近年のサイバーセキュリティ脅威の高度化やDX推進によるセキュリティ対応の変化、COVID-19パンデミックに端を発した急激な環境変化に伴うセキュリティ対応策の強化も見据えて、政府はサイバーセキュリティ政策を柔軟かつ積極的に推進しており、セキュリティ人材の育成もさらに強化するよう企業側に求めています。
一方で、依然としてサイバーセキュリティ人材の数は十分であるとは言えず、加えて外部環境の急激な変化もあり、サイバーセキュリティの知識を持つ人材はますます必要とされている状況です。
本記事では、今必要とされるサイバーセキュリティ人材像や、その人材育成に向けて必要な具体的なトレーニングをご紹介いたします。
近年の政府によるサイバーセキュリティ人材育成に関する取り組み
2014年のサイバーセキュリティ基本法公布以降、政府によるサイバーセキュリティ人材育成強化の取り組みが本格化しました。
2015年のサイバーセキュリティ戦略で政府によるサイバーセキュリティ人材育成の取り組みの路線が示され、2017年には内閣サイバーセキュリティセンター:以下NISCがサイバーセキュリティ人材育成プログラムを公表。そして、2018年には次期サイバーセキュリティ戦略が公表されました。この次期サイバーセキュリティ戦略では、経営層から技術者まで広い範囲にわたってのサイバーセキュリティ人材育成の必要性の検討が始まり、加えて、地方や中小企業でのサイバーセキュリティの取り組みの必要性にも着目されました。
その後、NISCよりサイバーセキュリティ人材育成取組方針が2018年5月に発表され、各省庁でのサイバーセキュリティ人材育成の活動が活発化しました。例えば、総務省によるNICT CYDERやSecHack365、東京2020オリンピックパラリンピックに向けた実践的サイバー演習のサイバーコロッセオなどの、演習が活発に開催されました。
経産省(IPA)では、学生や地方向けの「セキュリティ・キャンプ」といった教育活動も活性化し、また2017年から始まった情報処理安全確保支援士も確実に取得者を増やしています。また警察関連では、サイバー攻撃の発生を想定した訓練もこのころから実施回数を増やしています。
2019年にはサイバーセキュリティ意識・行動強化プログラムで、各省庁の取り組みもさらに活発化していましたが、このころから民間企業を中心にDXが注目され、ビジネスモデルをITで抜本的に変革して、新たな成長を実現していこうという動きが注目され始めました。
NISCから発表された「サイバーセキュリティ2019」では、「DXによる効果を最大限に享受するためには、事業に致命的な影響を与えるリスクの洗い出しを行うことが重要であり、そのリスクの1つとしてデジタル技術の活用に対応するサイバーセキュリティへの対応は最も重要な柱である」と解説されており、DX推進にはリスクを作りこまないようなビジネスプロセスの変革の必要性が注目されました。
そして2020年3月からのCOVID-19パンデミックに端を発し、テレワークによるビジネス環境の急激な変化、家庭の消費行動の変化が起きました。政府も、この急激な環境変化に対してサイバーセキュリティ人材育成の方針を対応させています。
2020年にNISCから発表された「サイバーセキュリティ2020」の公表後に報告された「サイバーセキュリティに係る人材の確保、育成、活躍の促進に係る政策課題」では、新しいデジタル技術の活用とリスクマネジメント(DX with CyberSecurity)を掲げて、増大するサイバーセキュリティリスクの観点や、需要・供給両面での労働市場の活性化でマッチングの問題が顕在化する恐れがあることに伴い、以下の3つの政策課題が列挙されました。
- ・サイバーセキュリティ確保のための新たな開発・監視・対処体制の構築
- ・DXに必要な「プラス・セキュリティ」知識を補充できる環境・人材育成の推進
- ・サイバーセキュリティ人材の活躍の促進に向けた流動性とマッチングの機会の促進
また、コロナにより加速する新たな日常への移行の環境変化を踏まえたアフターコロナ・ウィズコロナ時代の人材育成・確保に向けた方策の検討も始まっています。
依然として変わらない民間企業でのサイバーセキュリティ人材不足
NRIセキュアが実施したセキュリティの実態調査である「NRI Secure Insigt 2020」では、セキュリティ人材の充足状況を日本と海外とで比較をしています。日本企業は海外と比べて、セキュリティ人材が圧倒的に不足している状況が見られ、この状況は過去数年にわたって変わっていません。
