サイバー攻撃の高度化やITの進化に伴い、高いスキルを持つセキュリティ人材が求められています。
しかし日本におけるセキュリティ人材は不足しており、今後も不足数が増加すると言われています。
なぜセキュリティ人材は不足しているのでしょうか。セキュリティ人材に求められるスキルと、セキュリティ人材の不足の理由について詳しく解説します。
また、情報セキュリティ人材やリソースにお悩みの方に向けて、情報セキュリティ人材不足の要因、そもそもの役割、解消にはどうするべきかをまとめた資料を無料で配布しています。
こちらから無料でダウンロードできますので、ぜひご活用ください。
セキュリティ人材不足の理由とは
日本におけるセキュリティ人材は不足していると言われています。
少し古い情報になりますが、2018年12月に総務省から発行された「我が国のサイバーセキュリティ人材の現状について」によると、2016年時点で情報セキュリティ人材が13.2万人不足と推計されており、2020年には、不足数が19.3万人に増加すると見込まれています。
セキュリティ人材はどの理由で不足しているのでしょうか。その具体的な理由について詳しく見ていきましょう。
デジタルトランスフォーメーション(DX)の進行
セキュリティ人材不足の理由の一つとして、デジタルトランスフォーメーション(DX)の進行があげられます。DXとは、ITの浸透によって、人々の生活をあらゆる面でよりよく、豊かにするという概念のことです。経済産業省では、DXを以下のように定義しています。
企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること
経済産業省「令和元年 7 月「DX 推進指標」とそのガイダンス」の定義」引用
古くからITの活用には基盤となるプラットフォームがありました。
例えば第1のプラットフォームはメインフレームであり、第2のプラットフォームはクライアント・サーバーシステムであると言われています。そして2021年現在、第3のプラットフォームと呼ばれているのが、「モバイル」「ソーシャル」「ビッグデータ」「クラウド」の4つです。これらが現在主流のプラットフォームであると言われています。
さらにこの4つのプラットフォームは、アプリケーションやデータ、サービスなどによってさらに分岐点を増やしています。つまり日常生活や業務において、プラットフォームの数が急速に増えてきているのです。
プラットフォームの数が増えるにつれ、IT関連のタスク量は増大します。これにともないセキュリティ関係の業務も増えていくため、その担い手となるセキュリティ人材の不足が発生する仕組みです。
サイバー攻撃の多様化
ITの進化と共に、サイバー攻撃に日進月歩で進化しています。サイバー攻撃の多様化もセキュリティ人材の不足を助長しています。IPA(情報処理推進機構)の発行する「情報セキュリティ10大脅威2020」では、次のような内容が脅威としてリストアップされています。
組織に対する脅威のトップ5は以下のような内容です。
| ランク | 脅威 | 脅威の概要 |
|---|---|---|
| 第1位 | 標的型攻撃による機密情報の窃取 | 企業や官公庁など明確なターゲットに対して機密情報を窃取することを目的とした攻撃 |
| 第2位 | 内部不正による情報漏えい | 社内の従業員や元従業員による機密情報の持ち出しなどによる情報漏洩 |
| 第3位 | ビジネスメール詐欺による金銭被害 | 取引先や自社の役員などになりすましてメールを送信して、攻撃者が用意した口座へと送金させる詐欺 |
| 第4位 | サプライチェーンの弱点を悪用した攻撃 | 自社が所属するサプライチェーンの弱点となる企業に対して仕掛けるサイバー攻撃 |
| 第5位 | ランサムウェアによる被害 | コンピュータ内のファイルやフォルダを暗号化し、復号のために身代金を要求するマルウェアの感染 |
これらの他にも企業を脅かす脅威は多数あります。セキュリティ担当者は当然ながら、こうしたサイバー攻撃の変化に対応していく必要があります。最新のセキュリティ脅威への対応策を熟知している人員は非常に限られた存在であり、必要な数には達していないのが現状です。
狙われる大規模イベント
