ページの先頭です

デジタル時代のIT人材(3)

変わりゆく情報セキュリティ人材

2018年5月24日 経営・ITコンサルティング部 冨田 高樹

企業等で情報セキュリティ関連業務に携わる人材、すなわち「情報セキュリティ人材」が足りないと叫ばれてから久しい。しかしながら、デジタル時代が本格化する中、人材不足が改善されないどころか深刻化する一方で、情報セキュリティ人材に期待される役割や求められる知識・スキルについては、以前とはかなり変化してきている。本稿では、こうした変化とそれに応じた取り組みについて紹介したい。

人材はなぜ足りないのか

情報セキュリティ人材と聞いて、読者の皆さんがイメージするのはどのような人材だろうか。「サイバー犯罪者を巧みに追い詰める、凄腕のホワイトハッカー」というところかもしれない。確かにこうした人材も活躍しているのだが、人数としてはごくわずかであり、国内企業の大多数を占めるいわゆる“ユーザ系企業”で活躍する情報セキュリティ人材は、サイバー攻撃の監視や防御、インシデント対応や再発防止措置といった地道な作業を日々繰り返しているのである。このような業務に従事している人の多くは守秘義務を課せられ、部外者には何も話せない。「仕事?IT関係かな。」と答える人の中にもセキュリティ担当者がいるかもしれないので、実際にセキュリティに関わっている人は世間で認識されているよりは多いだろう。それでも、現状において情報セキュリティ人材は圧倒的に足りないのである。

独立行政法人情報処理推進機構(IPA)が初めて我が国における情報セキュリティ人材の需給状況に関する調査*1を公表した2012年において、ユーザ系企業で情報セキュリティ業務に従事する人材の推定数は23万人、不足数は2.2万人であった。それが、2016年に経済産業省が公表した調査結果*2では、2020年の必要数が56万人で、19万人が不足すると見込まれている。さらに、産業横断サイバーセキュリティ人材育成検討会が2016年9月に公表した報告書*3では、2016年時点で企業が必要とする情報セキュリティ人材数を65万人と推計している。

このように情報セキュリティ人材への需要が急激に高まっている背景には、社会におけるIT利用、特に「デジタル時代」と呼ばれるほどインターネットへの接続を前提とした利用が普及したことと、サイバー攻撃が深刻化したことが挙げられる。一時期、「標的型攻撃」と呼ばれる、ターゲットとなる個人や組織をピンポイントで攻撃する手法が注目されたが、現在のサイバー攻撃は、同様の手法が情報や金銭を奪えそうなところに手当たり次第に適用されている状況に近く、インターネットに接続されている端末全てがサイバー戦争の「戦場」といっても過言ではない。2018年に入ってからも、大手システムインテグレータにおけるランサムウェアへの感染、国立研究開発法人への不正アクセスによる情報漏えいの発生等のインシデントが報じられており、情報セキュリティ分野の専門家を抱える組織であっても事故を防ぎきれないことが事実として示されている。たとえ1台の端末から得られる情報が断片的なもので、それ自体にほとんど価値がなくても、多くの端末から集めた情報をビッグデータ解析なり、人工知能(AI)による分析なりを通じて、企業の秘密情報や攻撃のヒントなど、価値ある情報を見つけやすくなったことも、こうしたサイバー攻撃の傾向を後押ししていると考えられる。

このような状況であるので、顧客向けにインターネットを介してサービスを提供している大規模組織においては、インシデント対応が日常的な業務となっていることも珍しくない。新たな脅威の動向についても情報収集を持続的に行わなければならない。こうした業務をこなせる人材が自社にいなければ外部委託することが考えられるが、前述の経済産業省の調査*2では、国内で情報セキュリティ関連の社外向けサービスを提供するセキュリティベンダーにおける専門人材の合計数を、2016年時点で約1万人弱と推計している。この人数でいざという時にどこまで面倒を見てもらえるかを考えると、ある程度は自社で対応できなければ事業の継続が危ぶまれる。大学等の教育機関で情報セキュリティを学ぶ機会を増やす取り組みは着実に進展しているが、こうした教育を修了した人材が社会で本格的に活躍するにはもう少し時間がかかる。情報セキュリティ人材の不足数の大幅な増加は、以上のような実態を反映しているのである。

情報セキュリティ人材に求められる知識・スキルとは

情報セキュリティ人材に対する需要の高まりとともに、人材に求められる知識やスキルの内容も変化している。かつてはITスキル標準(ITSS)の定める専門分野「ITスペシャリスト(情報セキュリティ)」のスキル項目を一通り把握していることが期待されていた。ところが、セキュリティ人材に求められる専門性が高度化するとともに活動範囲が拡がった結果、1人で全てをカバーすることが現実的でない上に適切でもなくなってきた。そこで、2017年4月にIPAより公表されたITSS+*4では、「セキュリティ領域」について、13種類の専門分野とそれぞれに応じたタスクやスキルを定めている。これは、同時期に制度運用が開始された情報処理安全確保支援士(登録セキスペ)の対象業務として想定されている内容を包含するものである。

