近年の情報・サイバーセキュリティの脅威と、自衛力を高めるための組織・IT人材づくりとは
「事業に必要な情報やITシステムを守る」という情報セキュリティ対策は、業種を問わずあらゆる企業にとって不可欠です。とはいえサイバー攻撃の手口は日々巧妙になっています。
特にデジタル化やDXを考えると、経営者のリーダーシップのもと自社のセキュリティ体制を明確にし、対策の計画、実行、点検などの推進が必要です。専門家におまかせではなく、自社組織や自社人材で自衛力を高めることが大切です。
1. デジタル技術の拡大と、IT人材不足の懸念
企業にとってデジタル化やDXは非常に重要な課題となっています。独立行政法人 情報処理推進機構(以下、IPA)の調査(※1)では、2020年から2021年にかけて自社のDX進捗度を自己採点した数は58%アップし、自社のデジタル化を意識する企業は大きく増えているといえます。一方、人材不足が深刻な問題となっています。特に、IT人材は2019年をピークに入職率を退職率が上回り(※2)、企業にとっては大きな課題となっています。
| ■参照 / 出典 |
|---|
| ※1:IPA発表「DX推進指標 自己診断結果 分析レポート(2021年版)」を公開 https://www.ipa.go.jp/digital/dx-suishin/bunseki2021.html ※2:経済産業省「IT 人材の最新動向と将来推計に関する調査結果(報告書概要版)」より https://www.meti.go.jp/shingikai/economy/daiyoji_sangyo_skill/pdf/001_s02_00.pdf |
1-1. さまざまなデータが活用される社会
キャッシュレス、自動運転、心拍や心電図の検知、ドローンによる地形データの採取など、今まで思いもしなかった場所や領域でデジタル化が進んでいます。企業でも、パソコンの繰り返し作業の自動化、マウスのドラッグやクリックだけでプログラムが作れるノーコードツールの利用など、一歩進んだデジタル化が目立ってきました。デジタル化による作業の効率化、新たな連携のおかげで、空いている時間に個人がいつでも働けるフードデリバリーといった新たなビジネスモデルも生まれました。これからもIoT機器や5Gネットワークの浸透、AIの発展で、もっとデジタル化の範囲は広がるでしょう。
1-2. テレワークなど、デジタル活用で働き方も多様に
デジタル化の進展によって働き方や起業の面でも大きな変化が起きています。特に、新型コロナウイルスによるパンデミックの影響で、テレワークの導入が急速に進んだことが挙げられます。自宅での業務が可能な職種においては、テレワークが定着し、柔軟な働き方が一般的になってきています。
また、IT分野では、クラウドサービスが普及し、企業のITインフラの自由度が増してきました。これにより、大きな設備を自前で持たなくても、クラウドサービスを活用することで、柔軟かつ効率的なソリューションが提供されるようになりました。そのため、スタートアップ企業にとっても、簡単にビジネスを展開することが可能になり、アイデアに優れた新しいビジネスモデルが次々と生まれています。
しかし、テレワークやクラウドサービスなどのデジタル技術を活用することにより、様々な課題が浮き彫りになっています。例えば、情報セキュリティの確保や、リモートワークにおけるコミュニケーションの課題、テクノロジーに精通していない人々への教育などがあります。今後も、これらの課題に対応しながら、柔軟で効率的な働き方や起業の形態が進化していくことが期待されます。
1-3. デジタル化進展の一方でIT人材が不足している
働き方や企業の動向にまで影響を与えるほどデジタルが社会に浸透してきた結果、デジタルを扱える人材の不足が叫ばれています。2030年の日本のIT人材不足は最大約79万人、最低でも約41万人と推計されています(※2)。また日本の特徴として、IT人材の多くがIT企業に多いため、ITによるデジタル化を推進したいと考えている国内事業会社の約8割がIT人材の質・量に不足感を感じている状況となっています(※3)。このため国も、2022年度からの5年間で230万人のIT人材(デジタル人材)の育成を目指しています(※4)。
| ■参照 / 出典 |
|---|
| ※3:IPA「DX白書 2021」(P.009、図表13-2) https://www.ipa.go.jp/publish/wp-dx/dx-2021.html ※4:デジタル田園都市国家構想担当大臣「デジタル人材の育成・確保に向けて」 https://www.cas.go.jp/jp/seisaku/digital_denen/dai3/siryou7.pdf |
