ランサムウェアなどによるサイバー攻撃が日本で相次ぐ一方で、日本のセキュリティ人材不足は非常に問題視されています。しかし、IT部門や情報システム部門との兼任によるセキュリティ対策では、サイバー攻撃などのインシデント時、対処できないという状況を引き起こしかねません。
また、IPA(独立行政法人情報処理推進機構)が発表している「情報セキュリティ10大脅威 2021」では、組織での被害の部門において「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインしており、 攻撃のパターンも変わりつつあることがわかります。
この記事では企業としての「インシデント時における対応」と、「セキュリティ人材育成」について解説します。
情報セキュリティ対策について
「情報セキュリティ対策」とはパソコンやインターネットを使用する時、安全に使えるように対策をすることを言います。
なぜセキュリティ対策に取り組まなければならないのか。
それはもしセキュリティインシデントが起こった場合、情報流失をしたりウイルスに感染してデータが消えたりし、企業全体に影響を及ぼす可能性があるからです。
このような被害をなくすためには企業にとってセキュリティ対策は必須であると考えます。
こちらの記事にてPCにおけるセキュリティ対策を詳しくまとめているので、ぜひ合わせてお読みくださいませ。
セキュリティ人材不足に対する政府の対応
2016年に経済産業省が公表した調査「IT人材の最新動向と将来水系に関する調査結果」の中で 2020年19.3万人ものセキュリティ人材が不足すると予想されているように、 これからさらにセキュリティ人材不足はますます深刻化すると考えられます。
また、あるアンケートにおいても全体の70%程度の企業にはセキュリティ専任の部門がなく、専任の専門家を設けていない組織も半数を占めていることがわかりました。
そのような人材の不足という課題に対処するために、経済産業省ではセキュリティキャンプや防衛省によるサイバーコンテストなどを開催し、人材育成や人材発掘に取り組んでいます。
このように国をあげてセキュリティ人材不足に対応しようとしていますが、不足数が一向に少なくならないのは、サイバー攻撃などによるインシデントが巧妙化、複雑化しており、より高度なセキュリティ対策を求められるようになったり、求められるスキルが多様化していることが人材不足の原因となっています。
企業において専任のセキュリティ部門担当者は必要か
先ほどで述べたようにIT部門や情報システム部門との兼任でセキュリティ対策を行なっているという企業は少なくありませんが、兼任でのセキュリティ対策では限界があります。
近年、サイバー攻撃や不正アクセスによる情報漏えいは後を絶ちませんし、実際、セキュリティインシデントが発生した時、迅速な対応を適切に行うことができず、企業全体に影響を及ぼしたという事例も少なからず存在します。
そこで近年注目されているのが、CISO(Chief Information Security Officer)と呼ばれる役員や、CSIRT(Computer Security Incident Response Team)と呼ばれる組織です。
CISO
最高情報セキュリティ責任者と訳され、企業における情報セキュリティを統括する責任者のことを指します。ITやセキュリティなどのスキルだけでなく、橋渡し役として、コミュニケーション力、マネジメント力、戦略・業務の実行力など幅広いスキルが必要となります。
CSIRT
セキュリティインシデントが発生した場合に対策を行う組織のことを指します。CISOに比べてより専門性の高いセキュリティ技術者としての知識やスキルが必要になります。
セキュリティ対策のためには防御策だけでは不十分だと言われているのは、人為的なミスはもちろん、情報機器の不具合など、完全に防ぐ策は存在しないからです。
そのため、緊急事態にすばやく対応可能なCISOやCSIRTという役職の必要性は非常に高まっていると言えます。
セキュリティ業務に必要なスキル
従来セキュリティスキルの習得こそがセキュリティ人材の育成につながるとの考えが主でありましたが、新たな考え方として、セキュリティスキルの習得が目的ではなく、それによって何ができるのかという考え方が必要とされてきています。
2021年に日本ネットワークセキュリティ協会(SecBoK)が公開した『セキュリティ知識分野人材スキルマップ』ではセキュリティ人材の役割を整理し、必要なスキル項目を細かく示しています。
セキュリティ知識分野(SecBoK)人材スキルマップ2021年版
この中でもセキュリティの専門性は非常に広く、全てのスキルを習得することは無謀に近いと思われます。そのため、組織の状況を把握し、それに相応するようなスキルを持つセキュリティ人材が必要となります。
そして、その企業の人間全員が情報セキュリティに対しての意識を持ち、最低限のセキュリティリテラシーを身につけることは、普段の業務を行う時や、インシデント時に非常に役に立つことでしょう。
また、社内の共通認識としてのセキュリティポリシーを決めることもセキュリティ対策に非常に有効でしょう。
ITセキュリティポリシーについてはこちらをご覧ください。
ITセキュリティポリシーを知ろう!
まとめ
- セキュリティ人材不足は13万人にも昇る
- 兼任ではないインシデント対応のための専任のセキュリティ組織が必要である
- 社内の人間全員がセキュリティに関する知識をつけることは社内のセキュリティ対策のために非常に役に立つ
この機にもう一度自社のセキュリティ対策は万全であるか確認するのはもちろん、社員全員にセキュリティ対策への意識を促してみてはいかがでしょうか。