では、戦略・企画部門が現場において得られた経験を暗黙知として求めています。私たちは、図2でも示した現場で不足感があるロールを優先的に定義し、その業務に携わる人口を増やすこととしました。図5は図2の調査から2年後の調査結果ですが、多様な業務を経験してきた人材の裾野を広げることが、数年前から変わらず不足感がある「セキュリティ戦略・企画を策定する」人材を充足させることにつながりますので、私達の8ロールを現場の人材育成に活用いただければと考えています。

​

​

​

​

​

​

​

​

​

【図５】

出典：NRIセキュアテクノロジーズ「企業における情報セキュリティ実態調査2022」

​

　また、人材分科会は上記ロールの検討だけではなく、セキュリティ業界を盛り上げるための方法も併せて検討しています。広くIT人材の不足が懸念されている昨今、セキュリティ業界全体として入職者を増やし続けなければなりません。そのためには、セキュリティ業界が魅力ある職業であることを  若手を中心に伝え続けてゆくことが重要だと考えています。アピールする方法はさまざまですが、ITの世界ではコミュニティ活動が他と比べて活発であることに注目して、組織や立場といった垣根を取り除き、ざっくばらんに会話ができるコミュニティの醸成を目指して検討を進めています。こちらは、近いうちにイベントのご案内ができると思いますので、皆様のご参加をお待ちしております。

　今後の人材分科会は、公開した5＋3ロールに補足情報として、知識やスキルの習得が期待できるトレーニングや資格のマッピングを予定しています。これまでに公開したロールは、学習のための積み上げに注力したものとなっていますので、引き続き更新版の公開をお待ちいただくか、人材分科会にぜひ足を踏み入れていただけますと幸いです。

​