企業の事業戦略に合わせたセキュリティ人財育成の必要性
企業の事業戦略を成功に導くには、情報技術(IT)は欠かせない重要な要素です。しかしITの重要度に比例して、企業のセキュリティを脅かすサイバー攻撃も増えています。今や事業戦略には、サイバー攻撃に対応できる「セキュリティ人財」は必須の存在と言えるでしょう。本記事では、自社の事業戦略に適したセキュリティ人財やその育成方法を紹介します。
目次
1. セキュリティ人財の重要性
ITの技術進化や利用シーンの拡大は目覚ましく、同時にセキュリティインシデントの数や種類も増えています。そのためセキュリティのニーズも多様化し、改めてセキュリティ人財の存在が重要になってきました。
1-1. 組織を守るセキュリティ人財とは
企業の事業戦略目標達成には、まず企業という組織そのものをサイバー攻撃から守り、セキュリティを維持する必要があります。組織を守るセキュリティ人財は、複雑かつ多様化するサイバー攻撃の専門知識を有して、組織のセキュリティである機密保持の保護、法規制やコンプライアンス遵守、社会との信頼の維持、ビジネスの継続性といった分野への知見が求められます。
重要なのはセキュリティの課題を、コストやリソースといった経営の目線で見つめつつ、セキュリティの専門家として必要な対策を提案できることです。技術や知識だけでなく、経営的なセンスも発揮することが、今後のセキュリティ人財に求められます。
1-2. セキュリティ対策の現状と企業における課題
企業が抱えるセキュリティの主な課題とは、企業としての専門知識の不足、従業員のセキュリティ意識と教育の低迷、経営層のリーダーシップ欠如による低い予算と優先順位などが挙げられます。企業にセキュリティ専門家が少なければ効果的な対策を打てませんし、従業員の教育低迷は組織全体のセキュリティのリスク管理に支障をきたします。予算や優先順位が適切でなければ、効果あるセキュリティ施策の実施は困難になります。こうした課題が社内で見られるようなら、事業戦略の障害にもつながりますので、ぜひ解消を目指しましょう。
1-3. セキュリティ教育を提供する意義
セキュリティ教育は、誰にとっても大切ですが、ITを使うユーザ企業と、ITサービスを提供するIT・SIer・SES企業とではメリットが異なりますし、教育を受ける人(セキュリティ人財を目指す本人)、教育を受けさせる人(セキュリティ人財が必要な経営層、管理職、人事部門等)という立場の違いでも異なります。それぞれのメリットを以下に示しました。
ユーザ企業 | IT・SIer・SES企業 | |
---|---|---|
教育を受けさせる人 | ・自社のセキュリティ対処能力が向上する。 ・セキュリティに関する業界標準の遵守に役立つ。 ・自社の事業戦略を効果的かつスピーディーに推進できる。 |
・自社のセキュリティ対処能力が向上する。 ・高品質のセキュリティサービスの提供が可能になるので受注単価を上げることができる。 ・セキュリティへの市場ニーズの高まりから、自社の市場価値向上につながる。 ・セキュリティに関する業界標準の遵守に役立つ。 |
教育を受ける人 | ・セキュリティ知識の取得に役立つ。 ・セキュリティ有識者への市場ニーズの高さから、自身の市場価値向上につながる。 ・資格等を取得できれば、個人の自信が高まるし、他者からの信頼も得られる。 |
・セキュリティ知識の取得に役立つ。 ・セキュリティ有識者への市場ニーズの高さから、自身の市場価値向上につながる。 ・資格等を取得できれば、さまざまな職種を選択することが可能になる。多様なキャリアパスにつながる。 |
2. セキュリティ人財育成に関わる主要な関係者
優秀なセキュリティ人財の育成は、対象者の資質も重要ですが、支援環境も大切です。ここではセキュリティ人財に適した資質や、取り巻く周囲の人たちには何ができるかを考えます。
2-1. セキュリティ人財を目指す個人
セキュリティ人財を目指す個人には、ビジョンとモチベーションが必要です。ビジョンがあれば、セキュリティ分野における自分の目標設定に役立ちます。組織のセキュリティを維持するという企業のビジョンに共感することも大切です。
モチベーションは、セキュリティのための学習や、専門性の獲得に役立ちます。セキュリティを学習してスキルを上げれば自身の市場価値が向上しますし、専門性を磨き企業のビジョン達成に寄与できれば社会的な満足も得られます。自身の向上や満足は、モチベーションそのものです。ビジョンとモチベーションを維持できれば、セキュリティの専門家として成長でき、企業や社会に貢献できるようになります。
2-2. 管理職と人事担当
管理職と人事担当者は、セキュリティ人財を目指す個人の創出と育成に重要な役割を担っています。具体的には、組織内に育成のための適切な制度を整備し、ビジョンを共有し、モチベーションにつながる仕組みを用意します。個人のやる気を受け止め、効率よく育成できる環境を用意し、個人の成長を見守り、時には叱咤激励するなど、個人の資質に合わせた臨機応変な対応が期待されます。
特に重要なのは、個人がセキュリティのスキルを身につけるインセンティブを感じようにすることです。最初の歯車を回すのは、インセンティブです。回り出せば、環境や仕組みが、その勢いを加速するでしょう。