海外では日本と比べれば人材の流動性が高く、大きなプロジェクトや問題などが発生した場合にすぐに人材を集めやすいという特性があることや、日本はセキュリティ業務をアウトソースする企業が多くみられることも、この結果に出ている考えられます。一方でアウトソースするにしても、業務を委託する企業側には、その報告書や分析結果を読み解く知識やスキルを持つ人材が必要となり、そういった人材を育成することも企業側の課題となると思われます。
また不足しているという人材の種別を見ても、「セキュリティ戦略・企画を策定する人」はある程度マネジメント層に近い方々ですが、それ以外の結果では主に技術的に専門性のある人材が並んでいることが分かります。企業側では、今のセキュリティ状況やリスクを適切に把握して進言できるような人材や、セキュリティの知識を持つ経営層が求められています。一方、アウトソースを受けるセキュリティベンダ側でも技術的に専門性が高く経験を持つ人材は奪い合いとなっている状態です。
このような高度なセキュリティ人材は社内で育成するにしても時間とコストがかかるため、長期にわたって計画的に育成するなどの対応が必要です。
DX時代・ウィズコロナ時代に求められるセキュリティ人材像
ここ数年の政府や民間のセキュリティ人材育成やその課題に関する動向を解説しましたが、この内容をもとに、現状必要とされるセキュリティ人材像を以下の通り整理しました。
- DX with CyberSecurityを推進する人材
・IT担当ではないビジネスを生み出す事業部門の中でも「プラス・セキュリティ」としてセキュリティの知識を持つ人材
・事業部門側でセキュリティ開発やセキュリティ監視やインシデント対応などの専門的なプロセスに関する知識を持つ人材(主にIoTシステムや制御システムの担当、CSIRTなど)
・経営層でセキュリティ知識を持つ人材
・経営層に近い立場や部門でセキュリティ知識をもつ人材 - 大都市圏以外の地方でセキュリティサービスを提供できる人材
- セキュリティ資格を保有し、各個人のスキルを証明できる人材(セキュリティ人材の流動性の活発化に対応できる人材)
- ベンダーにおいて活躍できる高度な知識やスキル・経験を持つセキュリティ人材
また、上記の人材像に近づけるための当社が提供しているセキュリティトレーニングをマッピングしました。
セキュリティ人材像とNRIセキュアが提供するトレーニングの対応表
|
|
セキュアEggs |
CISSP CBKトレーニング |
SANS トレーニング |
|
|
事業部門でセキュリティの知識を持つ |
〇 |
|
〇 |
SANS SEC401は初級向け |
|
事業部門で比較的専門的なプロセスに関する知識を持つ |
〇 |
|
〇 |
|
|
経営層でセキュリティ知識を持つ |
|
〇 |
|
|
|
経営層に近い立場でセキュリティ知識を持つ |
|
〇 |
|
|
|
地方でセキュリティサービス提供可能 |
〇 |
〇 |
〇 |
オンラインで受講可能 |
|
セキュリティ資格を有する |
|
〇 |
〇 |
SANSはGIAC |
|
高度なセキュリティ知識やスキルを持つ |
|
|
〇 |
SANSは職種特化型~専門性の高い各種コースあり |
DX時代・ウィズコロナ時代のセキュリティ人材育成の考え方と効果的なトレーニング
人材像が分かっても人材を育成したり、採用したりするのには時間がかかります。そこでこういった人材がいつごろまでに何人必要か、というセキュリティ人材育成計画をある程度長い期間(例えば3年間)のスパンで策定し、実行し、またその計画を外部環境に合わせて見直していくことで、セキュリティ人材の不足感という課題を徐々に克服できるのではないかと考えらえます。
そこで、当社では上記の人材像にあった知識やスキルを定着・育成するセキュリティトレーニングを多数準備しています。以下に各トレーニングの紹介を掲載しますので、今後の人材育成や採用の参考にしていただければ幸いです。
トレーニング① セキュアEggs
これから情報セキュリティを本格的に学ぶ方をはじめ、いずれ情報セキュリティの第一線で活躍するために必要な基礎的スキルを、演習中心に短時間で効率的に習得することができるコースです。
IT技術者や担当者が本当に必要なセキュリティ要素を効率的に学習できる基礎編をはじめ、インシデント発生時に適切な対応をするための基礎力が身につくインシデント対応編、セキュリティに配慮したWebアプリケーションの開発や運用のための知識が身につくWebアプリケーションセキュリティ編などのコースがあります。
