サイバー攻撃を始めとする情報セキュリティリスクは年々増大していますが、その一方でセキュリティ人材の不足も叫ばれ続けています。
その解消に向けて、まずはセキュリティ人材不足の原因は何なのか、どう対処すればいいのかを考えてみましょう。自社の状況と照らし合わせつつ読んでいただけると幸いです。
また、企業の情報セキュリティ人材不足の課題と解消法をまとめた資料を無料で配布しています。お役立てください。
そもそも情報セキュリティ人材とは
そもそものところ、情報セキュリティ人材とは、ざっくりいえば下記を指します。
- 情報セキュリティに関する知識・技術がある人材
- 情報セキュリティに関する業務を行う人材
現在、サイバー攻撃や情報漏えいの事例は増加、手口も悪質化・多様化を続けており、セキュリティ人材はそうした変化にも柔軟に対応する必要があります。
セキュリティ人材には、セキュリティ対策に必要な総合的なITスキルや、非IT人員もセキュリティ対策に巻き込むためのコミュニケーションスキル、全社的にセキュリティ対策を遂行するための組織マネジメントスキルが求められます。
情報セキュリティ人材が不足する現状
情報セキュリティ人材が不足する現状とその理由を、マクロとミクロでみてみましょう。
日本中で情報セキュリティ人材が不足している
そもそもIT人材の不足については知られていますが、なかでも情報セキュリティ人材の不足は顕著です。総務省の算出した数値では、セキュリティ分野の人材不足は日本全体で19万人以上にも上ると言われています。
この背景には様々理由がありますが、
- 業務の専門性が高すぎる
- セキュリティ担当者の明確なキャリアパスが未整備である
- 経営層がセキュリティの重要性をまだまだ理解していない
などが阻害要因となって、セキュリティ人材が十分な数に達していません。
企業で情報セキュリティ人材が不足する原因とは?
先述の通り日本中で情報セキュリティ人材は不足していますが、その中で各々の企業において不足している原因は下記です。
雇用のコスト
セキュリティ対策・人材に対して企業が用意する予算は限られています。
特に中小企業では、サイバー攻撃に対応するための組織・人員をおくほどの予算はないというケースが多く、適切なスキルを有した人材にオファーをかけられる余裕はなかなかないというのが現状です。
人材を育てない
新しく雇用することも難しい一方で、自社内での教育で人材を育てて、セキュリティ対策の中心に据えるということも、一部の大企業を除いては難しいようです。
そもそも、セキュリティ人材が不足していると、専門知識を持ち、正しい方向で人材育成をするための人材も不足しがちですので、悪循環が続いてしまいます。
セキュリティ人材不足を認識していない
自社で情報セキュリティ事故が発生したのをきっかけにようやくセキュリティ対策に乗りだすというケースが多く、本来ならそれでは遅いと言えますが、自分ゴトにならないと経営層はなかなか人材不足を認識しないため、トップダウンで人材の補充もしないという実情がうかがえます。
情報セキュリティ人材不足の解決方法
情報セキュリティ人材不足は、情報セキュリティ体制の構築や運用においてほぼ必ずと言っていいほど直面する問題です。
業務量に対して明らかに人手が足りていない、人材募集をしたが応募がない、そもそも人材採用するほどの予算がない、といった状況はしばしばみられるものです。
そうした人材不足を解決する方法としては、下記が挙げられます。
業務委託や副業人材を活用する
情報セキュリティ人材を確保するには、正社員にこだわらないことも工夫の一つです。
フリーランスエンジニアや、技術者派遣人材など、雇用形態を問わず、専門性と意欲のある人にセキュリティ業務を対応してもらうというのも一つの手です。
ただ、内部事情との兼ね合いなどもありますので、情報セキュリティ対策の主導権はあくまで社内で握っておく方がスムーズです。
社内で育成する
社内の人材の中で、勉強意欲のある人を情報セキュリティ人材として育成することも考えられます。研修やeラーニングを活用する、資格取得を目安にする、など方法は様々あります。
セキュリティ業務の中には専門性が高いものもありますが、社内調整的業務や組織マネジメント的業務もあり、他部署の人員の力を借りることも非現実的ではないと思います。
社内で希望を聞く・公募を行うなど、人材発掘の工夫をしてみましょう。
情報セキュリティ人材の育成方法については「ITセキュリティの人材育成とは?その手法や必要なスキルなどを解説」で解説していますので、あわせてお読みください。
ツールを使いこなす
これは、情報セキュリティ人材不足の直接的な解決と言うよりは、情報セキュリティ業務の効率化で担当者の負担を軽減する、担当者の役割をツールで一部代替するという対応です。
情報セキュリティ対策業務には、
- ウイルス検知ソフトや認証システムによる技術的対策
- 盗難対策・入退室管理といった物理的対策
- 従業員教育・対応フローの策定などの人的対策
の3分類があり、内容によってはツールで補うことが可能です。
また、3分類いずれにも言えることとして、結局、業務でそれを遵守するのは従業員であるため、3つ目の人的対策、すなわち従業員のセキュリティ意識・リテラシーの改善が最もセキュリティ対策の効率化につながります。
LRMのセキュリティ教育クラウド「セキュリオ」では、セキュリティeラーニング、標的型攻撃メール訓練、毎週配信のミニテスト等を最小限の工数で実施し、従業員のセキュリティ意識・リテラシーを効果的に向上することができます。まずは無料ではじめましょう。
まとめ
セキュリティ人材の不足について、原因と対処法、少し見方を変えた人材の確保のコツなどを説明しました。兼務や外部人材に頼るなどの方法と、内部のコア人員の育成の組み合わせで、しっかりした情報セキュリティ体制を作っていくことをおすすめします。