セキュリティの人材不足、足りないのは「戦略や企画」の担当者

國谷武史 (編集部) 2019年07月19日 11時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 ITやデジタルが社会に浸透する中、企業や組織では専門性のある人材の不足が叫ばれている。サイバーセキュリティはその1つで、例えば、2016年に経済産業省が発表したIT人材に関する調査結果の中では、2020年に情報セキュリティ人材が19万3000人不足すると予想された。具体的には、どのような人材が足りないのか――。

 NRIセキュアテクノロジーズが日本、米国、シンガポールの企業で働くITやセキュリティの担当者を対象に行った「企業における情報セキュリティ実態調査」の最新版によると、セキュリティ人材が「充足している(過剰、充足、どちらかといえば充足の合計値)」とした日本企業は9.0%で、「不足している(どちらかといえば不足、不足の合計値)」は87.8%に上った。

 一方、米国とシンガポールは「充足している」がともに8割を超え、「不足している」は米国で18.1%、シンガポールで18.3%だった。「充足している」のうち人材が過剰とした企業は、米国では3.7%、シンガポールでは3.6%、日本は0.2%だった。

 調査に回答したのは日本が1794社、米国が509社、シンガポールは504社。なお、日本に関しては、過去の調査では東証一部および二部の企業を対象にしていたが、今回は従業員350人以上の企業を対象とし、回答企業全体の71.1%を同1000人未満が占める(米国は25.1%、シンガポールは37.7%)。国別比較では、この違いを留意する必要があるとしている。

 日本企業で具体的に不足しているセキュリティ人材の種類は、「セキュリティ戦略・企画の策定」が47.2%で最も高く、以下は「セキュリティリスクの評価・監査」(34.1%)、「ログ監視・分析による危険な兆候の迅速な発見」(34.1%)、「セキュリティインシデントへの対応・指揮」(29.6%)、「関係部署との調整によるセキュリティ対策」(22.1%)などだった。

日本で不足感の高いセキュリティ人材の内訳 日本で不足感の高いセキュリティ人材の内訳
※クリックすると拡大画像が見られます

 人材の充足度について同社は、米国やシンガポールでは、職務記述書によって業務の内容や範囲、求められるスキルなどがある程度明確になっていることから、人材の種類に応じた過不足を把握しやすい一方、日本ではややあいまいな傾向にあり、全体的な不足感が高いようだと分析する。「米国やシンガポールで『過剰』と回答した企業は、全体的に人材が多過ぎるというより、担当内容ごとに過不足が生じている」(GRCデジタルプラットフォーム部 セキュリティコンサルタントの名部井康博氏)

 具体的に足りないとされたセキュリティ人材の種類について、戦略や企画の立案者には、自社のビジネスとリスクを理解した上で対応を講じるなどの能力が求められるため、社内から人材を確保するのが望ましいという。

 一方、サイバー攻撃監視などの実務面に関しては、昨今では専門企業が提供するアウトソーシングサービスやツールなどが増えていることから、自社人材の確保に終始せず、外部リソースも活用して実効性のあるセキュリティ体制を講じることが望ましいと解説する。日本に比べて米国やシンガポールの人材の充足感が高いのも、社内と社外のリソースを組み合わせる体制の整備が進んでいるためだという。

 組織の情報セキュリティ責任者と位置付けられる「CISO(Chief Information Security Officer)」の設置率は、日本が53.4%、米国が86.2%、シンガポールが86.7%だった。また、3年程度の中長期的なセキュリティ対策の実施計画を立案し、適宜見直しているという企業は、米国が56.2%、シンガポールが49.6%、日本が18.1%だった。

 また、直近で実施したセキュリティ対策のきっかけとしては、米国とシンガポールでは「経営層のトップダウン指示」が最も高く、日本では「自社でのセキュリティインシデントの発生が最多」だった。ここでは、「株主や取引先からの要請」「競合他社との比較」「関連法規の改定」「監督官庁からの要請」といった外的要因を理由に挙げる回答も、日本より米国やシンガポールの方が高い。

直近1年に実施したセキュリティ対策のきっかけ 直近1年に実施したセキュリティ対策のきっかけ
※クリックすると拡大画像が見られます

 これらについては、米国やシンガポールではリスク管理や組織外部の情勢などを背景に経営レベルの責任者を設置し、戦略的なセキュリティ対策を実行する傾向にあるという。日本では、セキュリティインシデントなどをきっかけとする事後的な対応が主体で、機密性を確保するために組織内の情勢が重視される傾向にもあるという。

 同社はセキュリティへの取り組み方について、国や企業ごとに異なる文化や環境などを踏まえながらも、参考になる部分は積極的に取り入れることを検討すべきとアドバイスしている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]