サイバーセキュリティ人材不足を解消する「セキュリティSES」という選択肢

2024年4月配信（2024年5月31日公開） Column

サイバー攻撃は年々高度化・複雑化しており、企業や組織を守るためのサイバーセキュリティ対策は必須です。しかし、セキュリティ人材の慢性的な不足が深刻な課題となっています。組織のセキュリティを万全に保つには、高い専門性を持つ人材の確保が重要ですが、そうした人材を自社で育成・維持するのは容易ではありません。

このような状況下で注目されているのが、サイバーセキュリティのアウトソーシングサービスである「セキュリティSES」です。専門企業がセキュリティ人材リソースを企業へ提供し、関連業務を支援します。本記事では、セキュリティSESが求められる背景や、そのサービス内容、活用メリットについて解説します。

1. サイバーセキュリティ人材不足の背景

サイバーセキュリティ人材不足が企業の課題となっています。そこには、サイバー攻撃の増加と複雑化、デジタルトランスフォーメーション（DX）の進展、専門知識の必要性、教育と人材育成の遅れ、企業の意識の問題、人材の流動性の高さなど、様々な要因が絡み合っています。

1-1. サイバー攻撃の増加と複雑化

サイバー攻撃の増加と複雑化は、近年のビジネス環境における重大な課題となっています。特に、ランサムウェア攻撃は企業や組織に深刻な脅威をもたらし、Ransomware as a Service（RaaS）の登場によって、犯罪組織及び関係する犯罪者のネットワークによるビジネスモデルへと進化しています。これにより、専門知識がなくてもランサムウェア攻撃が容易に行えるようになり、脅威が拡大しています。また、フィッシングや標的型攻撃による、偽のメールやウェブサイトを通じた個人情報の詐取なども、多くの被害を引き起こしています。

1-2. DXの加速

2020年に起きた新型コロナウイルス感染症の大流行は、働き方やビジネスの構造に大きな変化をもたらしました。特に、リモートワークの普及やオンラインでのサービス提供が加速したため、企業はこれまでの運営方法を見直し、DXを推進することで、ビジネスモデルの変革に取り組んでいます。この過程で、物理的なオフィスから離れ、分散した環境で業務が行われるようになったことで、企業のデータやシステムの守り方が変化し、セキュリティ対策の重要性も高まっていきました。

リモートワークの導入は、従業員が自宅や外出先から企業のネットワークやクラウドサービスにアクセスする機会を増やし、外部からの攻撃に対抗するだけでは大切な情報資産を守れない状況が拡大しました。また、オンラインでのサービスの増加は、顧客データの取り扱いや取引の安全性を保証する必要性を高めています。さらに、脆弱性対策を怠ったネットワーク機器が狙われるなどのインシデントも多発しました。このようなサイバーセキュリティリスクに対処するため、ネットワークアクセスをすべて信用しないゼロトラストに基づく対策の実装と、それを支える人材の確保が不可欠となっています。

1-3. 専門知識の必要性

サイバーセキュリティは現代社会において不可欠で、専門知識や技術が求められる分野です。技術の進歩に伴い、クラウド、モバイル、IoTの導入によってセキュリティ課題が増加しており、これらの技術環境におけるリスク分析や対策立案には深い専門知識が必要となります。

同時に、コンプライアンスも重要です。個人情報保護法や各種業界ガイドラインなど、新しく施行される法令やルールを理解し、適切に対応することが求められています。さらに、サイバー攻撃を受けた際には、緊急対応や原因調査、被害の拡大防止策の立案など、攻撃を想定した高度なインシデント対応力も不可欠となります。これらの能力を身に付けるためには、やはり専門教育を受けた人材の確保が不可欠です。

1-4. 教育と育成の遅れ

前述の通り、サイバーセキュリティは、専門性の高さと技術や市場環境の変化の激しさから、体系的かつ実践的な教育プログラムの不足、現場で即戦力となる人材の育成が難しい分野です。技術の進歩や新たな攻撃手法、法令に対応するためには継続的なトレーニングプログラムや実践の場が必要になりますが、そのような体制を整え、専門人材向けのキャリアプランを確立している企業はまだ少ないです。この状況は、結果としてスキル不足を引き起こしています。サイバーセキュリティの分野での人材不足は、企業にとって大きな課題でです。

1-5. 企業の意識の問題

サイバーセキュリティは重要ですが、企業によってはその認識が不足している場合があります。そのような組織では、セキュリティ人材の育成や予算配分が後手に回りがちで、この意識の低さが専門のセキュリティ人材不足につながります。結果として、現代のサイバー脅威に適切に対応するための知識やスキルが組織内に足りない状況を生み出しています。さらに、重大なインシデントが起きる想定ができず、組織が適切に対応できないリスクも高まっています。この問題に対処するためには、セキュリティの重要性に対する組織全体の意識を高める必要があります。

1-6. 人材の流動性

セキュリティ人材の需要が高まっている一方で、十分な人材を確保するのが難しい状況です。そのため、人材の流動性も高まっています。価値の高い優秀な人材ほど魅力的なオファーを受ける傾向にあり、自社でセキュリティ人材の育成に多額の投資をしても、それらの人材が定着せずに他社へ流出するリスクがあるのです。

2. セキュリティSESとは

セキュリティSESとは、セキュリティに特化したシステムエンジニアリングサービス（SES）のことです。一般的なSESビジネスでは、IT技術者を顧客企業に派遣し、ソフトウェア開発やシステム構築、保守運用などの業務を支援してきましたが、セキュリティSESではサイバーセキュリティの専門知識を持つ技術者を顧客企業に送り込み、人的リソースが不足する情報セキュリティに関する業務を支援します。