2. 組織におけるセキュリティ人材の確保
DXの進展に伴い、企業内のあらゆる部署がサイバー攻撃のターゲットになるため、経営者が全社的なセキュリティ意識を醸成し、適切な予算や人員を配分してセキュリティ体制を確立することが重要です。さらに、セキュリティ人材には、最新情報の収集と分析スキル、早期発見や迅速な対応能力が求められるため、経営者はセキュリティ人材の育成や雇用に注力する必要があります。
2-1. 経営者のリーダーシップのもとに、セキュリティ機能と体制の構築が必要
サイバー攻撃は、IoT機器やクラウドサービス、オープンソースシステム、そして関連会社など、企業のあらゆる部署を狙っています。これに対し、各部署に能動的な対応ができるスキルを持つ人材を配置し、様々な部門や組織の人材からなるチームを構成して、関連部署同士が緊密に連携できる体制の構築が必要です。
体制の構築には経営者のリーダーシップが必要であり、セキュリティ統括機能の設置も有効です。構築した体制のもと、具体的な対応は現場が主体的に行うべきです。サイバー攻撃は経営リスクにも直結するため、経営者のセキュリティ対策に向けたリーダーシップは重要です。
2-2. セキュリティ人材
全社的にセキュリティに関わる要員は、すべてセキュリティ人材といえます。しかしリーダーシップと、ソフトウェアのアップデート作業では必要な知見・スキルが異なります。
ここではセキュリティ対策の業務や役割を担う人材を「セキュリティ人材」とし、もう少し詳細に分類します。分類は「ITSS+(セキュリティ領域)」(※5)に示された「セキュリティ経営(CISO)」「セキュリティ監査」「セキュリティ統括」「脆弱性診断・ペネトレーションテスト」「セキュリティ監視・運用」「セキュリティ調査分析・研究開発」になります。
分類ごとの担当業務は以下の通りです。
| 分類名 | 担当業務 |
|---|---|
| セキュリティ経営(CISO) | セキュリティリスクのみならず経営リスクも勘案する最高責任者。 |
| セキュリティ監査 | 情報セキュリティ監査の計画立案、監査実施、報告書の作成。監査結果の被監査主体への報告等を担う。 |
| セキュリティ統括 | 企業や団体の情報セキュリティプログラムに係る、マネジメント、設計、監督を行う。 |
| 脆弱性診断・ペネトレーションテスト | ネットワーク上の脆弱性を特定、報告、管理する。そのため業務を理解し、実践的なペネトレーションテストを行えるサイバーセキュリティプロフェッショナル。 |
| セキュリティ監視・運用 | ネットワークとホストの監視、トラフィック分析、侵入検知を行い、セキュリティインシデントを検出、対応、および解決を目指す。 |
| セキュリティ調査分析・研究開発 | ネットワークとデバイスの振る舞いを分析し、継続的なセキュリティモニタリングを通して、サイバーセキュリティの脅威を検出、防止、対処するサイバーセキュリティアナリスト。デジタルフォレンジックを行う場合もある。 |
必要とされるスキルは以下の通りです(※6)。
| 分類名 | 担当業務 |
|---|---|
|
セキュリティ経営(CISO) セキュリティ監査 セキュリティ統括 |
「セキュリティマネジメント」のスキルが期待される。 セキュリティマネジメントとは、情報セキュリティマネ ジメントの推進又は支援に関するスキルである。セキュリティ方針の策定、リスク基準の設定、監査、セキュリティ動向や事例の収集・分析などを行えることとされている。 |
|
脆弱性診断・ペネトレーションテスト セキュリティ監視・運用 セキュリティ調査分析・研究開発 |
情報システムの企画・設計・開発・運用におけるセキュリティ確保・推進・支援である「システムセキュリティ」が期待されている。 システムセキュリティとは、システムに対するセキュリティ要件の提言や、調達した製品やサービスへのセキュアな設定等に関するスキルである。認証、アクセス制御、暗号化、ログの取得、セッション管理などセキュリティ要件や、ネットワーク機器やサーバーの特徴に関する知識が必要となる。 |
| ■参照 / 出典 |
|---|
