2024.05.13
2024年3月27日(水)、東京・新宿でリアルイベント「みんなどうしてる?セキュリティ人財育成 ~11万人不足の現状、どう育成していくか~」が開催されました。
デジタル化・DX化が進む一方で、サイバーセキュリティリスクが深刻化し、セキュリティ人財の確保や育成が喫緊の課題となっています。しかし日本のセキュリティ人財は11万人も不足している(※1)と言われ、日本の人財需給ギャップ増加率は調査対象国の中で一番高い結果となっています。
そこで今回のイベントでは、求められるセキュリティ人財を企業や組織内でいかに確保・育成していくかの方法を探るため、制御システムセキュリティ・CPS(※2)のスペシャリスト 長崎県立大学 小林信博教授をお招きするとともに、セキュリティのエバンジェリスト 日立ソリューションズ 扇健一も登壇し、対談形式でセキュリティ人財育成について語り合いました。
また、続いて開催された交流会では、2人の対談登壇者も参加し、同じ興味を持つ参加者の皆さま同士でセキュリティ人財の獲得や育成についての疑問・悩みを語り合いました。ここでは本イベントの概要をお伝えします。
<コメンテーター>
小林 信博 氏
長崎県立大学シーボルト校 情報システム学部
情報セキュリティ学科 学科長 教授
情報セキュリティ産学共同研究センター(長崎セキュリティベース研究所)
副所長
制御システムセキュリティ、CPS を専門分野とし、IEEE・情報処理学会に所属。Society5.0の実現に向けてIoT制御システムの弱点となる脆弱性を発見し、そのセキュリティ対策を確立するための研究に取り組んでいる。また、2023年に開設された情報セキュリティ産学共同研究センター(長崎セキュリティベース研究所)において、産官学の連携による社会的セキュリティ課題の解決にも注力している。
扇 健一
株式会社日立ソリューションズ
セキュリティソリューション事業部
企画本部 セキュリティマーケティング推進部
シニアエバンジェリスト 兼 Security CoE センタ長
ゼロトラストをはじめとするセキュリティソリューションの企画、コンサルティング、社内セキュリティ技術支援などを担当。未来社会に不可欠なセキュリティの重要性を社会に幅広く発信する活動の主導者的な存在。小学生から大学生まで、次世代人財育成にも注力している。
<モデレーター>
高木 絵梨果
株式会社日立ソリューションズ
セキュリティソリューション事業部
企画本部セキュリティマーケティング推進部
第3グループ
本イベントでは「セキュリティ人財育成」に関するテーマごとに、登壇者が参加者から事前に寄せられた質問に答えていく対談形式で進められた。
1つ目のテーマは「セキュリティ人財不足のリアル・背景」。最初の質問は、「実際には国内にどれだけのセキュリティ人財が必要で、どれくらい足りないと言われているのか」、「どの分野で特にセキュリティ人財不足が深刻なのか」といった内容だ。
そこで、まずモデレーターの高木が、国際的な非営利会員団体ISC2が公表する
「ISC2 Cybersecurity Workforce Study 2023」の資料を引用しながら現状を解説した。2023年時点において、日本のサイバーセキュリティ人財は推計で約48万人。日本のサイバーセキュリティ人財の需要に対する供給のギャップでは推計で約11万人不足しているという。高木は「経済産業省の調査でも、セキュリティ人財不足は一過性の問題ではなく、2030年に向けても不足が続くとの予測結果も出ているようです」と説明する。
セキュリティ人財の状況(出典:「ISC2 Cybersecurity Workforce Study 2023」)
それを受け扇は、セキュリティソリューションの拡販業務を行う中で感じたこととして、「お客様からは、セキュリティの計画を進める上で何を優先的にやったらいいのか、どうしたらいいのかを考える人が不足しているという声が多くなっています」と明かす。
一方、小林氏は、企業がDXを推進する渦中にある中で、セキュリティ人財が不足していると指摘。「DXを進める担当部署は、セキュリティと距離があったサービスを提供してきた事業部門が進めるケースが多く、そうした裾野の広がりも含めて、2030年に向けてセキュリティ人財不足が深刻化しているのです」と説明する。
