目次

はじめに

サイバーセキュリティリスク管理体制とは

サイバーセキュリティ人材とは

一般業務に従事するセキュリティ人材の必要性

おわりに

はじめに

デジタル化技術の発展により、サイバー攻撃の被害が拡大しています。サイバー攻撃は事業の継続に対する影響や、人命にかかわる被害など、より大きなリスクに直結する問題となっています。また、サイバー攻撃の手法は日々変化するため、さらに問題を難しくさせています。この問題を対策するためのサイバーセキュリティ対策は、一部署・一企業にとどまらず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるより多くの企業を巻き込んだ対策としてとらえる必要があります。常に変化するサイバーセキュリティリスクに対応するための組織のあり方と、従事する人材をどのように配置するか、またどのように確保するか。今回は、DX推進リーダー人材を育成するために必要な５つの基礎能力のうち、「継続性・人材育成」、その中でもサイバーセキュリティの体制および人材についてお話しさせていただきます。

サイバーセキュリティリスク管理体制とは

サイバーセキュリティリスク管理体制とは、組織としてのサイバーセキュリティリスクの把握や、サイバーセキュリティ対策を行うために構築する組織体制のことを表します。サイバーセキュリティリスク管理体制を策定する際は、業種、事業規模、情報システム部門の有無など、企業によって、望ましいサイバーセキュリティ対策が異なるため、企業ごとに検討することが重要になります。たとえば、大手製造業であれば、PSIRT（自社製品やサービスに関するセキュリティを担当）／ CSIRT（企業内のセキュリティを担当）が分かれ、それぞれのスコープの中でサイバーセキュリティリスクに対応することがあります。それに比べ、中小企業では１人の人員が、「開発担当」兼「情報システム担当」兼「セキュリティ担当」を行っており、とても管理と呼べない中でセキュリティを死守している、もしくは偶然事故が起きていない、といったケースも少なくありません。
サイバーセキュリティリスクの管理体制を適切に整備していない場合、責任の所在があいまいとなり、適切な対策が講じられず、かつ、インシデント発生時の被害が拡大することが考えられます。このため、経営者のリーダシップの下、サイバーセキュリティリスク管理体制を構築することが求められています。体制不備による事故があった場合は経営者の責任です。経営者は自社のリスクマネジメントの一環として、事業環境を守るサイバーセキュリティ体制を構築する必要があります。そのサイバーセキュリティ対策を主たる目的とする業務に必要な知識・スキルを備えた人材（サイバーセキュリティ人材）をどのように確保するかが、企業としての課題となってきます。

サイバーセキュリティ人材とは

自社のサイバーセキュリティリスクを把握し、その対策を推進する人材です。当然、サイバーセキュリティに関するリスクと対策について理解するのに必要な知識、スキルが求められます。サイバーセキュリティ分野は変化が激しく、多様な知識・スキルが必要であり、それを維持し続けるには継続的な学習や、実践の機会確保が必要となります。
現在、サイバーセキュリティに関する専門性を有する人材は不足しており、確保するのは困難な状況となっています。サイバーセキュリティを主たる業務とする人材は、自社で確保する方法と、外部に委託する方法の２種類があります。

１．自社要員
自社の要員として、サイバーセキュリティのリスクを把握し、対策を推進する人材を確保します。例えば、DX推進に必要な「リスキリング」の考え方の元に、セキュリティ分野の教育・トレーニング等を行い、人材を育成する、という方法も考えられます。自組織においてセキュリティ分野の教育・トレーニング等の実施が困難な場合は、外部の組織が提供するセキュリティ研修等の活用などを利用し、サイバーセキュリティに関する専門性を身につけることも考えられます。
社内にセキュリティに関する必要な知識、スキルを保有する人員が存在しない場合は、セキュリティを専門とした教育機関を修了した人員を採用したり、セキュリティ対策の業務経験を有する人員を中途採用したりすることが考えられます。

