企業にとってますますリスクが高まりつつあるサイバー攻撃に立ち向かうための“セキュリティ人材”をどう育成するか。民間団体がこのほどその課題を示したのを機に、筆者も一言もの申しておきたい。
セキュリティ人材育成の課題とは
産業横断で重要インフラ分野を中心とした企業約40社が参加する「産業横断サイバーセキュリティ人材育成検討会」が先ごろ、日本企業の組織構造とセキュリティ業務との関係についての実態を分析し、必要な人材像の定義や可視化に向けた課題を抽出したと発表した。
この検討会は、日本経済団体連合会(経団連)が2015年2月にまとめたサイバーセキュリティ対策の強化に向けた提言で重視されていた「人材育成の実行および加速」を目的とし、重要インフラ分野を中心とした各業界の主要企業が参加して同6月に発足した。
その活動内容や今回の発表の全容については関連記事を参照いただくとして、ここでは検討会が第一に挙げた課題に注目したい。それは「セキュリティ業務(機能)は企業組織内で広範囲に分散しており、CSIRT(Computer Security Incident Response Team)などのセキュリティ専門組織の人材育成だけでは不十分である」というものだ。
この課題に対して検討会では今後、「複数の組織や職種に分散したセキュリティ業務(機能)を取りまとめる新たなセキュリティ職種の規定と育成」「それぞれの現業の一環で必須となるセキュリティ業務(機能)のための教育(セキュリティも分かる管理者や技術者の育成)」「CISO(最高情報セキュリティ責任者)を支える人材の育成(経営目線と実務目線の橋渡し人材)」「業界ごとに異なるアウトソース(外部委託)とインソース(自社対応)の区分けに基づく人材要件の分析と育成(自社対応と外部委託の橋渡し人材)」といった人材育成の観点が必要であると指摘した。
経営の視点も求められるセキュリティ人材
こうした観点をおしなべて見てみると、セキュリティ人材の育成には技術の話だけでなく、「セキュリティをいかにマネジメントしていくか」という視点が不可欠であることが見て取れる。
筆者もこれまでの取材を通じてつくづく感じるのは、企業において「セキュリティマネジメント」への取り組みが不足していることである。セキュリティマネジメントとは、企業におけるセキュリティの確保に組織的および体系的に取り組むことを指す。
さらに言えば、セキュリティマネジメントにはリスクマネジメントの視点が不可欠だと、筆者は考える。それぞれの企業におけるセキュリティ対策にとって、どのようなリスクがあるのか、そのリスクを防ぐには何が必要か。セキュリティ人材にはそうしたリスクマネジメントのスキルも求められるのではないか。
リスクマネジメントは経営そのものである。サイバー攻撃は今や経営にとって重大なリスクとなりつつある。したがって、セキュリティ人材は技術だけでなく経営の視点も求められる。ぜひともリスクマネジメントのスキルアップも求めたい。
そうした人材育成に向け、個々の企業だけでなく産業界として、さらには産官学が連携したエコシステムとしてどう取り組んでいくか。強い危機感を持って臨むべき段階に来ているのではないだろうか。