続いて小林氏は、内閣サイバーセキュリティセンター(NISC)が作成した「プラス・セキュリティ知識とは?」という資料を示しながら、「今後はDX化に伴い、セキュリティ専門部署ではない事業部門や管理部門の人もサイバーセキュリティリスクを認識して対策を実施しなければならず、あらゆる場面でセキュリティ専門人財との協働が必要になります。その協働において習得すべきセキュリティ知識を"プラス・セキュリティ知識"といいますが、そのプラス・セキュリティ知識を持った人財の不足が拡大していることも課題になっています」と話す。
セキュリティ専門人財との協働で必要となる知識を「プラス・セキュリティ知識」という
出典:内閣サイバーセキュリティセンター(NISC)「プラス・セキュリティ知識とは?」
https://security-portal.nisc.go.jp/dx/plussecurity.html
扇も、プラス・セキュリティ知識が重要な理由について補足する。「調達部門や開発部門にもセキュリティ人財を配属したいという企業も増えています。というのも、CSIRT(Computer Security Incident Response Team)と現場の開発部門やサービス部門とで会話が成り立たないとか、セキュリティ推進部門からの指示を理解できる人財が現場にいないといった悩みがあるからです。弊社も、そのような人財を配置したいという企業を支援しています」
続く、2つ目のテーマは「セキュリティ人財の育成」。そこに寄せられた質問は、「CSIRT担当として組織的セキュリティ体制の構築を任されたが、社員のセキュリティ関連スキルが可視化できず、リスキリングへの意識も低いため、何から手を付けるべきか悩んでいる」というもの。
「私もお客様のインシデント対応に参画した経験があります」と前置きした扇は、2つの提案を行った。1つは、自分の会社や組織のスタイルを知ることから初めること。もう1つは、セキュリティに興味のない人を育てようとしても難しいので、セキュリティに興味がある人を見つけるべきだという。
そこで扇は、本セキュリティオペレーション事業者協議会(ISOG-J)が発行した「セキュリティ対応組織(SOC/CSIRT)の教科書 第3.1版 2023年」(SOC:Security Operation Center)から、セキュリティ対応組織のパターンを例示。この中で、自社がミニマムインソース、ミニマムアウトソース、ハイブリッド、フルインソースのどれに当たるかを見極めた上で、セキュリティ対応の役割分担を、Ⅰ)自組織で実施すべき領域、Ⅱ)自組織を中心に連携すべき領域、Ⅲ)専門組織で実施すべき領域、Ⅳ)専門組織を中心に連携すべき領域の4象限ごとに、どんな人を育成すべきかを考えてはどうかと提案した。
セキュリティ対応の組織パターン
セキュリティ対応の役割分担
出典:日本セキュリティオペレーション事業者協議会(ISOG-J)
「セキュリティ対応組織(SOC/CSIRT)の教科書第3.1版」2023年
https://isog-j.org/output/2023/Textbook_soc-csirt_v3.html
それに関連して、小林氏は、「必要な人財が分かったとしても、実際にそうした人財をどのように確保するかが課題になります」と指摘する。小林氏が参考に示したのは、経済産業省 商務情報政策局 サイバーセキュリティ課と、独立行政法人情報処理推進機構(IPA)が公表している、「サイバーセキュリティ経営ガイドライン Ver.2.0 付録F サイバーセキュリティ体制構築・人財確保の手引 第2版 2022年」だ。ここでは、セキュリティ人財を確保する方法について例を5つ挙げている。
1つ目は、「リスクマネジメントや経営管理に関する業務経験を有する人材の配置転換及び育成」。リスクマネジメントの業務経験を持つ人材や、サイバーセキュリティ対策業務に必要な知識・スキルの習得に意欲を持った人材を確保する方法。
2つ目は、「ITの管理・運用に関する業務経験を有する人材の配置転換及び育成」。IT部門などで社内の情報システムやネットワークの管理・運用経験者にサイバーセキュリティ対策業務に必要な知識・スキルを取得してもらう方法。
3つ目は、「セキュリティ対策関連の業務経験を有する人材の中途採用」。他社でサイバーセキュリティ対策業務に従事した経験を持つ人財を中途採用し、自社で活用する方法。
