政府は、2020 年東京オリンピック・パラリンピック競技大会の開催、そしてその先2020年代初頭を見すえ、サイバーセキュリティ政策を積極的に推進しています。また、企業に対しても、情報セキュリティへの投資や施策を促進するように、働きかけが進んでいます。
しかし、企業側では依然としてサイバーセキュリティ人材が十分ではなく、有効な施策が打てないという悩みを聞くことが多いです。本記事では、このセキュリティ人材不足を打開するために、企業ができる「サイバーセキュリティ人材の育成」に向けた取り組み、そしてセキュリティ人材に最適な資格と研修を紹介します。
2014 年のサイバーセキュリティ基本法公布以降、政府によるサイバーセキュリティ人材育成の取り組みは、環境準備や施策が具体化してきました。2015 年のサイバーセキュリティ戦略で示された路線に沿って着々と進行しているといえるでしょう。
図. セキュリティ人材育成に関する政府の主な活動
サイバーセキュリティ戦略では、横断的施策として「研究開発の促進」、「人材の育成・確保」が挙げられていました。
加えて、2017 年のサイバーセキュリティ人材育成プログラムでは、「対象については、企業をはじめとする社会で活躍できるサイバーセキュリティを専門とする人材のみならず、ユーザ企業等も含めた幅広い役割を持つサイバーセキュリティに係る人材育成を想定」と明示され、広範囲な人材育成の必要性が示されています。
また同プログラム内では、組織内の人材を「経営層、橋渡し人材層、実務者層、高度人材」とそれぞれの人材層に分けた施策が提示されています。このような政府の積極的な姿勢を受け、企業側はどのように対応していくべきなのでしょうか。
2014年のIPA(情報処理推進機構)情報セキュリティ人材の育成に関する基礎調査によると「国内の従業員100人以上の企業において情報セキュリティに従事する技術者は約23万人(中略)約23万人中、必要なスキルを満たしていると考えられる人材は9万人強であり、残りの14万人あまりの人材に対しては更に何らかの教育やトレーニングを行う必要がある」という結果でした。
NRI セキュアが実施したセキュリティの実態調査である「NRI Secure Insight 2018」の中で、セキュリティ人材の充足状況を日本と海外で比較をしています。その結果、日本企業は海外4か国と比べて、セキュリティ人材が圧倒的に不足していることがわかります。この傾向はここ数年変わらず、回復傾向が見られません。
図. セキュリティ人材の充足状況5か国比較
そして、セキュリティ人材の育成・教育に関する課題に対する回答では、日本では「キャリアパス不足」が 68.2%と突出しています。自社でセキュリティ人材を育成する上で、人材の活用方針に課題があり、セキュリティ人材の「キャリア形成」などの全体的なデザイニングができていないように見受けられます。
図. セキュリティ人材の育成・教育に係る課題5か国比較
あくまで筆者が聞いた一例ではありますが、
社内確保を検討し研修に参加したが、思うような成果が出ない
↓
社内確保できないので外注
↓
経営者とのコミュニケーションロスが発生
↓
目に見えるソリューション導入に注力
↓
人材育成などの効果が見えない施策は後回し
↓
結局社内のセキュリティ人材が不足
というような、「負の連鎖」に陥っている企業もあるようです。
自社で人材育成を考える場合、まずはどこから手をつけるべきなのでしょうか。NRI セキュアではサイバーセキュリティ人材の育成について5つのステップを提案しています。
STEP1 として、まずはセキュリティ関連業務を洗い出し、内製化か外部委託かを選別します。 そして STEP2 として、業務に必要なスキルを棚卸しします。たとえば CSIRT メンバーであればインシデント対応能力は必要ですし、アプリケーション開発者にはセキュアコーディングの知識が必要になります。
その後、STEP3 としてキャリアパスやローテーション等を体系化するなどの全体的なデザイニングをしたうえで、STEP4 として研修プログラムを選定することで、業務や・社員スキルとのミスマッチも防げるでしょう。
STEP5 では、資格を取得することでスキルを可視化し、自社のセキュリティ人材の把握をしておくことを推奨しています。今後、企業のサイバーセキュリティ対策については情報開示を求められていく動きがありますが、資格取得者数も一つの指針となると考えられます。