２．外部委託
サイバーセキュリティに関する機能の一部をセキュリティ専門事業者に依頼し、必要な専門性とリソースを確保する方法です。委託できる範囲は各企業によって異なるので、サイバーセキュリティリスク管理体制構築時、経営者など、より上位の層において判断することが適切です。なお、外部委託はそのものがセキュリティのリスクとして考えなければならず、リソースの充足状況だけで判断できるものではありません。また、外部委託する場合は、経営者が委託先を監督する責任を負う必要があります。このため、信頼できる外部のベンダへの委託が重要となります。
サイバーセキュリティ対策に外部委託を活用していても、脆弱性診断や監視サービス等の提供事業者からの報告内容を適切に理解し、対策を反映するスキルを備えた人材が社内に必要となります。

一般業務に従事するセキュリティ人材の必要性

サイバーセキュリティ対策業務を行う全ての人材がセキュリティの専任である必要はありません。むしろ、事業部門、管理部門等においてそれぞれの業務に従事する人材にも、サイバーセキュリティに関する意識を持ち、対策に求められる知識・スキルが必要となります。
例えば、クラウドを活用した新サービスを立ち上げる担当者であれば、サービスの目的とは異なる不適切なクラウドプラットフォームを選定してしまい、一般的に信頼されていないクラウドを使用することにより、情報漏洩のリスクが高まることもあります。また、自社の設備担当部署が、セキュリティの知識がないまま脆弱な監視カメラを導入した結果、社内のリアルタイムな映像がインターネット上に公開されていた、という状況にもなりかねません。
企業におけるデジタル活用が進む中で、一般業務に携わっている人材にも、サイバーセキュリティを意識し、十分なセキュリティ対策を実現できる能力を身につける必要があります。また、それらの人材にも、自社のサイバーセキュリティを確保するうえで、重要な役割を担っていることを意識する必要があります。そのうえで、平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するために、サイバーセキュリティ人材との積極的なコミュニケーションとともに、サイバーセキュリティ人材から、サイバーセキュリティ対策に関する情報開示を行うことなどで信頼関係を醸成しておくことも重要です。
経済産業省による、「サイバーセキュリティ体制構築・人材確保の手引き」では、上述したそれぞれの業務に従事する人材の、セキュリティに対する意識・状態について、「自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力を身につけること、あるいは身につけている状態」と位置づけ、「プラス・セキュリティ」と呼んでいます。デジタル部門、事業部門、管理部門等においてそれぞれの業務に従事する人材が、サイバーセキュリティを意識し、業務遂行に伴うサイバーセキュリティ対策の実施に必要な能力を備えることができるように学習し、「プラス・セキュリティ」として行動することが重要となるでしょう。
このように、サイバーセキュリティに関する専門性を有する人材を確保するのは容易なことではありません。長期的な視点で人材確保に努める必要があります。そのために、セキュリティ人材が有するスキルを測る指標の一つとして、民間企業が提供する専門資格や IPA が実施している情報処理安全確保支援士制度などを活用することも有効です。また、それらの人材に対し、適切な処遇の維持、改善ができないと、自社にとどめておくことができない、ということも忘れずに考えておく必要がありそうです。また一方で、これからセキュリティについて勉強する方は、世間一般に必要とされているセキュリティの知識・技術を学ぶことで、自身のスキルアップとして価値を高めるにはいいきっかけになるのかもしれません。

おわりに

今回はDX推進に必要な、サイバーセキュリティの体制および人材について記載いたしました。どちらも実現するのは容易ではなく、また継続して活動し、改善しなければ意味がありません。また、現状事故が起きていないとしても、事故が発生すると事業停止、信用失墜など、経営上の大きな支障になりかねません。
必要とはわかっているものの、どこから手を付けたら良いのか、また何をすべきなのかがわからない、といった関係者にとって、経済産業省とIPAからガイドラインが公開されています。本記事も、上記内容をベースに記載してあります。ご興味のある方は、ぜひご一読ください。

〇サイバーセキュリティ経営ガイドライン ver3.0
(https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf)

〇サイバーセキュリティ経営ガイドライン Ver2.0
付録F サイバーセキュリティ体制構築・人材確保の手引き
(https://www.meti.go.jp/policy/netsecurity/tebikihontai2.pdf)