専門家だけがセキュリティに対応する時代は終わり？新たに注目を集める「プラス・セキュリティ人材」

サイバー攻撃による被害が毎日のように報道される中、企業のセキュリティ対策強化を求める声が強まっています。しかし、セキュリティ人材の不足などの課題が指摘されており、セキュリティ専門要員の確保はもちろん、事業の責任者や担当者に対してもセキュリティの意識や知識を求められているのが実情です。

そのため、経済産業省と情報処理推進機構（IPA）が、2015年に「サイバーセキュリティ経営ガイドライン Ver1.0」（以下、ガイドライン）を公開して以降、多くの企業がこのガイドラインに沿った情報セキュリティ対策を進めています。（現在はVer3.0が最新です）

このガイドラインは、企業がサイバー攻撃を受けるリスクが高まっている一方、未だ十分なリスク対策が取れていない企業が多く存在するとしています。そして、その原因の根幹には、セキュリティ対策に対して経営者が十分なリーダーシップを発揮していないことが挙げられると、指摘しています。セキュリティ人材不足の中で、企業はどう対応するべきなのでしょうか？

本記事では、セキュリティ対策の肝となる人材に焦点を当て、プラス・セキュリティ人材について説明します。

経営者の認識すべき3原則

ガイドラインでは、経営者が認識すべき次の3原則が挙げられています。

原則1：	経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
原則2：	サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
原則3：	平時及び緊急時のいずれにおいても、サイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要

原則1：	経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
原則2：	サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
原則3：	平時及び緊急時のいずれにおいても、サイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要

セキュリティ人材の確保

セキュリティ対策を行う上で、セキュリティ対策機器の導入やその運営に必要な資金、施策やルールづくりに加えて、セキュリティ専門家の育成も重要なポイントです。

10の重要項目の中の3番目に、次の指示があります。

＜経営者がリーダーシップをとったセキュリティ対策の推進＞
（サイバーセキュリティリスクの管理体制構築）
指示3 サイバーセキュリティ対策のための資源（予算、人材等）確保

指示では、ガイドラインの付録として提供される「サイバーセキュリティ体制構築・人材確保の手引き」^※（以下、手引き）が紹介されています。この手引きは、サイバーセキュリティ対策を検討しようとする企業が、セキュリティ管理体制と運用を検討する際に参考とする資料です。

※ サイバーセキュリティ経営ガイドライン Ver2.0 付録F サイバーセキュリティ体制構築・人材確保の手引き

指示3で取り上げられた2種類のセキュリティ人材として紹介されている役割を挙げます。

1つは、セキュリティ対応を主に行う専門家です。自社のセキュリティリスクを把握し、その対策を推進する立場の人材で、セキュリティに関する深い知識と経験を必要とします。

IPAがまとめるスキル標準ITSS+において、「セキュリティ経営（CISO）」、「セキュリティ統括」、「セキュリティ監査」、「脆弱性診断・ペネトレーションテスト」、「セキュリティ監視・運用」、「セキュリティ調査分析・研究開発」を担う人材が、これに当たります。

セキュリティ対策が遅れ、セキュリティ事故が発生すると、時に事業継続に大きな影響をおよぼします。予算と人材の確保が急務です。先延ばしにするほど、解決が困難となり、リスクは高まります。

しかし、これら役割については専門性が高いこともあり、人材の確保が非常に困難な状況です。手引きでは、下記で挙げた手段のように、素養がある人材が専門知識を得ることで、人員を確保する方法を紹介しています。

• リスクマネジメントや経営管理に関する業務経験を有する人材の配置転換及び育成
• ITの管理・運用に関する業務経験を有する人材の配置転換及び育成
• セキュリティ対策関連の業務経験を有する人材の中途採用
• セキュリティを専門とする教育機関を修了した人材の新卒採用

ここまで、指示3で取り上げられている2種類のセキュリティ人材との役割の1つを紹介しました。

専門家ではないセキュリティ人材＝プラス・セキュリティ人材

過去に、セキュリティ上の実装が問題で大きな問題に直面したケースが散見されます。

オンラインサービスにおいて、本人認証を的確に行わず大きな問題につながった件や、ネットワーク機能を追加した機器がインターネットを介して乗っ取られてしまった件など、枚挙にいとまがありません。

そうした事例を振り返ると、製品やサービスの機能要件（その商材が実現する機能そのもの）については十分に検討をしていても、非機能要件（機能以外に実装しなければならない、ユーザービリティ、性能、拡張性、セキュリティなど）が十分に検討されていないことが分かります。

非機能要件に含まれるセキュリティについては、商材の魅力や売り上げの拡大に貢献する要素ではないため、従来は軽視されがちな要件でした。しかし、前述したようなセキュリティ問題が発覚したら、その商材の販売が差し止められ、場合によっては賠償を行わなければならない事態につながります。

セキュリティ事故の発生リスクをおさえ、事業を健全に維持するためには、プラス・セキュリティ人材の教育が不可欠ではないでしょうか。そこで、例えば次のような事業担当は、セキュリティに関しての知識をもち、対策に取り組むことが期待されています。

新しいサービスを立案する立場

個人情報の保護やデータの暗号化、サービスの可用性の検討など、セキュリティリスクに対する予見と対策を検討しなければならない。

自社の製造工場の運営を取り仕切る立場

OT環境に向けたサイバー攻撃に対するセキュリティリスクを把握し、対抗策や対応状況を検討しなければならない。

企業運営業務に携わる総務部門

企業や社員情報を取り扱う際のセキュリティリスクを把握し、情報漏洩や内部犯行などへの対策を考えなければならない。

契約処理に関わる法務部門

契約書内で定められる文面内に、サイバー攻撃やセキュリティ品質の問題に対するリスクを把握し、条項を設けなければならない。

 

上記で述べたようにセキュリティに関しての知識と意識を持つ人材、プラス・セキュリティ人材が必要です。こうしたプラス・セキュリティ人材は、前述したセキュリティ専門家と協調することで、セキュリティリスクを的確に排除し、安定的な事業環境を実現します。

プラス・セキュリティ人材の育成に必要な取り組み

今や、セキュリティは専門家だけの領域ではありません。

ラックが運営するラックセキュリティアカデミーは、前者であるセキュリティの専門家の育成に強みを持っていますが、セキュリティ教育を組織全体が取り組む活動と考え、セキュリティ対策の過剰や不足にならないようバランスを整えたセキュリティ強化を目標とするため、次の2つの指針により人材育成サービスを提供しています。

• 一般社員、経営者、開発ベンダーのセキュリティレベルを上げる
• 情報システム部門、運用チームのセキュリティ対応力を上げる

まずは、セキュリティ教育の基本として、オンライン研修や集合研修を用意しています。

プラス・セキュリティ人材の育成に向けて課題をお持ちでしたら、ラックにお気軽にお問い合わせください。