ITやデジタルが社会に浸透する中、企業や組織では専門性のある人材の不足が叫ばれている。サイバーセキュリティはその1つで、例えば、2016年に経済産業省が発表したIT人材に関する調査結果の中では、2020年に情報セキュリティ人材が19万3000人不足すると予想された。具体的には、どのような人材が足りないのか――。
NRIセキュアテクノロジーズが日本、米国、シンガポールの企業で働くITやセキュリティの担当者を対象に行った「企業における情報セキュリティ実態調査」の最新版によると、セキュリティ人材が「充足している(過剰、充足、どちらかといえば充足の合計値)」とした日本企業は9.0%で、「不足している(どちらかといえば不足、不足の合計値)」は87.8%に上った。
日本、米国、シンガポールにおけるセキュリティ人材の充足感
※クリックすると拡大画像が見られます
一方、米国とシンガポールは「充足している」がともに8割を超え、「不足している」は米国で18.1%、シンガポールで18.3%だった。「充足している」のうち人材が過剰とした企業は、米国では3.7%、シンガポールでは3.6%、日本は0.2%だった。
調査に回答したのは日本が1794社、米国が509社、シンガポールは504社。なお、日本に関しては、過去の調査では東証一部および二部の企業を対象にしていたが、今回は従業員350人以上の企業を対象とし、回答企業全体の71.1%を同1000人未満が占める(米国は25.1%、シンガポールは37.7%)。国別比較では、この違いを留意する必要があるとしている。
日本企業で具体的に不足しているセキュリティ人材の種類は、「セキュリティ戦略・企画の策定」が47.2%で最も高く、以下は「セキュリティリスクの評価・監査」(34.1%)、「ログ監視・分析による危険な兆候の迅速な発見」(34.1%)、「セキュリティインシデントへの対応・指揮」(29.6%)、「関係部署との調整によるセキュリティ対策」(22.1%)などだった。
日本で不足感の高いセキュリティ人材の内訳
※クリックすると拡大画像が見られます
人材の充足度について同社は、米国やシンガポールでは、職務記述書によって業務の内容や範囲、求められるスキルなどがある程度明確になっていることから、人材の種類に応じた過不足を把握しやすい一方、日本ではややあいまいな傾向にあり、全体的な不足感が高いようだと分析する。「米国やシンガポールで『過剰』と回答した企業は、全体的に人材が多過ぎるというより、担当内容ごとに過不足が生じている」(GRCデジタルプラットフォーム部 セキュリティコンサルタントの名部井康博氏)
具体的に足りないとされたセキュリティ人材の種類について、戦略や企画の立案者には、自社のビジネスとリスクを理解した上で対応を講じるなどの能力が求められるため、社内から人材を確保するのが望ましいという。
一方、サイバー攻撃監視などの実務面に関しては、昨今では専門企業が提供するアウトソーシングサービスやツールなどが増えていることから、自社人材の確保に終始せず、外部リソースも活用して実効性のあるセキュリティ体制を講じることが望ましいと解説する。日本に比べて米国やシンガポールの人材の充足感が高いのも、社内と社外のリソースを組み合わせる体制の整備が進んでいるためだという。
組織の情報セキュリティ責任者と位置付けられる「CISO(Chief Information Security Officer)」の設置率は、日本が53.4%、米国が86.2%、シンガポールが86.7%だった。また、3年程度の中長期的なセキュリティ対策の実施計画を立案し、適宜見直しているという企業は、米国が56.2%、シンガポールが49.6%、日本が18.1%だった。
また、直近で実施したセキュリティ対策のきっかけとしては、米国とシンガポールでは「経営層のトップダウン指示」が最も高く、日本では「自社でのセキュリティインシデントの発生が最多」だった。ここでは、「株主や取引先からの要請」「競合他社との比較」「関連法規の改定」「監督官庁からの要請」といった外的要因を理由に挙げる回答も、日本より米国やシンガポールの方が高い。
直近1年に実施したセキュリティ対策のきっかけ
※クリックすると拡大画像が見られます
これらについては、米国やシンガポールではリスク管理や組織外部の情勢などを背景に経営レベルの責任者を設置し、戦略的なセキュリティ対策を実行する傾向にあるという。日本では、セキュリティインシデントなどをきっかけとする事後的な対応が主体で、機密性を確保するために組織内の情勢が重視される傾向にもあるという。
同社はセキュリティへの取り組み方について、国や企業ごとに異なる文化や環境などを踏まえながらも、参考になる部分は積極的に取り入れることを検討すべきとアドバイスしている。
