当社で実施した「企業における情報セキュリティ実態調査2018」の結果を、先週よりテーマ毎に公開しています。本調査は、NRIセキュアが2017年12月から2018年3月にかけて、日本を含む5カ国を対象に実施したものです。その中で、今回は「セキュリティ人材」に関連した調査結果をまとめました。
ブログの最後には、調査レポートを無料ダウンロードできるご案内をしています。
セキュリティ人材不足を解消するために、日本企業が取り組むべきことをわかりやすく解説します。
- <調査概要>
対象:日本、米国、英国、シンガポール、豪州企業の情報システム・情報セキュリティ担当者
回答企業数:計1110 社 ( 日本:107 社、米国:500 社、英国:197 社、シンガポー ル:210 社、豪州:96 社)
日本のセキュリティ人材不足が解消されない理由
日本企業に比べ、海外企業はさほど人材不足を訴えてはいません。本章では海外企業が「人材が充足していると考える理由」を紐解き、日本企業に足りない観点を導きだします。
セキュリティ人材不足の実態
まずはセキュリティ人材の充足状況を5か国で比較してみましょう。日本企業は海外4か国と比べて、セキュリティ人材が圧倒的に不足していることがわかります(図1)。調査対象の8割以上の日本企業が人材不足を訴える結果はここ数年変わらず*、回復傾向が見られません。
* NRIセキュア「情報セキュリティに関する実態調査2017 (調査対象年度:2014,2015,2016)」
図1. セキュリティ人材の充足状況5か国比較
上記の日本企業の結果をCISO設置済/未設置の企業でさらに分析してみると、「CISO未設置企業の方が人材不足を強く訴える」結果であることがわかります(図2)。念の為補足しておくと、CISO(Chef Infomation Security Officer)とは、最高情報セキュリティ責任者を指します。CISOは企業の情報セキュリティの統括管理を担い、セキュリティ対策に必要な予算獲得や施策推進を実施します。
図2. 日本企業のセキュリティ人材の充足状況 CISO設置済/未設置 別
では、なぜCISO設置有無で人材充足状況に差が生まれたのでしょうか。まず、セキュリティ人材が足りている、というのはどういう状況を指すのか、もう少し深く見ていきます。
セキュリティ人材が足りていると感じる理由
海外4か国の「セキュリティ人材が足りている」と回答した企業において、「足りていると考える理由(複数選択)」を聞くと、トップ3が同一の結果となりました(図3)。
図3. セキュリティ人材が足りていると考える理由トップ3
上記からもわかるように”人員数自体を多くする”ことよりも、”業務の標準化”や”業務の自動化・省力化”などにより、「業務を効率的に遂行するための施策」を積極的に行っていることがセキュリティ人材の充足度に影響を与えていることがうかがえます。
特に生産年齢人口が減少の一途を辿り、セキュリティ人材に至っては2020年までに約20万人が不足すると言われている日本においては、人員数を増やす施策を講ずることはだんだんと困難になってくることは想像に易いでしょう。それだけではなく海外4か国の結果からも分かる通り、セキュリティ業務自体のあり方を見直すことで人材不足状況を改善することが可能になると筆者は考えます。
CISOの役割
冒頭の問題提起に戻って、現在の日本企業において「CISO設置有無」で人材充足状況に差が生まれる理由は「CISOがリーダシップを発揮できているかどうか」が関係しているのではないでしょうか。というのも「セキュリティ業務自体のあり方を見直す」と言うのは簡単ですが、現場担当者のみで業務改革を行うのは容易ではありません。
業務を見直す際にまずやるべきことは、経営に影響を与えるセキュリティリスクの特定です。特定されたリスクにどう対応するのか、経営目線で対応方法や優先度を決めるべきです。さらに業務自動化のためのツールへの投資や人員配置の決定にも経営層の承認が欠かせません。
上記のように、CISOは経営目線でセキュリティ対策の方向性を決め、優先度付や取捨選択をして業務のテコ入れを実施する、そのためのリーダーシップ発揮が求められます。