2-3. 経営者
デジタルトランスフォーメーション(DX)に代表されるIT変革の実践には、セキュリティは不可欠です。もしセキュリティに綻びが生じれば、せっかくの事業計画も水の泡になってしまいます。経営者は、企業におけるセキュリティがコア・コンピタンスだと認識することが重要です。
その上で、事業内容とセキュリティの関連付けや、リスクマネジメントを理解すれば、経営層自身がセキュリティリスクを自分ごと化しやすくなるでしょう。自分ごとになれば、社員にも本気度が伝わりますし、効果的な人財育成につながるはずです。
2-4. 外部の専門家
自社に必要なセキュリティ体制を明確にした時、もし人財不足ならば、外部からのサポートを受けることも視野に入れておきましょう。外部には、セキュリティサービス、コンサルティング支援、SESによるセキュリティ要員の常駐等、多様な手段が存在しています。
外部の力を利用して動き出した後、やはり内部で保持すべきスキルが明確になったら、外部スキルを徐々に内部のセキュリティ人財に移転してはどうでしょう。また外部には専門的なスキル教育を提供する機関もありますから、保持すべきスキルを自社のセキュリティ人財に学ばせる施策も有効です。
機関に依頼して教育を行う場合は、業務の中で学ばせるのがポイントです。その方が、動機が明確になり、学習効果も上がります。内部で保持する必要が薄いスキル分野については、外部に依頼したままでも良いでしょう。
3. セキュリティ人財育成の手法と企業の戦略
企業戦略に適したセキュリティ人財の育成には、現在いろいろな手法があります。自社の戦略を考慮して、適した手法を選びましょう。他にも育成には、経営陣のリーダーシップや周囲の理解も大切ですし、コツがある点も忘れないようにしましょう。
3-1. セキュリティ人財育成の手法
人財育成の初期段階では、既存のセキュリティサービスやセキュリティ・コンサルティングによる支援を活用するのが効果的です。経験豊富なサービスやコンサルティングの存在は、自社のセキュリティとセキュリティ人財育成の環境を醸成してくれます。SES(システムエンジニアリングサービス)のセキュリティ要員を自社に常駐させ、要員が有するスキルを、自社の人財に移転させる方法も効果的です。
こうした人を介したセキュリティスキルの取得以外、セキュリティの専門教育機関による、セキュリティ関連知識の深掘りや実務を伴った知識取得も、セキュリティ人財に育成において重要な要素です。
3-2. 経営層の理解とリーダーシップ
セキュリティ人財は主に現場で育成されますが、人財育成のためには経営層の理解とリーダーシップも重要です。理解に向けては、経営層向けのセキュリティ勉強会等は効果があります。勉強会では「注意しないと危ないですよ」と伝えるだけではなく、セキュリティと事業内容の関連付けや、リスクマネジメントにおけるセキュリティの捉え方を示します。こうした学びは、経営層にセキュリティリスクの自分ごと化を促せます。
自分ごと化できると、社員にも本気度が伝わり、効果的な人財育成が可能になります。さらにセキュリティ投資の費用対効果を明確に理解できるようになれば、人財育成のためのインセンティブ設定にも的確なリーダーシップを期待できます。
3-3. セキュリティ人財の将来像と育成のコツ
セキュリティ人財は企業のセキュリティを管理・維持するのが主たる業務ですが、企業戦略の存在を考慮するなら、戦略を十二分に理解した上でリスク管理を目指す必要があります。つまり技術や知識だけでなく、経営レベルのリスクマネジメントの視点で、セキュリティについて事業責任者や経営者と話ができることが望ましいと思われます。
そのための有益な手段として、経営面の一部でリーダーシップを取れるCISO(Chief Information Security Officer:最高情報セキュリティ責任者)やCRO(Chief Risk Officer:最高リスク管理責任者)などの指導的なポジションを社内に設定し、セキュリティ人財がそこを目指すキャリアパスを描けるようにすべきです。パスを用意できれば、新たなセキュリティテクノロジーを取得するといったモチベーションを持ちやすくなります。
4. サイバーセキュリティ教育カンパニーのGSXが提供する教育マップ
GSXは、情報セキュリティ・サイバーセキュリティに特化した専門会社です。セキュリティコンサルティングや脆弱性診断、サイバーセキュリティソリューションに加え、各社それぞれの企業戦略に合わせた資格を取得できる、セキュリティ教育サービスを提供しています。
4-1. 対策領域×スキルレベルの教育プログラム
事業戦略に沿って特定の領域の人材を重点的に育成することや、社員のキャリアプランに合わせた教育が必要です。
以下に、日本のセキュリティ業界で仕事をする視点でおすすめの資格と、その位置づけをご紹介します。難易度を縦軸に、マネジメント向けか技術者向けかを横軸にしたマップに落とすと、次のようになります。
難易度には試験自体の難しさ以外に、実務経験が求められるなどの要素もあり、本来一概にはいえません。ご紹介しているマップは、資格取得をはじめとして様々なセキュリティサービスを提供する、GSX独自の視点による評価となります。
