第375号コラム:宮坂 肇 理事(株式会社NTTデータ・アイ SDコンピテンシー推進部 部長)
題:「セキュリティ人材の一考察」
サイバー攻撃、情報漏えいや個人情報紛失等のセキュリティ記事を毎日見かける。情報セキュリティ事案も今年になってから年金機構や東京商工会議所などで発生し、サイバー攻撃事案として記憶に新しいところでもある。
ニュース等の記事に書かれることにより、国民等の情報セキュリティへの関心も高まり、企業や政府機関等も情報セキュリティ対策を促進しつつある。さらに、2020年の東京で開催されるオリンピック・パラリンピック等があり、サイバー攻撃をはじめとした外部からの脅威が増加することが予測されるなか、企業や政府機関等のセキュリティ確保は急務な状況になっている。
万が一、サイバー攻撃を受け何らかの被害を受けた企業等は、被害原因特定や原因究明、被害極小化、復旧、再発防止などを企業等内で実施する必要がある。
その際に活躍するCSIRT(Computer Security Incident Response Team)が注目されている。CSIRTを企業等内で組織化し、情報セキュリティ最高責任者等の経営層と連携しながらセキュリティ問題を解決しようとする動きである。
CSIRTを構築する企業等が近年増加傾向にあることは、日本シーサート協議会(日本コンピュータセキュリティインシデント対応チーム協議会:Nippon CSIRT Association)の参加企業数からもうかがえる。CSIRT構築については、セキュリティベンダ等でも問い合わせ増加や構築する企業等が増加傾向であるとも聞いている。日本の企業等がサイバー攻撃の脅威増加に対して認識を持ち、その一つとしてCSIRTの重要性や必要性などを認識し、企業等内に組織化しつつあることと、CSIRT同士の相互連携や情報共有等の必要性が認識されつつあるという傾向だと思われる。
さて、経済産業省産業構造審議会商務流通情報分科会情報経済小委員会のIT人材ワーキンググループでの平成27年度の調査では、2020年まではIT人材の不足があり、さらに人材流動が起きているとの報告がされている。筆者も協力会社の方々と仕事を進めることが多いが、IT人材の確保はかなり難航しており、悩みどころの一つでもある。この調査報告には、IT関連企業では、システムエンジニア、プログラマ、ITコンサルタントやWeb開発技術者のIT不足が起きているというが、その中の一つが情報セキュリティ人材不足である。
特に報告書では、セキュリティのマネージメント人材が不足しているという。
サイバー攻撃が高度化し、その脅威が一般企業等に迫るなか、企業等の資産を守るための情報セキュリティ人材が不足しているのである。企業等内にCSIRTを組織化しても、業務を行うための情報セキュリティ人材が確保できない、ということが起きている。この数年来、政府機関や一般企業等で情報セキュリティ人材の育成や確保について様々な場で論じられているが、未だに情報セキュリティ人材が充足したという情報はなく、不足の話題しかない。
数年ほど前に、情報セキュリティ人材モデルのキャリアのインタビューを受けた時に、情報セキュリティ人材の育成についておおよそ以下のようにコメントしたかと思う。
・企業等ではセキュリティを学んだ人のキャリアパスが描けていない
・セキュリティを専門に勉学した人が、ユーザ企業等でセキュリティのキャリアを積むことは難しい
・セキュリティ専門家になりたい人はセキュリティベンダに就職するしか道がない
・セキュリティベンダからユーザ企業へ人材を流動するモデルの必要がある
・ユーザ企業が、セキュリティを経営上の重要課題であることを認識し、セキュリティのキャリアパスとセキュリティ予算を継続的に確保することが重要である
現在の動向を踏まえ、企業等での情報セキュリティ人材ついて、いくつか考えてみたい。
企業等で活動する情報セキュリティ人材は、技術だけではなく、組織連携をしながら活動し、時には経営層に対して説明理解してもらうなどのコミュニケーションなど幅広く高い能力を要求されることが多い。企業等のセキュリティを維持確保する組織、例えば、CSIRTのメンバは企業等内に存続し続け、継続的に活動する必要がある。企業等の業種業態や規模等によるが、一定数以上のメンバが必要となる。では、企業等が情報セキュリティ人材を確保するためにはどうすればいいのだろうか。企業等は情報セキュリティ人材を集める主な手段としては、
・社員等のIT技術に詳しい社員を情報セキュリティ担当として配置転換する
・IT系もしくはセキュリティ関連の教育を受けた新入社員を採用する
・中途採用で情報セキュリティ人材を雇用する
・セキュリティベンダ等から技術者を派遣してもらう
などが考えられる。
情報セキュリティ担当の社員等には次には育成プランを考えることが重要である。IT技術は日々進んでおり、情報セキュリティに関する脅威も、その対策技術も日々進化している。常に新しい技術を修得し続けないといけない。担当者が情報セキュリティやIT技術に興味を持ち続け、自己研鑚を行うことも必要であるが、企業等が情報セキュリティに関する育成プランを持ち、社内外での技術修得の機会を作ることも重要である。さらに、実践的な訓練を積み重ねることも必要であることは言うまでもない。企業等ではなかなかトレーニングができにくい状況でもあるため、今年度に入り、大学等でもセキュリティに関して講座を作り、社会人学生の受け入れをする大学が増えてきている。企業等がこれらを活用することも良いかと考える。
企業等が持たなければならないのが、情報セキュリティ担当者の処遇である。
CSIRT活動などはある局面だと非常に高いストレスを与えられながら活動を行うことが要求される。さらに、日常的な活動も自らが積極的に行うこともある。
これらの活動に見合う処遇を企業等は考慮しなければならない。
情報セキュリティ担当者の適切な評価基準や、評価制度なども準備することが重要と考える。さらに加えると、公平な評価を実施する上司等も、情報セキュリティに関する業務や活動について深い理解をしておかなければならない。
情報セキュリティ担当者へのキャリアプランの提示も重要である。配置した担当者は、自らの5~10年後のポジションやキャリアについて不安を持たせず、将来像とキャリアプランを示すことも必要である。特に、人事的なローテーションや、ステップアップなども考慮しつつプランを作成することも重要である。
人事的な制度や評価基準などを策定することは、担当者のモチベーションにも影響するので、企業等で準備し、配慮していくことが必要である。
最後に、上記に述べたことはある側面であるが、企業等において情報セキュリティは、経営戦略や経営リスクの一つとして捉え、継続的な活動を行うための組織化、予算や要員等の確保、制度などを策定し、情報セキュリティ人材を確保・育成し、今後の高度化するサイバー攻撃等の高度化する脅威に迅速に対応する仕組みを作ることが急務であると考える。
なお、情報セキュリティ人材については本コラムでも各先生が執筆されているので、ご参考にして頂ければ幸いである。
【著作権は、宮坂氏に属します】