| ※5:ITSS+(セキュリティ領域)/ITSSはIT Skill Standardであり、国が定めたITスキルのレベルです。レベルは1から7まであり、1は最低限必要なIT基礎知識、7は先進的なサービスの開拓や市場化をリードした経験と実績を有すとされています。対してITSS+は、ITSS策定後、大きくITサービスが拡大・増進したことに合わせ、IT人材のさらなるスキルアップ、学び直しのために策定された定義です。4つの領域「データサイエンス領域」「アジャイル領域」「IoTソリューション領域」「セキュリティ領域」において必要なスキルが定義づけられています。 ITSS+(セキュリティ領域)に関する情報は、以下のIPAサイトからダウンロードできます。 https://www.ipa.go.jp/jinzai/itss/itssplus.html#section1-3 ※6:それぞれのスキルに関するシラバスは、以下に詳細な記載があります。 情報処理安全確保支援士 試験(レベル4)シラバス https://www.jitec.ipa.go.jp/1_13download/syllabus_sc_ver2_0.pdf |
2-3. プラス・セキュリティ人材
デジタル技術が浸透する中で、組織全体にセキュリティ対策や意識が浸透する必要があります。すべての部署がサイバー攻撃の標的となるため、経営者は予算や人員を適切に配分し、全社的なセキュリティ意識の醸成に取り組むことが必要です。さらに、業務上セキュリティを指示されていない部署でも、セキュリティ対策が不十分な場合に問題が発生する可能性があるため、IPAでは「プラス・セキュリティ」という概念を導入し、全ての部署にセキュリティ意識を浸透させる必要があるとしています。
以下のような業務において、プラス・セキュリティが重要です。
・自社DX展開において、セキュリティのリスクアセスメントを行う担当者
・アプリケーション開発で脆弱性に留意する担当者
・工場のOTシステムの保安対策を行う担当者
・入退室管理用の指紋認証システム管理を行う担当者(総務部の場合もあり)
なお、プラス・セキュリティを担う人材を新たに確保する必要はありません。現在、セキュリティ業務を専門としない人材に、セキュリティの知識やスキルを習得してもらうことが、プラス・セキュリティの取り組みです。また、プラス・セキュリティという特別なセキュリティ知識が存在するわけではありません。既存のセキュリティ知識をもとに習得すれば良いのです。
プラス・セキュリティの取り組みは、IT技術以外でも重要です。セキュリティに関する知識には、情報保護の方法と法律との関係、ステークホルダーと信頼を醸成するための情報提供のあり方など、法務や広報といった業務の人材にも有効なものが多いからです。
2-4. セキュリティ人材とプラス・セキュリティとの連携
自らの業務としてセキュリティ対策を実施する場合、より高度な専門性が必要になり、プラス・セキュリティの知識やスキルだけでは足りないこともあるでしょう。このような場合、セキュリティ人材と連携できれば、的確に業務を実行できます。プラス・セキュリティ人材の業務別に、セキュリティ人材との連携について紹介します。
| 業務 | 連携先 | 連携内容 |
|---|---|---|
| デジタルシステムストラテジー(デジタルインフラやDX等の施策を実施する時) | セキュリティ統括 | 次期デジタル戦略立案時のセキュリティ体制を検討できる。 |
| デジタルプロダクト開発(デジタルソリューションの開発等を行う時) | セキュリティ統括 | 開発環境の更新に関してセキュリティを意識した改変が可能。 |
| 脆弱性診断・ペネトレーションテスト | テスト時の脆弱性診断実施を容易に行える。 | |
| セキュリティ調査分析・研究開発 | 脆弱性情報を共有でき、防止策につながる。 | |
| 経営リスクマネジメント(経営リスクに関する認知、対応策の立案と実施を行う時) | セキュリティ統括 | クラウドアプリを新規に利用する場合、アクセス制御方法などを協議できる。 |
| セキュリティ監査 | 監査で指摘される事項に対し、どのような対応を取れば良いか協議できる。 | |
| 経営リスクマネジメント(経営リスクに関する認知、対応策の立案と実施を行う時) | セキュリティ統括 | サイバーセキュリティ保険加入に関する協議を効果的に行える。 |
| 法務(通常の法務業務を行う時) | セキュリティ統括 | 法規改正への対応方針についての協議や契約等における対応をセキュリティの観点から検討できる。 |
| 事業ドメイン<戦略・企画・調達>(新たな戦略等に関する一連の業務に対して) | セキュリティ統括 | 新規サービスを行う場合の、サイバーリスクを評価できる。 |
