【CSIJコラム21(2024,6,18)】
「サイバーセキュリティ資格所持者を企業が活用するには」
株式会社ラック
藤原 青空
ラックの藤原です。4月の下旬に、春期の情報処理安全確保支援士試験が実施されました。このコラムを読んでいる皆様の中には受験された方もいらっしゃるかと思います。出題形式が改訂されてから今回で2回目となる同試験では、午後試験で4問出題されたうち3問がWebセキュリティ分野に関するものでした。ネットワークやインシデントレスポンスに重点を置いていた受験者にとっては、想定外の問題に直面したかもしれません。実を言うと、私自身もその一人です。この経験を契機に、Webセキュリティ分野の学びをより一層深めようと思います。
さて、サイバーセキュリティには情報処理安全確保支援士の他にCISSPやOSCPなど、多岐にわたる資格が存在します。これらの資格を取得することは、対象分野の専門知識の運用能力を証明する手段として非常に有効です。しかし、資格そのものが企業に直接的な価値をもたらすわけではありません。企業にとって大事なのは、資格を通じて獲得した知識が実務にどれだけ有益に活用されているか、ということです。
現在のサイバーセキュリティのリスクは日々変化し、新たな脅威が絶えず現れています。このような状況に対処するためには、資格を持つ人材がどのように知識を活用し問題解決に導いているかが鍵となります。例えば、退職者を原因とする情報漏洩対策やクラウド環境のセキュリティ設定、テレワークに伴うリスク管理など、企業が直面する具体的な課題に適切に対応できるかどうかで、その人材の価値が決定されます。
サイバーセキュリティ資格を持つ人材に対して適切な評価を企業が行うためには、まずサイバーセキュリティ目標を明確に設定し、どのようなセキュリティ対策を実施するかを決定する必要があります。参考となる資料として、企業経営の観点から自社に最適なサイバーセキュリティリスク管理体制や予算・人材等の確保に関して解説した、経済産業省の『サイバーセキュリティ経営ガイドライン Ver2.0 付録F サイバーセキュリティ体制構築・人材確保の手引き』[1] や、CSIRTなどの組織を企業で作り上げるための教科書となる、ISOG-Jの『セキュリティ対応組織(SOC/CSIRT)の教科書』[2] などが挙げられます。これらの資料を参考に、企業にとって適切なサイバーセキュリティ目標の決定やセキュリティ対応組織の設計を検討したうえで、資格保有者に対して具体的な役割を割り当てていくことを推奨します。
さらに、企業は資格保持者のポテンシャルを最大限引き出すために、継続的な教育とトレーニングプログラムを提供し、最新の脅威への対応や実務スキルの向上を図る必要があります。参考資料として、セキュリティ人材を役割毎に定義し必要知識や業務遂行能力を策定した、CSIJの『サイバーセキュリティプロフェッショナル人材フレームワーク』[3] などが挙げられます。これらの資料を参考に、資格保有者にとってよりスキルアップが見込める育成計画の策定を推奨します。
このようなアプローチにより、企業は資格を持つ人材を単なる保持者ではなく、積極的に業務に貢献する価値ある人材として活用できるようになります。その結果、企業全体のセキュリティ強化と目標達成に向けて、より効果的に前進することができるでしょう。
セキュリティ人材の活用と環境整備を考える一助となれば幸いです。
【参考】
[1] 経済産業省, 『サイバーセキュリティ経営ガイドラインVer.2.0 付録F
サイバーセキュリティ体制構築・人材確保の手引き』
https://www.meti.go.jp/policy/netsecurity/tebikihontai2.pdf
[2] ISOG-J, 『セキュリティ対応組織(SOC/CSIRT)の教科書』
https://isog-j.org/output/2023/Textbook_soc-csirt_v3.1.pdf
[3] CSIJ, 『サイバーセキュリティプロフェッショナル人材フレームワーク』
https://www.csi-japan.org/csprohuman