DXや多様な働き方によって、情報セキュリティのあり方は日々変化を続けています。
そんな時代の中で、セキュリティ対策をしたくても「何をしたらいいかわからない」「セキュリティを担当できる人材がいない」「そもそも時間もお金もない」という、リソース不足に悩まされている方も多いのではないでしょうか?
ITシステムにおけるセキュリティとはなんなのか、情報セキュリティ人材に求められる役割はなんなのか、そして、これからどのように対策を進めればいいのか。
今回は、ITセキュリティ人材の育成と、その手法や必要なスキルなどを解説します。
また、企業の情報セキュリティ人材の役割やリソース不足解消方法についてまとめた資料を無料で配布しています。ぜひご活用ください。
ITシステムにおけるセキュリティとは
そもそも、ITシステムにおけるセキュリティとはいったい何を指すのでしょうか?
ITシステムにおけるセキュリティは、会社の情報資産を保護し、「ビジネスの継続性を確保」「コンプライアンス(法令遵守)を達成」「顧客の信頼を維持」するといった目的のための、会社のリスク管理の取り組みです。
その中でも主なセキュリティ4つを紹介します。
- ネットワークセキュリティ
- インターネットセキュリティ
- クラウドセキュリティ
- エンドポイントセキュリティ
ネットワークセキュリティ
ネットワークセキュリティとは、悪意のあるユーザーが会社のネットワークにアクセスすることを防ぐ仕組みです。
適切な権限管理が実施されていなければ、例えば契約社員や委託先社員のアカウントIDが流出しただけで、社内秘密のデータが情報漏えいの危機に晒されます。
また、悪意あるユーザーがサービスを利用できないように、悪意あるプログラムを使って、そもそもサービスを利用できなくするといったケースが該当します。
いずれも個人情報の漏えいに繋がります。
インターネットセキュリティ
インターネットセキュリティは、インターネットを通じた不正アクセスやマルウェアによる攻撃を防止する取り組みです。
身近なものでは、PCにデフォルトでも入っているファイアウォールなどが挙げられます。
クラウドセキュリティ
クラウドセキュリティは、自組織で利用するクラウド上に保存された情報資産を、悪意ある第三者による攻撃から保護する取り組みです。
エンドポイントセキュリティ
エンドポイントセキュリティとは、PCやスマートフォン、サーバーのような端末をサイバー攻撃から守るための取り組みです。
近年では、多様な働き方の推進でテレワークが普及してきましたが、自宅やシェアオフィスで接続している端末も企業ネットワークの末端として保護する必要性があります。
セキュリティの人材は不足傾向
セキュリティ人材の新規雇用を検討中の企業様もいるかもしれませんが、現状、日本全体を見ても情報セキュリティ人材は不足していて、2019年の調査では、日本企業の実に90%以上がセキュリティ人材に不足感を覚えています。
その理由としては、残念ながら日本の経営陣に情報セキュリティ意識が不足しがちであることや、企業における情報セキュリティ人材育成のためのリソースが足りておらず、明確なキャリアパスもあまり存在していないことが挙げられます。
セキュリティ人材の育成方法
ここまでで、セキュリティ人材が日本では圧倒的に不足していることが分かりました。
では、セキュリティ人材の育成にはどんな取り組みをすればよいのでしょうか?
コミュニケーションを取れる環境づくり
例えば、高度な情報セキュリティ人材になることのできるハイレベル人材は、自発的に学ぶことができると考えられます。
上から教育を実施することも大切ですが、それよりは、当人の自発的な学習や取り組みを阻害しない環境の整備や、そうした人材同士のコミュニケーションの場を提供することが重要となります。
評価軸の構築
セキュリティ関連職は、例えば営業職やエンジニア職とは異なり、明瞭な成果が目に見えにくい職種です。そのため、そうした職種と同等に数値で定量的に評価するといったことが難しく、異なった評価・認定の仕組みが必要になります。
配置転換による知見の吸収
情報セキュリティ対策は、担当者こそいますが、実際に日々情報セキュリティ対策を心がけ、実行するのは現場の従業員です。そのため、情報セキュリティ担当は、セキュリティ業務だけでなく現場業務にも触れ、実態に即した情報セキュリティ対策を立案できる必要があります。
また、ことIT企業では、情報セキュリティの専門性を活かしてゆくゆくはビジネスを創出できる人材を育てることができれば、非常に有益だと考えます。
専門性の高い人材が新規事業を立ち上げることを後押しする、培ってきたノウハウを現場で活かすよう配置転換する、といった取り組みが必要でしょう。
情報セキュリティ教育
当たり前のことですが、人材が適切なセキュリティ知識を持つためにはセキュリティ教育は不可欠です。情報セキュリティ人材候補者へ向けた教育や、従業員全員へ向けた教育など、セキュリティレベルに応じた教育をしましょう。
LRMのセキュリティ教育クラウド「セキュリオ」では、弊社のセキュリティコンサルタント監修の90種類以上の教材から選び放題で、従業員の階級やレベルに合わせたセキュリティ教育が可能です。まずは無料で試してみてください。
セキュリティ人材に必要なスキル
では、セキュリティ人材に必要なスキルはどんなものがあるのでしょうか。
例えば、下記のようなものがあります。
- セキュリティリスクを認識・評価できる
- セキュリティインシデント発生時の対応・マネジメントができる
- セキュリティ対策における戦略立案・企画ができる
- ログ監視・分析を通じて不正アクセスや情報漏えいの兆候を読み取れる
- セキュリティ上安全なシステム設計ができる
日本の約9割はセキュリティ人材が不足していると感じていますが、課題を感じる部分の上位に当たる不足しているスキルは大きく変わっておらず、過去10年以上改善がみられていません。
経営戦略やセキュリティ予算・人材スキルなどの内部環境を踏まえ、セキュリティ動向といった外部環境も捉えて、推進することが望ましいといえるでしょう。
日本政府におけるセキュリティ人材育成推進
日本政府は、このサイバー攻撃が巧妙化・複雑化している状況で、セキュリティ人材は質的にも量的にも不足していることを認識しています。
そのため、総務省では、NICTの「ナショナルサイバートレーニングセンター」を通じて、サイバーセキュリティ人材育成の取組(CYDER、SecHack365)を積極的に推進しています。
NICTの「ナショナルサイバートレーニングセンター」とは、サイバーセキュリティに関する研究で得られた技術的知見等を最大限に活用して、実践的なサイバートレーニングを企画・推進する組織として、政府が平成29年4月1日付けで設置したものです。
実践的サイバー防御演習「CYDER」は、Cyber Defense Exercise with Recurrenceの略で、サイバー攻撃を受けた際の一連の対応(インシデント対応)をPC操作しながらロールプレイ形式で体験できる演習です。
「SecHack365」は、セキュリティの未来を生み出すU25の若手人材育成に力を入れているセキュリティイノベーター育成を目的として、NICTが若年層のICT人材を対象に、セキュリティの技術研究・開発を本格的に指導する長期ハッカソン(ソフトウェア関連プロジェクトのイベント)です。
このようなカリキュラムに、積極的に取り組むことで、セキュリティ人材の育成に繋がるでしょう。
まとめ
セキュリティの人材育成について解説しました。皆様のセキュリティ人材の育成の一助となれば幸いです。
企業の情報セキュリティ人材不足解消法をまとめた資料もぜひご確認ください。