具体的な支援範囲としては、企業の脅威分析、リスク評価、セキュリティ対策の立案・実装、ネットワークやシステムの監視、インシデント発生時の初動対応や原因調査などが含まれます。また、定期的なセキュリティ監査や脆弱性診断、従業員教育も手掛けます。

2-1. セキュリティSESのメリット

セキュリティSESのメリットは、高度なサイバーセキュリティ人材を必要に応じて柔軟に導入できる点です。企業のニーズに合わせて、必要なタイミングで、必要な期間だけ適切なスキルセットを持つセキュリティ専門家を配備できます。これにより、企業は専任のセキュリティ組織や人材育成の体制を持つ必要がなく、社内で育成した人材が他社に引き抜かれるリスクも避けられます。

セキュリティを強化しながらコンプライアンスや法令も遵守でき、そのために必要なコストを柔軟に調整できます。専門人材の確保が難しい現状において、セキュリティSESは有効な選択肢となっています。

2-2. セキュリティSESの例

セキュリティSESには様々な提供パターンが存在します。ここでは、GSXのサービスを例に挙げて、どのような提供方法があるのかを紹介します。

2-2-1. セキュリティSES（スペシャリスト）

セキュリティコンサルタントやセキュリティエンジニアなど、専門性の高い業務に対応できる人材を提供しています。

セキュリティコンサルタントは、企業のセキュリティポリシー策定やリスクアセスメント、セキュリティ体制の構築と改善提案などを行います。企業のセキュリティ状態を評価し、脅威から企業を守るための戦略的なアドバイスを提供します。

セキュリティエンジニアは、セキュリティ対策の具体的な設計・実装、ネットワークやシステムのセキュリティ監視、脆弱性の発見と修正作業、インシデント発生時の対応などを担います。技術的な視点からセキュリティ強化に貢献し、日々変化する脅威に速やかに対応します。

2-2-2. セキュリティSES（チーム）

個別の専門人材だけでなく、チーム単位でのセキュリティSES提供も行っています。セキュリティ運用体制の確立から、セキュリティポリシーの策定、リスクアセスメント、脆弱性診断、インシデント対応計画の立案、日々の監視やインシデント対応など、企業のセキュリティ対策に必要な全てのフェーズをカバーします。プロジェクトに応じた柔軟なチーム編成が可能で、短期間でのプロジェクト実施や、特定のセキュリティ課題への集中的な対応も可能です。

2-2-3. 脆弱性管理

企業があつかうシステムの脆弱性管理において、数百から千単位に及ぶプラットフォームの脆弱性診断にかかるコストの負担は大きな課題です。SESサービスを利用することで、年間を通じて常に脆弱性診断を行うことが可能になり、コストの圧縮が期待できます。GSXのSESでは、専門のセキュリティエンジニアが精密な分析と具体的な修正策の提供を行うことにより、セキュリティリスクを迅速に解消し、システムの安全性向上に貢献します。セキュリティ管理の効率化とコスト削減を同時に実現できるため、企業の脆弱性管理をより効果的に行うことができます。

2-2-4. プラス・セキュリティチーム

「プラス・セキュリティ人材」とは、通常の業務に加え、セキュリティのスキルも有する人材を指します。GSXでは、情報システム業務にサイバーセキュリティの専門知識を組み合わせた「プラス・セキュリティチーム」の提供も可能です。日常のIT運用管理とセキュリティ対策を一体化し、セキュリティを強化します。また、万が一のインシデント発生時も、GSXのコンサルチームが支援する体制も整えています。

2-2-5. バイリンガルエンジニア

技術的な専門知識と日英バイリンガル能力を兼ね備えたエンジニアSESを提供しています。外資系メーカーの国内向けヘルプデスクやインフラ運用、またグローバル企業のセキュリティ推進チーム向けなど、言語の壁を超えながら専門性の高い課題を解決し、運用効率の向上とグローバルセキュリティ基準への対応を支援します。

3. セキュリティSES専業の子会社「CyberSTAR」を設立

セキュリティSESの需要の高まりを受けて、GSXではSESビジネスを新設分割し、100％子会社CyberSTAR（サイバスター）を2024年4月1日に設立しました。

CyberSTARでは、IT企業との戦略的パートナーシップを組み、そこから選抜された人材を、サイバーセキュリティ分野に特化して育成し、SESとして顧客企業に提供します。サービスの核となるのは、GSXが蓄積してきたセキュリティ人材育成のノウハウです。IT領域に明るい人材にセキュリティスキルを追加し、高い価値を持つ人材として提供します。

セキュリティ人材特化型SES（システムエンジニアリングサービス）事業を分社化

https://www.gsx.co.jp/news/pr/pr_240213.html

4. セキュリティSESの活用など、セキュリティ強化はGSXにお任せください

サイバー攻撃の増加と複雑化、DXの進展、専門知識の必要性、教育と育成の遅れ、企業の意識の問題、人材の流動性などの要因が複合的に影響し、セキュリティ人材が慢性的に不足している状況にあります。この課題を解決する一つの選択肢として注目されているのが、セキュリティに特化したSESであるセキュリティSESです。

セキュリティSESは、サイバーセキュリティの専門知識を持つ人材を企業へ柔軟に派遣し、高度な情報セキュリティサービスを提供します。専門人材を外部から調達できるため、企業は社内での人材育成の負担を軽減でき、セキュリティ強化とコスト適正化を両立できる利点があります。セキュリティ体制の確立や、セキュリティ強化でお困りの場合は、ぜひご相談ください。