| 事業ドメイン<生産現場・事業所管理>(既存業務の実践に対して) | セキュリティ統括 | インシデント発生に備えた訓練などを相談でき、共同実施も行える。 |
3. 情報セキュリティの自衛力を高めるには
情報セキュリティ対策を確実なものにするには、「自衛力」が必要です。自衛力とは、サイバー攻撃に対する堅牢性の維持、脆弱性の早期発見、初動対応の重要性などから構成されます。
自社のセキュリティ対策の状況は、今どうなっているのでしょうか。「IDやパスワードは12文字以上を推奨」「迷惑・不正メールを検知するシステムを入れている」などの対策を実施しているでしょう。しかしどこまで対策すれば良いのか、判断が難しいところです。
IPAでは「情報セキュリティ対策支援サイト(※7)」を用意し、対策を「知りたい」「学びたい」「始めたい」「続けたい」方のために有用な情報を提供しています。同サイトにある「5分でできる!情報セキュリティ自社診断」は、設問に答えるだけで自社のセキュリティ状況を判断できます。
ここから自社に足りない部分を理解し、その後は同サイトに掲載されている「中小企業の情報セキュリティ対策のガイドライン(第3版)」を利用すれば、具体的なセキュリティ戦略の立案に進むことができます。本ガイドラインには「情報セキュリティ5か条」など、戦略のコアになるような情報も掲載されています。
| ■参照 / 出典 |
|---|
| ※7:情報セキュリティ対策支援サイト(IPA) https://security-shien.ipa.go.jp/index.html |
3-2. 情報セキュリティ経営の手順
自社のセキュリティ対策を検討し実行するには、以下の手順がおすすめです。
①まずは、簡単にできることから始める。例えば、OSやソフトウェアの更新を常に最新に保つことを徹底するなど。
②次に、自社のセキュリティ戦略の基本方針をまとめた簡潔な書類を作成し、従業員や関係者に配布する。また、「5分でできる!自社診断」を行い、自社に足りない点を洗い出し、実行すべき対策を明確にする。
③対策が決まったら、「情報セキュリティハンドブック(ひな形)」を利用して、従業員に実行すべき項目を周知徹底する。
さらに、「中小企業の情報セキュリティ対策のガイドライン(第3版)」(※8)を参考にすることをおすすめします。このガイドラインには、情報セキュリティ5か条やセキュリティハンドブックの情報も含まれています。これらの手順により、自社のセキュリティ対策を段階的に改善し、より確かなものにすることができます。
| ■参照 / 出典 |
|---|
| ※8:中小企業の情報セキュリティ対策のガイドライン(第3版) https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055520.pdf |
3-3. 人材育成
先に挙げたITSS+によると、「セキュリティ統括」と「セキュリティ監視・運用」分野に対応可能なセキュリティ人材が特に重要、としています。
セキュリティ統括を担う人材は、企業のビジネスニーズや目標に沿ったセキュリティ戦略を策定し、情報資産を適切に保護するためのリスク管理を行います。そのためには、セキュリティに関する幅広い知識と経験が必要となります。また、経営層と技術者層とのコミュニケーションを円滑に行い、関係部門との協調を促進することも大切です。一人で対応しきれない場合は、マネジメント能力を持ったシニア人材と技術知識のある若手のペアで対応する例もあります。情報処理安全確保支援士やIPAの中核人材育成プログラムの修了生など、セキュリティに関する広い知識やスキル、経験を持つ人材が、セキュリティ統括の役割には適しています。
セキュリティ監視・運用では、正確かつ迅速なインシデント対応が求められます。人材育成のためには、トレーニングやハンズオンなどの実践的な研修を受けることが必要です。また、最新の脅威や攻撃手法に関する情報を常に追跡し、適切な対策を行うことが求められます。インシデントの発生や攻撃の検知については、セキュリティ技術やツールの知識も重要です。さらに、チーム内でのコミュニケーションや報告、調整能力も必要です。これらのスキルや知識を身につけるためには、業界団体や専門機関が開催する研修やセミナー、トレーニングプログラムを活用することが有益でしょう。