また2021年には、DevSecOps研修も追加し、DX時代に必要なスピーディなシステム開発・運用においてどのようにセキュリティを確保するかという点に着目し、主にビジネスとの整合を図りながらアプリケーションの設計・開発・運用を実現できるスキルが身につくコースも新設し提供を開始しております。
<セキュアEggsの詳細はこちら>
トレーニング② CISSP CBKトレーニング
グローバルスタンダードなセキュリティプロフェッショナル認定資格であるCISSPの取得を目指す方に最適のトレーニングです。
CISSPは、欧米ではCIO/CISOの85%以上が保有しているといわれており、米国では、サイバーセキュリティにおける資格として米国政府のゴールドスタンダードとして認定されています。
CISSPを保有していれば、世界中のセキュリティ関係者からその能力と知識や経験のレベルの高さが評価されます。このCBKトレーニングでは、CISSPの各ドメインに関わる技術や概念、ベストプラクティスの定義を解説します。また、テキストも講義も日本語で提供し、日本での実例を交えた質の高い講義や、セキュリティ知識の経験や知識のレビューにより、ドメイン間の関連性などについても理解できる内容になっています。
<CISSP CBKトレーニングの詳細はこちら>
トレーニング③ SANSトレーニング
サイバーセキュリティ分野において主にセキュリティの専門家やシステム監査人、ネットワーク管理者、インシデントハンドラーやフォレンジックアナリスト等に対して、基礎コースから他に類を見ない高度で専門的なコースまでラインナップ豊富なコースを準備しています。
コース内容は定期的に更新されるため最新の技術を習得可能であり、ハンズオン中心で実践的であるため、現場でもすぐに役立つ内容を学ぶことができます。
またトレーニングコース別にSANSが認定するGIACというグローバル資格もあり、この資格を取得することで具体的な専門性を有することを証明できます。GIACは専門分野ごとに区分が定められているため、何のスキルを保持しているかがわかりやすいのも特徴です。
<SANSトレーニングの詳細はこちら>
サイバーセキュリティ人材におすすめの資格
情報処理安全確保支援士
通称:登録セキスペ(登録情報セキュリティスペシャリスト)。サイバーセキュリティ分野における国内唯一の国家資格で、登録制度の導入により、継続的に講習を受けることが義務付けられており、サイバーセキュリティに関する最新の知識や能力を持っていることの証明になります。
GIAC(Global Information Assurance Certification)
SANS が認定するグローバル資格の総称です。情報セキュリティの各分野で具体的な専門性を有することを証明できます。専門分野ごとに区分(セキュリティ管理・運用、フォレンジック、マネジメント、監査、ソフトウェアセキュリティ、セキュア法制)が定められていて、「何のスキルを保持しているか」が明確になっている点が特徴です。
CISSP (Certified Information Systems Security
Professional)
(ISC)2 (International Information System Security Certification Consortium:国際情報システムセキュリティ認証コンソーシアム)が認定を行うベンダーフリーな情報セキュリティ専門家資格です。セキュリティ共通知識分野(CBK)の8分野について、深い知識を有していることをグローバルに証明します。
欧米では CISO/CSO の 85%以上が CISSP を保有していると言われ、経営者がもつべき資格として有名です。
おわりに
本記事では、セキュリティ人材が求められている背景、そして育成のための考え方を解説し、当社が提供するセキュリティトレーニングについてご紹介しました。
本記事においてご紹介したトレーニングはすべてオンラインで受講可能になっています。オンラインの場合、どこからでも受講できるので、地方などの遠隔地からも受講可能です。また、講義の内容がアーカイブされて講義終了後も一定期間閲覧ができるため、どうしても業務都合で研修に参加できなかった場合や、内容の復習、資格試験に向けた学習対策として活用できます。さらにオンラインでも対応可能なハンズオントレーニング環境も準備されています。
ウィズコロナの時代の中では、従来の対面による集合形式の研修よりも、オンライン研修を積極的に利用していくことになると想定されますので、ぜひともご活用いただき、各個人のスキルアップに努めていただければと思います。
CISSP試験の概要やCISSPトレーニングについて知りたい方はこちら