ITSS+「セキュリティ領域」で定義されている専門分野

左右スクロールで表全体を閲覧できます

対象フェーズ 専門分野
経営課題への対応 情報セキュリティストラテジ(※)
設計・開発 情報セキュリティデザイン
セキュア開発管理
運用・保守 情報セキュリティアドミニストレーション
情報セキュリティアナリシス
脆弱性診断(※)
CSIRTコマンド
CSIRTキュレーション
CSIRTリエゾン
インシデントハンドリング
デジタルフォレンジクス
情報セキュリティインベスティゲーション
セキュリティ監査 情報セキュリティ監査

注:(※)の専門分野は「設計開発」フェーズの業務も対象に含む。
出所:独立行政法人情報処理推進機構公表資料を基に、みずほ情報総研作成

一方、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)では、米国において政府機関等で活躍する情報セキュリティ人材の確保・育成を目的として作成されたNICE Cybersecurity Workforce Frameworkを基に、国内企業で必要性の高い情報セキュリティ分野の16分類・19種類の役割を定義した上で、それぞれの役割を遂行するにあたり必要となる知識・スキルを整理した「セキュリティ知識分野(SecBoK)人材スキルマップ」*5を公表している。企業はこれらの公表物を活用することで、自らの組織にどのような情報セキュリティ人材が必要で、どのような知識やスキルを習得させればよいかを把握することができる。

なお、ITSS+やSecBoKで定義されている多くの専門分野や役割は、1人で複数の専門分野や役割を担当したり、情報セキュリティ対策以外の業務と兼務したりするなどのマルチロールを前提としている。情報セキュリティ人材を増やすといっても、多くの企業において専従の要員を純増として増やすのは難しく、必要な時に「情報セキュリティ業務にも」従事できる知識やスキルを備えた人材を育成ないし確保することで対応することになると思われる。ITSS+はこのような企業ニーズを踏まえ、IT人材の“学び直し”による情報セキュリティ分野の知識・スキルの習得を意識した構成となっている。また、内閣サイバーセキュリティセンター(NISC)では、事業部門においてリスクマネジメントを担う人材を「戦略マネジメント層」と定義し、情報セキュリティに関する事業リスクも扱えるようになるために、このような人材が備えるべき知識・スキルと、その習得のためのカリキュラムについて検討*6している。このほかJNSAにおいても、国内における情報セキュリティ人材のエコシステム確立を目指した情報セキュリティ教育事業者による取り組み*7が開始されている。

多様なスキルの習得機会の提供

ITSS+やSecBoKで求められるスキルは多様であり、中にはコミュニケーションスキルのように座学での習得が難しいものもある。情報処理安全確保支援士制度では、資格維持のための講習において、eラーニング形式のオンライン講習と併用してケーススタディ形式のグループディスカッションを含む集合研修を実施することで、情報セキュリティ人材に求められるスキルの多様性に対応している。

一方、インシデント対応に関するスキルは実際の経験を通じて習得するのが効果的であるが、多くの企業ではインシデント対応を自社でのOJTで学ぶのは難しい。そこで、国立研究開発法人情報通信研究機構(NICT)や一般社団法人金融ISAC、その他多くの民間事業者により、インシデント対応演習が実施されている。インシデント対応を担う情報セキュリティ人材は、このような演習に参加することで、通常では経験することが難しい場面を対象とした演習を通じて実践的なスキルを習得することができる。

以上、情報セキュリティ人材の育成に関する最新の動向について紹介した。情報セキュリティ関連業務の場合、サイバー攻撃など脅威のトレンドが突然変化すれば、守る側も待ったなしで即応を迫られる点が、他のIT業務との最大の違いである。今後は過去の攻撃パターンを学習したAIを活用することによる効率化なども期待されているが、AIの判断の裏をかくような攻撃も予想され、完全な機械任せは難しいものと考えられる。かつてダーウィンが唱えたように、来たるべき脅威の変化に適応できるような知識・スキルを継続的に身につけていくことが、情報セキュリティ人材には必然的に求められていくのであろう。

  1. *1 情報セキュリティ人材の育成に関する基礎調査
  2. *2 ITベンチャー等によるイノベーション促進のための人材育成・確保モデル事業 事業報告書
    (第2部 今後のIT人材需給推計モデル構築等 編)(PDF/7,920KB)
  3. *3 産業横断サイバーセキュリティ人材育成検討会 報告書(第一期 最終報告)
  4. *4 ITSS+(プラス)
  5. *5 セキュリティ知識分野(SecBoK)人材スキルマップ2017年版
  6. *6 サイバーセキュリティ人材の育成に関する施策間連携ワーキンググループ
  7. *7 http://www.jnsa.org/isepa/activities/jtag.html

関連情報

【連載】デジタル時代のIT人材

2018年4月27日
“原理原則に従う”アジャイル開発
2018年4月20日
デジタルトランスフォーメーション(DX)の成功に向けて
ーDX時代の新スキル標準「ITSS+」ー
ページの先頭へ