『セキュリティ人材が20万人不足する』
2016年に経済産業省は、2020年の東京五輪までに日本全体でセキュリティの専門性を持った人材が、20万人不足するという調査結果を公表しました。
本記事では、セキュリティ人材が不足している本当の「理由」とその「対応策」について考察します。
数字から見るセキュリティ人材不足
当社の独自の調査でも、約半数の企業が、「セキュリティ人材が不足している」と回答をしています。
図1. セキュリティ人材の充足状況と不足数の推計 
出典:NRIセキュアテクノロジーズ株式会社「企業における情報セキュリティ実態調査2017」(2016年9月~10月実施)
経済産業省「IT人材の最新動向と将来推計に関する調査結果」
日本は、15歳から65歳までの労働力の中心となる「生産年齢人口」も、年々低下しており、先進国の中でもかなり深刻な状況であると言われています。
図2. 生産年齢人口の推移
出典:内閣府「骨太方針2017策定参考資料」
「人口が減っている」ということがセキュリティ人材不足の課題の本質なのでしょうか?セキュリティ人材不足という課題に今後対処していくことはできないのでしょうか?
セキュリティ人材不足の背景にあるもの
まずはセキュリティ人材不足の背景について整理してみたいと思います。
数年前と現在を比較した際に、IoT等のデジタル技術の普及に伴って、ITやセキュリティについての前提条件が変わってきました。
企業にとっての”IT”とは、ちょっと前までは、オフィス内の業務の効率化・省力が主な目的で、いわゆる「コーポレートIT」としての位置付けだったと言えます。現在ではそれに加えて、事業部門が主導して既存ビジネスのデジタル化を進める等、今や企業にとってのITは「ビジネスIT」としても位置付けられるようになってきました。
そして、それに伴って「セキュリティのスコープ」も大きく変わりました。今までの主なスコープは「オフィス内」でしたが、これが、ビジネスIT化により、「工場や子会社等」もITで密接に繋がるようになり、これらの部分も企業にとってのセキュリティのスコープとして含まれるようになりました。つまり、守るべき対象が拡大してしまったのです。
加えて、「攻撃の目的」も、単純ないたずら目的から、金銭の窃取や物理的な破壊等のテロ行為へと変わっていき、それに伴って脅威はどんどん巧妙化・複雑化していきました。
図3. セキュリティを取り巻く環境の変化(NRIセキュアが作成) 
これによって、企業にとって必要な「セキュリティ人材像」が変わってしまいました。今までは、企業・社会が求めるスキルは、ある程度画一的なものだったため、セキュリティ人材が保有するスキルが、それにマッチした状況が続いていました。
しかし、現在は、前述のような背景もあり、人材に求めるスキルが各企業や組織によって固有なものになり、かつ、より複雑な「形」になってしまいました。これにより、これまでのセキュリティ人材のスキルではカバーしきれない領域が広がり、人材と市場ニーズがアンマッチした状況になっていると考えられます。
図4. セキュリティ人材と市場ニーズのマッチング(NRIセキュア作成)
セキュリティ業務の「生産性」の変化
では、次にセキュリティ人材不足の状況を「生産性」の観点から考えてみます。一般的に生産性は以下のような式で表現をすることができます。
図5. 生産性の定義
これをセキュリティ業務に当てはめて考えてみると、どのようなことが見えてくるのでしょうか?
セキュリティ業務は環境変化により、複雑化・多様化しており、求められた「アウトプット」を出すのが難しくなっています。そして、昨今のサイバー攻撃の脅威を目の当たりにすると、経営層はセキュリティ担当者を減らすという方向性にはできず、かつ、生産年齢人口が減少し、人材スキルと市場ニーズがアンマッチした状況下では人員を増やすこともできません。したがって人的リソースは、横ばい、あるいは微増程度の状態でシフトしている企業が多いのではないでしょうか。
図6. セキュリティ業務における生産性(NRIセキュアが作成)
分子であるアウトプットは思ったような成果が出せず減少し、分母であるインプットはほぼ横ばいという傾向にあるため、全体的な生産性が下がっているという状態になります。つまり、セキュリティ人材不足の本質は、セキュリティ業務における「生産性の低下」なのです。
では、企業はセキュリティ業務の生産性を向上させるために、何をしていけばいいのでしょうか?