サイバーセキュリティイニシアティブジャパン(以下、CSIJ)※9は、セキュリティのプロ集団によるサイバーセキュリティ対策の水準向上を支援する任意団体で、人材育成にも注力しています。CSIJでは現場の需要が高いロール(役割)をピックアップし、その分野に必要なスキルを明確にした上で、市場の人材育成コンサルティングサービスを利用するなどして人材育成を行います。ロールは「Web/NW脆弱性診断士」「IoT脆弱性診断士」「情報システム・ペネトレーションテスター」などがあり、それぞれで必要なスキルと学びの順番などを推奨しているので、効率的に人材を育成できます。
| ■参照 / 出典 |
|---|
| ※9:CSIJのウェブサイト https://www.csi-japan.org/ |
情報セキュリティ・サイバーセキュリティ教育のご相談はGSXに
警視庁によると、令和2年には個人・企業を問わず9,519件のサイバー犯罪が検挙され、、令和3年に企業を狙ったランサムウェアは146件を数えました。従業員50人、年商10億円の製造業がランサムウェアで生産ラインが1日止まった場合、約1040万円という被害額を、保険会社が試算しています。
企業は自社内にセキュリティ人材を配し、セキュリティ戦略の立案、具体策の構築、その運用を行うのが当たり前になってきました。
グローバルセキュリティエキスパート株式会社(GSX)は、情報セキュリティ・サイバーセキュリティに特化した専門会社であり、セキュリティ教育を得意としています。
人材育成のみならず、不測の事態への対応力を強化できるインシデントシミュレーションを行う「インシデント対応訓練サービス」、サイバー攻撃に迅速に対応できるチーム育成の支援を行う「CSIRT構築運用支援サービス」など企業のセキュリティ体質強化に向けたサービスも用意しています。
「セキュリティの重要性は理解しているが、専任は配置できない」といった企業に向けては、よろず相談ができる「vCISO安心相談サービス(有償:15,000円/月から)」がおすすめです。「セキュリティ対策はまず何から手をつければいいでしょうか?」といった悩みや、「従業員がPCを紛失したのだが、世間に公表した方がよいか?」などの難しい対処を相談することができます。
セキュリティに悩みがある、今の体制で問題ないか疑問がある、自衛力を強化したい等とお考えの方は、GSXにぜひご相談ください。
セキュリスト(SecuriST)® シリーズ
https://www.gsx.co.jp/services/securitylearning/securist/
EC-Council公式トレーニング
https://www.gsx.co.jp/services/securitylearning/eccouncil/
また、プロフェッショナル人材活用としてセキュリティSESも用意しています。
セキュリティSES
https://www.gsx.co.jp/services/incidentavoidance/itsolutions.html#a_1
関連情報
ゼロトラストとは?必要なソリューションや運用のポイントも
情報セキュリティの考え方として注目されているゼロトラストについて、概要から、実現のためのソリューション、運用のポイントまでを詳しく解説します。自社の情報セキュリティを強固なものにしたい方はぜひ参考にしてください。
エンジニア教育が重要視されている理由は?実施の課題やポイントも
ITエンジニアやセキュリティエンジニアは慢性的な人手不足に陥っており、エンジニア教育の必要性も非常に高まっています。当記事では、エンジニア教育が重要視される理由や、エンジニア教育における課題・教育方法・成功ポイントについて徹底解説しています。
クラウドセキュリティとは?クラウドの種類ごとのリスク・対策方法も
ITエンジニアやセキュリティエンジニアは慢性的な人手不足に陥っており、エンジニア教育の必要性も非常に高まっています。当記事では、エンジニア教育が重要視される理由や、エンジニア教育における課題・教育方法・成功ポイントについて徹底解説しています。
セミナー・イベント
【トレノケート/GSX共催ウェビナー】
EC-Council公式トレーニングコース「CCT」サービスローンチ オンラインイベント
~リスキリング転換やプラス・セキュリティ人材育成する上で、セキュリティの「礎」を築くためには~
開催日時:2023年3月14日(火)10時30分~11時50分
【GSX主催ウェビナー】
~サプライチェーン上のセキュリティリスクを可視化して対処する~
サプライチェーンのリスク定量評価と従業員教育の手法とは?
開催日時:2023年2月27日(月)14時00分~14時50分
【GSX主催ウェビナー】