最新セキュリティマネジメント（第5回） サイバーセキュリティ対策のための資源確保

　経済産業省が策定した「セキュリティ経営ガイドライン」で、経営者が社内に指示すべきポイントとして示された「重要10項目」。今回は3番目の項目となる「サイバーセキュリティ対策のための資源（予算・人材等）確保」について解説する。

管理体制構築の進め方

　経済産業省と独立行政法人情報処理推進機構（IPA）が共同で策定した「サイバーセキュリティ経営ガイドライン Ver2.0」では、企業のIT活用を推進する上で経営者が認識すべきサイバーセキュリティに関する原則や、経営者がリーダーシップをもって取り組むべき項目がまとめられている。

　本ガイドラインで示された方針を踏まえ、経営者はセキュリティ対策に関連する業務を担当する人材を選出するとともに、対策に必要な予算を確保していくことになる。そこで今回は、サイバーセキュリティ対策のための資源確保について解説する。

すべての部署が「当事者」に

　近年、大きなビジネス上の課題となっている「人材不足」。業種や職種を問わず、さまざまな企業で必要な人材が十分確保できない状況が発生している。中でも専門的な知識、経験が求められるセキュリティ分野では、採用から育成に至るすべてのシーンで不足が深刻化しているのが現状となっている。

　企業でセキュリティ対策の中心となるのは、全体的な取り組みを管理する「セキュリティ統括」分野や、関連するタスクを担う「セキュリティ監視・運用」分野だ。一方、情報処理推進機構が実施した調査によると、日本のユーザー企業で専任のCISO（最高情報セキュリティ責任者）を置いているのは全体の7.5%、インシデントへの対応を行うCSIRT（Computer Security Incident Response Team）に1名以上の専任メンバーを配置している企業は31.1%で、多くの場合は他業務と兼務する形になっている。

　また、JUAS（日本情報システム・ユーザー協会）の調査では、マネジメントレベル、および実務レベルのセキュリティ人材不足が大きな課題になっていることも示されている。このため、まずは担当者がセキュリティ業務に専念できる環境をつくるとともに、対策実施に求められる専門的なスキルの習得や向上などを進める必要がある。

「セキュリティ統括機能」の役割

　人材不足の厳しい状況下であっても、企業にとってセキュリティ対策は必要不可欠のテーマだ。どのような方法で人材を確保すればよいのだろうか。本ガイドラインでは、以下のような方法を示している。

(1)リスクマネジメントや経営管理に関する業務経験を有する人材の配置転換および育成
　災害対策などのリスクマネジメントや経営上の問題への対処を行う部署での業務経験を有する人材が、セキュリティ対策に関する業務を遂行するのに必要な知識・スキルを習得することによって対応する方法

(2)IT の管理・運用に関する業務経験を有する人材の配置転換および育成
　情報システム部門やIT部門などで社内の情報システムやネットワークの管理・運用に携わっていた人材が、セキュリティ対策に関する業務を遂行するために必要な知識・スキルを習得することによって対応する方法

(3)セキュリティ対策関連の業務経験を有する人材の中途採用
　他社などでセキュリティ対策業務に従事した経験を有する人材を中途採用し、自社で活用する方法

(4)セキュリティを専門とする教育機関を修了した人材の新卒採用
　セキュリティに関する専門教育を提供する大学院、大学、高専、専門学校などを修了した人材を新卒採用してセキュリティ対策業務を行う部署に配属する方法

(5)兼業や副業で従事する人材の活用
　他企業などでセキュリティの専門性を発揮している人材が、兼業や副業の形で別の企業のセキュリティ対策業務を担う方法

　上記のうち①、②は既に社内にいる人材の中から選抜し、育成する方法だ。しかし、「選抜しようにも、現在の仕事で手いっぱいで余裕がない」という企業が多いのも事実。このようなとき、情報システム部門の人員に一括で兼務させたり、「この人は（社員の中では）ITに強いから」といった理由で安易に担当させたりするケースが見られる。これでは対策強化が望めないばかりか、不測の事態が発生した際の混乱は避けられない。社内人材活用が難しい場合は③、④のような手段で、積極的に新たな人材を迎える努力が必要だ。

　また、最近注目を集めているのが⑤の方法。中小企業などで、専門人材を常勤で雇用する余裕がない場合に特定の曜日のみ非常勤勤務で対応したり、セキュリティの専門性を有する人材が少ない地域では、１名の人材に複数企業で活躍したりしてもらうといった工夫により、セキュリティ人材確保が可能になることが期待されている。

実務担当部門の選定

　サイバーセキュリティ対策に必要な予算は企業ごとにさまざまで、いわゆる「相場」というものは存在しない。投じた予算に比例して対策レベルが上がるものはないことを踏まえ、まずは自社がどんな対策を実施するのか、必要な費用はどれほどなのかを明確にすることが大切になる。

　システム機器やソフトウエアに関する費用以外に、予算の使い道として大きな部分を占めるのが「教育」に関わる費用だ。担当者に専門知識を持たせるための研修や、セキュリティ認識を深める一般社員向けセミナーなどの教育は継続的に行うことが求められる。場合によっては外部から講師を招く機会もあるだろう。対策の効果を高めるためにも、あらかじめ明確な方針を定めて予算を考えておこう。

　上記のような各種の方法を検討しても、諸般の事情により社内で人材を選出できず、新規の雇用も難しいといった場合は、セキュリティのプロフェッショナルである社外ベンダー活用も1つの選択肢となる。ただし、関連業務を外部に「丸投げ」してしまうことは避けたい。インシデント発生時に責任を負うのは当事者となる企業であり、「ベンダーに一任していました」という言い訳は通用しない。他業務との兼務、あるいは専門知識が不十分であっても担当者を決めて、社員も適切に関与させておくことが必要だ。

　人材と予算確保の完了後は、あらかじめ定めた方針に基づき人材育成を進めることになる。本ガイドラインではセキュリティ人材が有するスキルを測る指標の1つとして、民間企業が提供する専門資格やIPAが実施する情報処理安全確保支援士制度を用いることや、自社での人材育成が難しい企業に向けてIPAのサイバーセキュリティセンターが実施している研修の活用を提案している。

　なお、本ガイドラインでは企業から得られた意見として、セキュリティ担当者（実務者・技術者層）の確保におけるポイントを下記の表で紹介している。業種や規模に合わせ、適した人材を選ぶことが重要だ。

●セキュリティ担当者の確保におけるポイント（企業から得られた意見）

出典：サイバーセキュリティ体制構築・人材確保の手引き（経産省・IPA）