未来の情報セキュリティを担う人材を支援する「SANS NetWarsトーナメント」
スキルの「見える化」を実施するにあたって、指標となる注目の資格について紹介します。
サイバーセキュリティ分野における唯一の国家資格で、登録者数は 9,181名(2018年4月1日時点)です。サイバーセキュリティ人材の活用推進のため、IPA のウェブページに、登録者の諸情報を公開し(一部本人の同意が必要)、ロゴマークも準備されているので、スキルの公開にも活用できます。
経済産業省が公開した「情報セキュリティ人材の全体像」の中にも、「情報処理安全確保支援士」の位置づけが明示されています。
図. 情報処理安全確保支援士の位置付け
<NISC 普及啓発・人材育成調査会第三回会合 (2016/8/2) 経済産業省説明資料を基に作成>
SANS が認定するグローバル資格の総称です。情報セキュリティの各分野で具体的な専門性を有することを証明できます。専門分野ごとに区分(セキュリティ管理・運用、フォレンジック、マネジメント、監査、ソフトウェアセキュリティ、セキュア法制)が定められていて、「何のスキルを保持しているか」が明確になっている点が特徴です。
グローバルで、約 92,000 人で、分野毎の取得者数の最新ランキングは以下の表の通りです。SANS トレーニングの中でも、GSEC (GIAC Security Essentials Certification)が 20,997 人と多数を占めています。セキュリティ人材の育成を検討する際には、どのような資格が多く取得されているのかという、これらの実績数も参考になるのではないでしょうか。
なお GIAC 認定試験に挑戦するにあたって、試験に紐付いた SANS トレーニングを受講し、知識や技量を補うことも選択の一つです。トレーニングは、第一線で活躍する技術者から、受講者が現場に持ち帰ってすぐに使える実践的方法論を、直接ハンズオンで学ぶことができます。
受講者のアンケートは毎回高評価で、非常に満足度の高いプログラムです。特定のベンダー、プロダクトに依存しない中立的な立場での講義になっているので、どんな企業に所属する方でも参加できるのも特長の一つです。
(ISC)2 が認定を行うベンダーフリーの情報セキュリティの専門家資格です。グローバルで117,765 名が取得、国内では 1,815 名が取得(2017 年 7 月実績)しています。
理論やメカニズムを理解するだけでなく、その知識を体系的かつ構造的に整理して、状況に応じた適切な判断を行うための、合理的かつ実践的な「知識」と「理解度」が試されます。
欧米では CISO/CSO の 85%以上が CISSP を保有していると言われ、キャリアプランの一部となっているようです(CISSP を取得しないと上位キャリアに進めない)。特に米国では、CISO に必要なスキルや経験として、リーダや IT の経験、修士号や学士号の取得に次いで、CISSP 等の資格が重視され、組織の情報セキュリティ技術者に必要なスキルとしても、半数以上の組織(55.4%)が CISSP 等の取得を挙げています。
日本でも、今後 CISOや情報セキュリティ技術者に CISSP のようなスキルが求められる可能性は十分にあると考えられます。
GIAC や CISSP のような資格を独学で取得するのは難しいです。また、本来必要なのは資格だけではなく業務で活用できる「知識」と「技能」です。
NRI セキュアでは「知識」と「技能」を習得するためのトレーニングを年数回提供しています。このようなトレーニングを自社のセキュリティ担当者に受講させ、集中的に「知識」と「技能」を高めて行くこともセキュリティ人材育成のための施策の一つといえます。
ここ数年、SANS トレーニング と、CISSP トレーニング は非常に活況で、企業のセキュリティ人材育成に対する注目度の高まりと、トレーニングの有効性を強く感じています。
今後も、より多くの方に満足いただけるトレーニングの提供を通じ、企業のサイバーセキュリティ人材育成に寄与していきたいと考えています。セキュリティ人材育成に課題をお持ちのお客様は、ぜひNRIセキュアの「セキュリティ・キャリア・デベロップメント・センター」へご相談ください!
NRIセキュアテクノロジーズ
セキュリティキャリア デベロップメントセンター(SCDC)