まずはセキュリティ業務の「見える化」と「標準化」
各企業により、様々な事情はあると思いますが、まず何よりも先に実施すべきなのは、セキュリティ業務を「見える化」して「標準化」していくということです。
多くの企業にありがちなのが、セキュリティ業務を長年同じ担当者が行っており、どんな業務があるかはその担当者しか知らないというケースで、いわゆる「属人化」された状態です。それによって、業務がブラックボックス化してしまい、どのような業務があるのか、どのようなリスクがあるのか等が、分からなくなってしまいます。
図7. セキュリティ業務の属人化と標準化(NRIセキュアが作成)
それを、自社に必要なセキュリティ業務とは何かを定義(見える化)し、それらの業務が誰でも実施できるように「標準化」していく必要があります。そうすることで、担当者が不在の場合や繁忙時でも他の社員で代替ができるようになります。
また、社内調整やルーティン業務は、他の部署の人材や協力会社にアウトソースすることができるようになるため、セキュリティ人材は最も注力すべき、セキュリティ戦略・企画等のクリエイティブな分野にリソースを集中投下できるようになります。
つまり、業務を標準化することで、活用できる人材の幅が広がるため、メリハリをつけた人的リソースの配分ができるようになる、ということです。
生産性向上の鍵は「心理的安全性」
そして、セキュリティ業務の見える化・標準化の次のステップとして取り組むべきことは何でしょうか?
2016年、Googleは社内の労働生産性を向上させるための施策である「プロジェクト・アリストテレス」の全容を公開して話題になりました。このプロジェクトは、Google社内に多数あるプロジェクトの中から、生産性が高いプロジェクトを抽出して分析し、その成功要因を特定する、というものでした。
最終的にGoogleは、このプロジェクトを通じて、生産性を最も向上させる要因はチーム内の「心理的安全性」であると結論付けました。つまり、メンバーがチーム内で不安や恥じらいを感じることなく、個人のアイデアを披露したり、業務を変えようとしたりするような、「リスクのある行動」が取れるかどうかが重要である、ということでした。
図8. チームの5つの成功要因
出典:re:Work - The five keys to a successful Google team
また、ハーバードビジネススクールのエドモンドソン教授は、2008年に発表した論文の中で、メンバー自らが学習し高い生産性を発揮する組織は、心理的安全性に加えて、目標達成に向けたアカウンタビリティ(責任)を両立させる必要があると発表しています。
図6. 心理的安全性と目標達成に向けたアカウンタビリティとの関連性
参考:2008/10 Harvard business review「心理的安全とアカウンタビリティは両立する 「恐怖」は学習意欲を阻害する」 Amy C. Edmondson を基にNRIセキュアが作成
組織として高い目標を掲げ、その達成に向けて各メンバーが責任感を持って業務に取り組んでいる状態。かつ、各メンバーの心理的安全性が確保されている状態。この2つの状態を両立させることで、各メンバーが自律的に学習をする、最も高い生産性を発揮するチームになる、ということです。
リーダーの姿勢が最も重要
チームの「心理的安全性」と「業務へのアカウンタビリティ」の両立に、決定的な影響を与えるのは、まぎれもなく組織のリーダーです。組織としての高い目標を示しつつ、メンバーに対しても高い成果を求める。そして、一人一人に対して深い共感・理解を示して、受け入れてあげる姿勢を見せる。そんなリーダーの姿勢こそが、チームの生産性を高めるために重要になります。
あなたの会社のセキュリティチームはどうでしょうか?厳しい目標達成を求めるだけで、心理的安全性が確保されていない、もしくはその逆の状態になっていないでしょうか?
セキュリティチームのリーダーは、どのようにすれば、自分のチームが「心理的安全性」と「目標達成のアカウンタビリティ」を両立できるようになるかを、改めて考えてみてはいかがでしょうか。
事業環境や脅威が複雑化するにも関わらず、セキュリティ人材が不足している。そんな状況に対して、企業はセキュリティ人材を獲得する・育成するというアクションだけでなく、セキュリティ業務の「生産性を向上」させる取り組みを行っていく必要があります。
その第一歩として、まずは企業内のセキュリティを「見える化」することから始めてみましょう。