GSXが提供する多様なセキュリティ教育サービスのうち、上記に関連して特に、企業のセキュリティ人財育成におススメのCCT、CND、CISSPについて紹介します。
4-2. 初級:CCT(認定サイバーセキュリティ技術者)
IT/セキュリティのスキルレベルが初級の方におすすめの資格が、CCT(Certified Cybersecuity Technician、認定サイバーセキュリティ技術者)です。世界的な教育機関であるEC-Council(電子商取引コンサルタント国際評議会)のトレーニングメニューを含みます。
資格試験には、情報セキュリティの脅威と脆弱性、情報セキュリティ攻撃、ネットワークセキュリティの基礎、識別・認証・認可など22の項目があります。セキュリティの基礎的な理解を深めたい方、セキュリティ分野でキャリアをスタートさせたい方に向いています。
GSXでは、本資格の取得に向けて、基礎を3日間で網羅的に習得できる効率の高い学習コースを用意しています。本コースは、Webブラウザから利用できる仮想演習環境を有しており、講座受講開始後6ヶ月間、利用できます。
4-3. 中級:CND(認定ネットワークディフェンダー)
IT/セキュリティのスキルレベルが中級の方におすすめの資格が、CND(Certified Network Defender、認定ネットワークディフェンダー)です。前述のCCT同様、EC-Councilのトレーニングメニューを含み、ネットワークセキュリティ対策の知識を包括的に学べます。
資格試験は、実効性のある防御設計と運用、セキュリティソリューションの設定・運用、適正なポリシー設計など、実際の現場を想定し内容です。CNDを取得すれば、さまざまな業界で、セキュリティアナリスト、セキュリティエンジニア、セキュリティコンサルタントといった職種で活躍できます。
GSXでは、本資格の取得に向けて、ネットワークエンジニアの2~3年程度のご経験を有する方を対象に、電子テキスト、演習環境、認定資格試験バウチャーを含む3日間の学習コースを用意しています。
4-4. マネジメント向け:CISSP(認定情報システムセキュリティプロフェッショナル)
IT/セキュリティのスキルレベルが高い方におすすめの資格がCISSP (Certified Information Systems Security Professional)です。国際的な権威の認定資格で、現在世界で15,000名を超えるCISSP資格保持者が、各国政府機関やグローバル企業で活躍しています。取得には経験と知識が必要で、合格するにはセキュリティ関連の実務経験が5年以上必要とされています。
資格試験は、セキュリティとリスクマネジメント、セキュリティのアーキテクチャとエンジニアリング、通信とネットワークセキュリティと広範囲に渡っています。CISSPを取得すれば、エンタープライズ環境で活躍できるセキュリティ専門家にとして認められます。合格率の公式発表はありませんが、約20%と言われています。
GSXでは、本資格取得に向けて、セキュリティとリスクマネジメント、資産のセキュリティ、セキュリティのアーキテクチャとエンジニアリングといった8試験項目を、本国ISC2認定の日本語教師によるオンラインライブ配信講義5日間の学習コースを用意しています。講義開催後180日間は講義の録画配信をしています。
5. まとめ「事業戦略に適したセキュリティ人財の育成を」
脆弱性診断やセキュリティインシデント対応などを行うリスクハンティングチームを率いられているNEC、園田 健太郎様は、「『ウチは狙われるような大きな会社じゃない』という声を聞きますが、サイバー攻撃のリスクと企業規模は関係ありません」と述べられています。企業規模に関わらず、セキュリティを重要視した方が良いということです。
「対談【GSX×NEC×日立ソリューションズ(前編)】 今の時代に求められる「セキュリティ人財」とは(2022/3/28掲載)」より
https://future.hitachi-solutions.co.jp/article_action/024.html
ホワイトハッカーをグループ内で育成されている日立ソリューションズ、米光 一也様は、適材適所の人財配置は今後の流れと述べ「セキュリティ人財全体としては、国・社会・企業を守るトップセキュリティエンジニアと、国内外のセキュリティ製品・サービスを上手に使って、安全運用を支えるセキュリティコンサルタントの二極化が進んでいくと考えています」と述べられています。
「対談【GSX×NEC×日立ソリューションズ(後編)】 セキュリティ人財がサステナブルな未来をつくる(2022/3/31掲載)」より
https://future.hitachi-solutions.co.jp/article_action/027.html
これからのセキュリティ人財は、IT領域の技術だけでなく、「技術」と「マネジメント」の二刀流、つまり企業経営を含めたニーズを理解することが重要で、育成においても戦略に適した方法が重要になってきます。GSXでは、多様なセキュリティニーズを考慮し、戦略に適した多様な学習コースを用意しております。セキュリティ人財育成に関してご要望やご質問等があれば、どうぞご気軽にご相談ください。