セキュリティ専任職の採用 「予定なし」企業は半数に

サイバー攻撃や情報漏えいなどが問題化しているものの、ガートナーの調査では自社に専任担当者を置く考えのない企業が半数近くを占めた。

[ITmedia]

　サイバー攻撃や内部不正など情報セキュリティのリスクに対する認識が企業で広まる一方、半数近い企業はセキュリティ専門の人材を雇用する考えがないという。ガートナー ジャパンが7月1日に発表した調査結果で判明した。

　それによると、この2年間に情報漏えいや標的型攻撃の対策として、情報システム部門でセキュリティ専門職を採用した企業は29.1％、採用活動中は8.2％だった。しかし48.9％は「採用計画がない」と回答、採用活動をしても採用を見合わせたケースも5.2％あった。

情報セキュリティ専門職の採用状況（n=515）、出典：ガートナー／調査・2015年3月

　「セキュリティ担当者がいる」とした企業は81.3％に上り、形態では兼務者を4人以上配置しているケースが多い。また、セキュリティ担当者の肩書や資格の保有状況では「肩書なし」が43.1％、「情報セキュリティ委員長」が36.6％、「プライバシーマーク委員長」が19.7％などだった。

情報セキュリティ人材の肩書きと認定資格の保有状況（複数回答、n=508）、出典：ガートナー／調査・2015年3月（CISA＝Certified Information System Auditor、CISM＝Certified Information Security Manager）

　調査結果についてリサーチ部門リサーチ ディレクターの石橋正彦氏は、「企業は最高情報セキュリティ責任者（CISO）の肩書を持つ専門的な人材を任命すべき」と指摘する。上記の調査でCISOを任命している企業は18.9％に上る。

　CISOは、情報システムなど技術部門の責任者（CIOなど）とは異なり、取締役会の一員として情報セキュリティを統括し、「情報セキュリティに関する技術や知識、監査などの能力に加えて、CEO（最高経営責任者）やCIOと対話し、取締役に対して説明できる高いコミュニケーション・スキルが求められる」（石橋氏）立場だ。

　また同氏は、CISO任命以外に、セキュリティ事故（インシデント）などの予防や発生時の対応などにあたる「CSIRT」の重要性も指摘。国内では2014年頃からCSIRTを構築する企業が増えているものの、自社でインシデントを解析できるというより、「システム障害を取締役会に報告するための組織」と誤認するケースがみられるという。「自社のセキュリティの成熟度に応じて、技術スキルとビジネススキルを兼ね備え、インシデントに対処できるCSIRT管理者がますます求められるようになる」と述べている。