コラム第916号:「”ラストマン”を支えるサイバーセキュリティ人材」
第916号コラム:宮坂 肇 理事(株式会社NTTデータ先端技術 セキュリティ&テクノロジーコンサルティング事業本部 サイバーセキュリティインテリジェンスセンター センター長/Principal Scientist)
題:”ラストマン”を支えるサイバーセキュリティ人材
毎年この時期に本コラムを執筆しており、冒頭ではその時々の情勢に触れている。今年も3月に入り、中東地域での軍事的な緊張が高まっている。この状況は当面続くとも予測されており、日本経済や国民生活への大きな影響が懸念される。事態の早期終息を願うばかりである。こうした物理的な紛争の裏では、サイバー空間においても激しい情報戦が展開されている。サイバーセキュリティの観点からも、動向を注視し、その影響を見ていかなければならない。
さて、日本企業の多くは3月末に会計年度の節目を迎える。2025年度を振り返ると、大企業がサイバー攻撃を受けて事業が数ヶ月間停滞した事例や、ランサムウェア被害に遭う組織が後を絶たないなど、深刻な事故が相次いだ一年であった。
IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2026(組織編)」においても、1位「ランサムウェア攻撃による被害」、2位「サプライチェーンや委託先を狙った攻撃」が続き、新たに3位として「AIの利用をめぐるサイバーリスク」がランクインした。経営層にとっても、もはやサイバー攻撃は「対岸の火事」ではなく、経営直結の危機として認識されているはずである。
こうした背景から、今回のコラムのタイトルは「”ラストマン”を支えるサイバーセキュリティ人材」とさせていただいた。以前も本コラムで触れたが、国内では依然として「セキュリティ人材の不足」が叫ばれ続けている。前回の記述から10年が経過した今、人材確保はどの程度進んだのか。政府や大学、民間企業の取り組みを紐解きながら、日本企業が取るべき対応について改めて考察してみたい。
ひと月前の2026年2月17日に内閣官房国家サイバー統括室(NCO)から「サイバーセキュリティ人材フレームワーク(案)」の意見募集が開始された。日本のサイバーセキュリティ情勢は厳しさを増すなか、対応する専門人材の確保と育成は喫緊の課題となっている。これを受けNCOでは「サイバーセキュリティ人材フレームワークに関する検討会」を2025年10月に初めて開催、議論を重ね同フレームワーク案を策定した。本フレームワークでは、セキュリティ人材のなかでもサイバーセキュリティ人材に求められる役割や知識、スキルを体系的に整理したもので、今後は適材適所配置やキャリアパス等の利用環境を整備する予定とのことである。
日本では、セキュリティ人材に限らずIT人材全体の不足状態が続いており、2030年には最大で約79万人の不足に拡大する可能性があると予測されている。セキュリティ専門団体「ISC2」の調査によれば、国内のセキュリティ人材数は増加傾向にあるものの、依然として11万人以上が不足しているとの報告がある。また、約10年前のIPA(情報処理推進機構)の試算でも、国内で約9万人弱のセキュリティ人材が不足していると言われていた。
近年、産官学連携の取り組みにより人材の母数は増加しているが、サイバーセキュリティへの需要がそれを上回る速度で急増しているため、人材不足の深刻な状況は変わっていないと言えるだろう。
約7年前の2019年、IPA(情報処理推進機構)より、セキュリティ人材不足への対策の一つとして「プラス・セキュリティ人材」という概念が提唱された。同レポートでは、セキュリティ人材を大きく2つに分類している。一つはITベンダー等でセキュリティを専業とする「セキュリティ専門人材」、もう一つは企業の本業を担いながらセキュリティの知識・スキルも併せ持つ「プラス・セキュリティ人材」である。現在の人材不足において、この「プラス・セキュリティ人材」の不足は主要な課題とされており、産官学が連携してその必要性の周知と育成を促す以下の3点が提言されている。
(1)「セキュリティ人材」を「専門人材」と「プラス・セキュリティ人材」に
大別して定義すること
(2)定期的な人事異動などを活用した「プラス・セキュリティ人材」の育成の有効性
(3)不足している「セキュリティ人材」の見える化の必要性
昨今、映画やドラマのタイトルでも知られる「ラストマン」だが、本稿で用いるのは日立製作所元会長・川村隆氏が提唱した「ザ・ラストマン」である。これは「自分が最終責任者であり、自分の後ろにはもう誰もいない」という強い意志と覚悟を持って決定・実行するリーダーを指す。この概念は、組織を牽引する力強さを持つ半面、最終決断を下す際の「孤独な責任」という側面も併せ持つ。ワーク・ライフ・バランスやジェンダー平等が重視される現代においては、一見すると武骨な精神論にも映るが、あえてここで引用している。
セキュリティ分野において、この「ザ・ラストマン」を担うべき役職こそが、最高情報セキュリティ責任者(CISO)である。CISOは経営の一翼を担い、セキュリティに関する意思決定と全責任を負う立場にある。
経済産業省の「サイバーセキュリティ経営ガイドライン」では、経営者が認識すべき三原則として、(1)リーダーシップの旗振り、(2)サプライチェーンを含めた対策、(3)平時・緊急時の適切なコミュニケーションを挙げている。CISOの担う業務は、方針策定やリソース確保、サプライチェーン管理から最新技術への対応まで多岐にわたる。まさに「セキュリティにおけるラストマン」として、組織を守るための全方位的な視点と覚悟が求められているのである。
米国と比較して日本企業のCISO設置率は向上しているものの、米国の90%超に対し日本は50%に満たないのが現状である。米国企業ではセキュリティを「ビジネス推進のための投資」と位置づけ、独立した予算権限を持つCISOが「攻めのセキュリティ」を展開している。対して日本企業では、いまだセキュリティを「経費(コスト)」と捉える「守り」の姿勢が強く、CISOが孤軍奮闘せざるを得ない状況を生んでいる。
この結果、CISOは本来の「ラストマン」としての責任を果たすべき立場ながら、実態としてはネガティブな意味での「孤立した責任者」に陥りがちである。サイバー攻撃が高度化・多様化・加速化する現代において、経営戦略としてのセキュリティを立案・実行するには、CISOの周囲に多様なスキルを持つ「セキュリティ人材」を配備することが不可欠である。
しかし、先述の通り国内の人材不足は深刻であり、米国流の「専門人材による内製化」をそのまま踏襲することは現実的ではない。したがって、日本企業の特性に最適化した形態を模索すべきである。
日本ではIT業務を外部委託する形態が一般的であるため、セキュリティに関しても外部リソースを戦略的に活用せざるを得ない。ただし、組織特有の課題については自社で解決すべき事項も多く、その領域については内製化が避けられないだろう。そこで、非IT部門の社員を「プラス・セキュリティ人材」として育成し、外部リソースと連携しながら組織全体を「面」で守る体制を構築することが、現実的な解と言える。
組織内の人材育成にあたっては、NCOの「サイバーセキュリティ人材フレームワーク」やIPAのガイドラインを指針とし、各企業の業態に即した柔軟な育成計画を推進することが肝要である。
組織のサイバーセキュリティ対応が急務であることは、もはや共通認識となっている。しかし、深刻な人材不足の中で「ラストマン」を孤立させることなく、事業を継続・発展させていくためには、日本の企業文化に最適化した体制の実現が不可欠である。
外部リソースを戦略的に取り入れつつ、内部では「プラス・セキュリティ人材」を育成し、組織全体を「面」で支える。こうした日本独自のハイブリッドな体制を構築することこそが、いま求められている。
【著作権は、宮坂氏に属します】
