【日立ソリューションズ×NEC×GSX(前編)】今の時代に求められる「セキュリティ人財」とは
便利で快適なサービスを生み出したり、インフラとして人々の生活を支えていたり、今やITは社会にとってなくてはならないものとなっている。 多くの企業もITを駆使したビジネスを展開している一方で、セキュリティインシデント、いわゆるサイバー攻撃も増えている。 そのような影響を受けて、近年では「セキュリティ人財」の重要性が改めて注目されるようになってきた。 今回は、グローバルセキュリティエキスパート株式会社(以下、GSX)の和田氏と日本電気株式会社(以下、NEC)の園田氏に、株式会社日立ソリューションズ(以下、日立ソリューションズ)の米光氏を交えた座談会を実施。 セキュリティエバンジェリストとして多方面で活躍する3人に、セキュリティ人財の重要性や社会的役割について語ってもらった。
園田:私は脆弱性診断やセキュリティインシデント対応などを行うリスクハンティングチームのリーダーをしています。NECという企業の観点で言うと、「ICTの力を持って安心安全に暮らせる社会の実現に貢献していくこと」。つまり、セキュリティ対策を通じてリスクを低減し、安全なシステムやサービスを提供していくのが、私の役割だと思っています。
和田:セキュリティを通じた社会貢献でいうと、私も似ていますね。弊社は、「サイバーセキュリティ教育カンパニー」というコーポレートメッセージを打ち出している通り、情報セキュリティ専業の会社です。私は情報セキュリティ全般を広く扱っていて、プリセールスからコンサルティングまで、経営層にセキュリティ課題解決について提言したり、顧客の従業員・管理職向けのセキュリティ教育や人財育成をミッションとしています。
米光:私は、通称「ホワイトハッカー」として、主に日立ソリューションズグループ内でサイバー攻撃などが発生したときの対応や、社内外のセキュリティ人財の育成を幅広く担っています。テクニカルな業務領域においても、人財育成の観点でもお二人とは共通点があり、シンパシーを感じられて嬉しいです。
米光:10年ほど前に比べると、セキュリティ人財の質と量が改善されているのは間違いないと思います。ただその一方、急速な技術の進化や細分化からセキュリティ人財のニーズも多様化していますよね。セキュリティ対策が必要なドメインも広範囲であり、企業の対応が追い付いていないのも事実ではないでしょうか。
園田:そうですね。私がもっとも懸念しているのは、感度の違いです。「うちは狙われるような大きな会社じゃない」と油断されている企業が非常に多いのですが、サイバー攻撃のリスクと企業規模は関係ありません。一般企業の方々の中でも温度感の差があり、危機感を抱いています。
和田:たしかにそれは私も感じます。規模は小さくても、日本の産業を支えているような技術を持っている企業は非常に多い。その情報が、サイバー攻撃や内部からの不正な持出によって、外国に流出してしまい、粗悪な類似製品が作られてしまったという話も聞きます。日本の技術力や競争優位性を脅かすといった観点でも深刻な問題ですよね。
園田:NECでは、技術職のみならず、全社的なセキュリティリテラシーの向上を課題と考え、教育プログラムや資格取得支援などを充実させて、さまざまな職種で長期的にセキュリティ人財育成を推進しています。その結果、営業部門でもお客様への提案時からセキュリティを意識するようになり、私たちに相談をいただくことが増えてきました。結局はお客さまをお守りすることが、サービスの質向上にもつながることですからね。会社としては大きな一歩であり、着実な成果として、セキュリティリテラシーの向上の手応えを感じています。
和田:我々もセキュリティがコア・コンピタンスだと認識していない企業へのアプローチを課題だと捉えています。大切にしているのはモチベーションやマインドを変化させることです。そのためには、まずは経営層の理解が重要ですので、「経営層向けの勉強会からやりましょう」というアプローチを行っています。ただ、「危ないですよ」と伝えるだけではなく、事業内容との関連付けやリスクマネジメントにおける捉え方を示すことで、経営層がセキュリティリスクを自分ごと化しやすくなり、社員にも本気度が伝わり、効果的な人財育成に波及していると感じています。
米光:日立ソリューションズでも、幅広い職種でセキュリティ意識を高めるため、グループ会社や日立製作所とも連携し、社内の啓発活動やセキュリティコンテストなどの取り組みを数多く行っています。しかし、どうしても短期的な費用対効果が見えにくく、経営目線でも直接的なメリットを感じにくい。さらに、当人がセキュリティスキルを身に付けるインセンティブを感じていないと、セキュリティ意識はなかなか定着していかないのも事実ですよね。そういった意味で和田さんがおっしゃるマインドを育んでいくことの重要性を改めて実感しました。
園田:先ほど、お二人から「経営」というキーワードが出てきたように、重要なのは経営と現場の両方の視点を持つことですね。コストやリソースといった経営の目線を持ちながら、セキュリティの専門家として必要な対策を提案していくこと。ただ技術や知識を持つだけでなく、ビジネス的なセンスを発揮していくことが、今後のセキュリティ人財に求められると思いますね。
和田:私も同じように、セキュリティのスペシャリストとして、経営の意思決定に貢献できるようになるのが理想だと考えています。リスクマネジメントやセキュリティを俯瞰的に見て、トータルで管轄できる人財、例えば、身の回りの業務だけではなくて、事業についても考えられるような「現場と経営の橋渡し役」ができる人財が求められるのは間違いないと思います。
米光:私も同感です。あえて別の目線で付け加えるとすると、セキュリティ×「何か」を持つことが大事になってくると感じています。「何か」の部分は自分の興味のある分野でも良いし、時代や社会的にニーズのある分野でもかまいません。セキュリティにプラスアルファの「何か」をかけあわせると新しい価値を生みだすことができます。人財育成においても、その意識を持つように伝えていきたいです。
園田:セキュリティと一口に言ってもさまざまな分野があるので、業界を問わず専門家同士の連携が重要になってきます。そういった意味で「協創」は当たり前となってくるでしょうね。各業界や企業ごとの情報を連携させながら、横断的に活用していくような、高いレベルのコミュニケーション能力を身に付けることが一つのポイントになると思われます。
和田:サステナビリティという視点いうと、セキュリティのリテラシー向上に社会全体で取り組んでいくことが大切だと考えています。最近のメディア調査によると、過去1年間でランサムウェアの被害に遭った日本企業は、半数以上に及ぶそうです。大企業は一般的に、ある程度のセキュリティ対策を行っているので、深刻な被害を受けにくいように思います。一方、中堅・中小企業においてはセキュリティ対策を行っている企業とそうでない企業とで、被害に遭う・遭わないという明暗が分かれます。今後は、中堅・中小企業も含めて、日本社会全体でセキュリティの意識をさらに高められるように、サステナビリティの観点も、改めて伝えていくべきだと思いますね。
米光:政府が唱えているSociety5.0のような未来の社会に向けて、AIや自動運転などのテクノロジーが実装され、世の中に普及していく過程においては、安心・安全を確保するために、セキュリティ対策が必須になってきます。そのために活躍するのがセキュリティ人財であり、これからは、企業だけでなく、教育機関や自治体なども含めた「協創」によって、幅広い年齢層に対して、セキュリティ人財の育成に関する活動を積極的に行っていきたいですね。その先に、「サステナブルな社会」の実現があるのだと思います。
本記事のシェアはこちらから