さまざまな業界で人手不足が叫ばれている。セキュリティ業界も例外ではなく、2020年には19万人以上のセキュリティ人材が不足するといわれている。

 とはいっても、セキュリティ人材を育てるには時間もコストもかかる。すでに会社内にセキュリティ担当者や担当部署を持っていれば、人材育成や教育について考えることはできるかもしれないが、そうでなければ、人材や部署をゼロからスタートさせる必要がある。あるいは、アウトソースするかマネージドサービスなどを利用する方法もあるだろう。

業界の人手不足にどう向き合うか

 中小企業の場合は、現実問題として独立したセキュリティ関連の部署や、企業内CSIRTを構築することは難しい。必然的に、外部サービスの利用を選ぶことになる。この場合は、自社でのセキュリティ人材育成に悩む必要はないが、マネージドセキュリティサービスや運用サービスのプロバイダーでも、多くの企業が人手不足で悩んでいる。

 本来、情報セキュリティは経営者がイニシアティブをとって取り組むべき活動だ。また、クラウドやIoTが通常業務に浸透してくると、どんな業界・業種でもセキュリティは避けて通れない問題となる。本当は、アウトソースするにしても、自社で対応するにしても、関連知識のある人材は欠かせないのだ。

 では、セキュリティ人材とはどんな人材を指すのだろうか。厳密な定義は難しい。なぜなら、現在の情報セキュリティは、関連する範囲が広く、知識やスキルも多様だからだ。

 以前は技術的な知識があれば重宝されたが、現在はコンプライアンスやガバナナンスの視点も必要だ。システムやコンピュータなどシステムを狙った攻撃ばかりではなく、人間を騙すことで成立するサイバー攻撃も増えている。

 守る場所もPC・サーバーなどいわゆるコンピュータから、ネットワーク機器、IoT機器、モバイルデバイス、電子機器まで広がっている。そして、実際にインシデントが発生したら、適切な対応をとり、外部のしかるべき機関とも協力し、技術的な分析やシステムの復旧作業、マルウエアの解析などが必要となる。

セキュリティ人材に求められるマルチスキル

 つまり、セキュリティ人材は、セキュリティに関する技術的な知識に加えて、経営や法律に関する知識、業務プロセス、心理学の知識、交渉事を含む外部とのコミュニケーションスキル、高度なツールを使ったシステムの解析やプログラミングの知識、暗号技術や数学、AIに関する知識、情報収集に関連したインテリジェンススキルも求められる。

 現在、これらをすべてカバーできる人材はごく少数だろう。セキュリティ関連業務も、情報機器の管理、インシデント対応、マルウエア解析、監視・監査、コンプライアンス・法務と、セグメントごとに担当やチームが分かれることもある。

 セキュリティ人材問題には、おそらく銀の弾丸はなく、地道に育てていくしかない。そのためには適切なキャリアパスや出口政策を考えたうえでの取り組みが必要だ。付け焼刃的な採用や育成では、続かないだろう。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。