日本でもCISO設置率は年々増えていますが、経営層の人材が就任している割合はまだ低く*、まだまだ上記対応には向上の余地があります。
*企業における情報セキュリティ実態調査2018 -セキュリティ経営編-
CISO主導で中長期的な人材育成戦略を策定する
セキュリティ業務の見直しができたら、どのような業務に自社の人材を充て、その人材をどう育成していくのか、CISOは「人材育成戦略」を策定する必要があります。
人材育成戦略策定に足りない観点
日本企業において「自組織に不足していると考えるセキュリティ人材の種別」を聞いたところ、57%の企業で「ログを監視・分析をして、危険な兆候をいち早く察知できる人」を挙げ、一番多い結果となりました(図4)。
図4. 日本企業における自組織に不足していると考えるセキュリティ人材の種別
ログの監視や分析は完全自動化は難しいながらも、機械化・省力化が見込まれる分野なので、自組織人材の育成強化だけではなく、アウトソースの検討もおすすめします。一方、セキュリティ戦略・企画の策定は自組織の経営戦略と足並みを揃える必要があるので、組織内の人材で対応することが求められます。
この二番目に多かった「セキュリティ戦略・企画を策定する人」について、CISO設置済/未設置の差異で分析したところ、戦略・企画を策定する人材が足りないと回答した企業の方が、全体と比べて10pt程度、CISOの設置率が低くなる結果となりました(図5)。
図5. セキュリティ戦略・企画を策定する人が不足していると回答した企業のCISO設置有無分析
この結果からも、セキュリティ戦略・企画を策定する上で、CISOが果たす役割が大きいことがうかがえます。
どのような業務に自社の人間を充てるのかを検討する際には、闇雲に現状の人手不足の業務に充てるのではなく、中長期的に見て組織内での対応が求められ、ノウハウの蓄積が必要になる業務に徐々に人材の割当をシフトしていくことを推奨します。
人材育成・教育に係る課題
「セキュリティ人材の育成・教育に係る課題(複数選択)」を聞いたところ、日本が突出して「キャリアパス不足」を訴える結果となりました(図6)。
図6. セキュリティ人材の育成・教育に係る課題5か国比較
キャリアアップの道筋が見えないことは、要員のモチベーション低下等を引き起こす可能性があります。将来どのようなキャリアを歩むのか見えないまま、場当たり的に日々多様化するセキュリティ業務に取り組み続けると、担当者は疲弊するのではないでしょうか。
CISOはどのような業務に自組織の人材を割り当てるべきか決めたら、その人材をどのように育成するかも合わせて策定し、具体的なキャリアパスとして示す必要があります。
セキュリティ人材不足解消はCISOのリーダーシップ発揮が不可欠
今回の調査の結果、日本企業は海外4か国と比較して圧倒的に「セキュリティ人材不足」、「キャリアパス不足」を訴えていることがわかりました。セキュリティ人材不足状況を改善するには、CISOがリーダーシップを発揮してセキュリティ人材育成戦略を策定・推進していくことが求められます。
加えて、当社のセキュリティ対策状況可視化サービス(Secure SketCH)のデータと突き合せた更なる分析結果によると、キャリアパス不足を課題と認識している企業の方が、そうでない企業に比べてセキュリティ対策のレベルが高くなるという傾向も明らかになりました。
以下の報告書では、本ブログ記事の内容に加えて、「セキュリティ経営」、「脅威・事故」、「セキュリティ対策」編の詳細分析結果、及びSecure SketCHのデータを掛け合わせた日本企業に関する更なる分析結果をまとめています。ぜひダウンロードしてみてください。
企業における情報セキュリティ実態調査2018
02 セキュリティ人材編(本記事)
上記報告書の分析に用いたセキュリティ対策レベルは、Secure SketCHに登録するとすぐに自社のスコアがご覧いただけます。この機会に、無料で始められるSecure SketCHに新規登録し、自社の状況を見える化してみてはいかがでしょうか。
Secure SketCHへの新規登録(無料)はこちらから!