4つ目は、「セキュリティを専門とする教育機関を修了した人材の新卒採用」。サイバーセキュリティに関する専門教育を提供する大学院、大学、高専、専門学校などを修了した人材を新卒採用する方法。
5つ目は、「兼業や副業で従事する人財活用」。新しい働き方としてサイバーセキュリティの専門性を発揮できる人財が別の企業や団体でサイバーセキュリティ対策を担う方法。
扇も、「現在でもIPAが、情報処理安全確保支援士の資格を持つ専門家が中小企業を支援する取り組みを行っていますが、副業や兼業が認められやすい働き方改革が実現すれば、セキュリティ人財不足の懸念も解消されるでしょう」と期待する。
次の質問は、「少人数組織のため専任のセキュリティ担当者や専門知識のある人財がいない。また、少人数の組織でも最低限度必要な体制や押さえておくべきことは何か」というもの。
これについて小林氏は、アウトソーシングが有効だと話す。「しかしアウトソースする場合は、丸投げではいけません。自社の経営上のリスクについてアウトソース先とコミュニケーションが取れるような最低限度のスキルや知識を持つことが必要です」とアドバイスする。
扇は、プロバイダーのサービスを受けることもひとつの方法だという。「自社でオンプレミスのセキュリティ機器を管理・運用するのは大変なので、プロバイダーが提供するサービスを活用することが有効です。近年はランサムウェアの入口として関連企業や組織のVPNの脆弱性が狙われます。また、Emotetのような高度なマルウェアがメールを介して入ってきます。攻撃に備えて高度な対策製品を導入することは必須ですが、その運用もアウトソースできます。インシデントが発生した時を想定して事前に業者と契約しておくことも有効です」と語る。
事前に受けた質問へのディスカッションは終了し、その後は会場からの質疑応答を受け、対談セッションは終了した。
続いて行われた交流会では、対談セッションで登壇した小林氏と扇の2人も交え、活気溢れる雰囲気で参加者同士が親交を深めた。対談では語り尽くせなかったセキュリティ人財の獲得や育成についての疑問・悩みを語り合う熱気に会場は包まれ、予定時間をオーバーしても歓談は続いた。そこで拾った参加者の感想をいくつか紹介したい。
「セキュリティ人財育成への取り組みをしており、情報収集のために参加しました。小林先生のアカデミアから見たセキュリティのキャリアパスに興味を惹かれました。できればそのあたりの話をもっと聞きたかったですね。プラス・セキュリティ知識の話も重要で、セキュリティ人財は現場を離れると現場感覚が鈍るのでギャップが広がります。そのキャッチアップをどうするかが課題ですね」(製造業、人事関係、50歳代)
「今回のテーマで、中小企業がセキュリティ人財確保に向けた予算を取引先に要求できるかが課題に感じました。日本全体でセキュリティ関係予算を下請けまで拡大し、セキュリティ人財を確保できる仕組みが必要です」(ITコンサルタント、60歳代)
「日立ソリューションズは自社の宣伝ではなく、日本のセキュリティ底上げのために貢献しようとしている姿勢が伝わってきました。こうしたイベントは重要で、日本の現在位置を発信してくれるのはありがたく思います。また、小林先生がセキュリティ人財の裾野を広げる活動を大学の専門教育を通じて行っているのはとても意義のあることだと考えさせられました。大阪から来た価値はありました」(商社、DX推進、50歳代)
「製品やサービスのセキュリティを管理する仕事なので、セキュリティ人財不足の実態を知りたくて参加しました。今回のイベントは純粋にセキュリティ人財育成や確保の難しさや方法論を具体的に論じていたのが良かったと思います」(製造業、セキュリティ担当、50歳代)
「セキュリティ人財の確保や育成の難しさが理解できました。コロナ禍前から日立ソリューションズのイベントは何度か参加し、貴重な情報集取をしています。今後は、暗号化などに関するテーマを扱ってほしいですね」(メーカー、ソフトウェア設計、60歳代)
日立ソリューションズでは、協創で未来をつくっていくオープンなコミュニティ「ハロみん」を2024年4月からスタートしました。その一環で、今回のようなイベントも継続して実施し、オウンドメディア「未来へのアクション」でもご紹介していきます。皆さんのご参加もお待ちしています。今後のイベント予定はこちらをご参照ください。
https://future.hitachi-solutions.co.jp/community/