世界的に実施される大規模イベントを標的としたサイバー攻撃も知られています。2018年の平昌オリンピックの開会式を狙ったサイバー攻撃がありました。この攻撃により、公式のWebサイトがダウンし、組織委員会内部でのインターネット接続も使えない状態となりました。
このような大規模イベントは、愉快犯や金銭目的のハッカー・クラッカーに狙われる可能性が非常に高いです。中には、有名なイベントを攻撃して名をあげようとする者もいます。実際にサイバー攻撃が成功してしまうと、イベント運営企業だけでなく、スポンサー企業にも被害が及ぶ場合もあります。このため、大規模イベントの期間中は特にセキュリティ体制を厚くする必要があります。
企業で必要とされるセキュリティ人材とは
セキュリティ人材は、とにかくセキュリティやITの知識が高ければ良いというわけではありません。企業で必要とされるセキュリティ人材は、以下で紹介するスキルを身に付けておかなければなりません。
非IT人員とのコミュニケーションスキル
セキュリティはITスキルの中でも非常に高度であり、専門的な知識や用語が飛び交う業界です。しかしセキュリティ対策を必要としている人は、セキュリティの専門家でないことの方が多いでしょう。セキュリティ人材には、そのような非IT人員とのコミュニケーションスキルが求められます。
現在はセキュリティ対策を経営戦略と見なす企業が増えてきました。そのためセキュリティ人材には、自社や顧客の経営層、実務者層と意思疎通できるスキルが求められます。
セキュリティ人材は専門家として、的確にリスクをインプットさせられれば、全社のセキュリティ対策の能力を高められます。
総合的なITスキル
セキュリティ人材には、セキュリティ対策を通じて、自社や顧客企業のITのインフラやアプリケーションの運用状況を総合的に判断できなければなりません。そしてセキュリティ対策として「何が必要なのか」を的確に判断し、必要な対策を導入します。
企業によって、業務で使われているシステムやアプリケーションは異なります。現場レベルの意見と、セキュリティベンダーからの意見に耳を傾け、ITの活用状況を総合的に俯瞰して判断できる人材が、セキュリティ人材として重宝されます。
組織マネジメントスキル
セキュリティ対策として重要なのは、様々な対策を多層で実施する多層防御と、セキュリティレベルを全社的に調整する全体最適の双方の観点で実施することです。このようなセキュリティ対策を実施するためには、社内で各種システムを管理する部門と協力しながら、施策を推進しなければなりません。
しかしこのようなマネジメントスキルを保持したセキュリティ人材を見つけるのは困難です。
社内で橋渡し役となるコミュニケーションスキルを持つ人員にセキュリティ教育を実施して育成することもできますが、時間を要するため現実的ではありません。
最先端テクノロジーでセキュリティ対応を自動化
ここまでで、セキュリティ人材が不足していることと、育成が困難であることを紹介しました。このような状況の影響もあり、最近ではセキュリティ人材を用意するのではなく、専門家の知見を集めたSaaSベースのサービスを使って提供する企業も現れています。
このようなSaaSベースのサービスを利用すれば、高度なスキルを持つセキュリティ人材を雇用するよりも安価な費用で導入でき、ほぼ制約なく利用できることがほとんどです。セキュリティ人材の不足を打破する材料に十分なりえるでしょう。
例えば、アビームコンサルティング株式会社では、専門性が求められるサイバーセキュリティ対策のオートメーション化のサービスを提供しています。当社のサイバーセキュリティ対策はハッカーの知見に基づいたものであり、外部からの脅威に対して、継続的かつ自動的に対応できます。企業が保有している情報資産の拡大に対応して、セキュリティの強化と維持の実現も可能です。
まとめ
セキュリティ人材が不足している理由とその対応策について紹介しました。ITの進化により、高度なセキュリティ対策をソフトウェアとして提供している企業もあります。
しかし抜本的なセキュリティ対策は、様々なスキルを持つセキュリティ人材により、全社レベルで実行される必要があります。効率的なセキュリティ対策の実施は、人による対策とソフトウェアによる対策をうまく組み合わせることで実現できます。
セキュリティ人材の役割と不足の解消法についての資料はこちらから無料でダウンロードできますので、ぜひご活用ください。
