セキュリティの人材難、ITとセキュリティの担当を分けるべき？

セキュリティ人材の確保が難しくなる状況に企業はどう対応すべきか。NRIセキュアが“あるべき姿”への取り組みを提言している。

[國谷武史，ITmedia]

　NRIセキュアテクノロジーズは2月16日、上場企業を中心に実施した「企業における情報セキュリティ実態調査2015」の結果を発表した。企業ではセキュリティ対策を担う人材の不足が大きな課題になっている実態が浮き彫りになり、同社は「情報セキュリティ全体を管理できる体制を整備すべき」と提言している。

　調査は14回目となるもので、2015年9月〜10月に上場企業を中心とした3000社にアンケートを実施。665社から回答を得た。

　特に情報セキュリティ人材に関して、「不足している」「どちらかといえば不足している」との回答は82.1％（合計値）に上り、前回の82.9％、前々回の84.5％と比較しても人材不足が慢性化している実態が分かった。一方で「充足している」との回答は前々回の1.9％から今回は4.2％に上昇しており、わずかながら改善傾向に見てとれるという。

情報セキュリティ人材の充足状況（出典：NRIセキュアテクノロジーズ）

　また、情報セキュリティの最高責任者（CISO）を専任で設置している企業は2.9％、情報システムの最高責任者（CIO）が兼務する企業は43.0％あった。

情報セキュリティ統括者の設置状況（出典：NRIセキュアテクノロジーズ）

　企業では2015年に発生した日本年金機構でのサイバー攻撃に伴う個人情報漏えい事件を契機に、情報セキュリティの強化が緊急課題になっているという。しかし、国内にはサイバー攻撃などの脅威に対応できる経験や知見など持ったセキュリティ人材が少なく、一般企業やセキュリティ事業者、政府・公共機関などの間で人材の獲得競争が激化しているといわれる。

　情報セキュリティ人材の調達方針について、70.2％の企業は「自社で育成」と回答。32.0％が「専門会社に委託」、17.9％が「即戦力の人材を新規雇用」とした。自社で育成する上での課題には「キャリアパスの不足」（72.4％）や「研修コースの不足」（46.9％）などが挙がる。

　しかし、重視するセキュリティ対策では44.4％の企業が「従業員のセキュリティ教育」と回答しており、セキュリティ人材の社内育成を挙げる企業は7.8％にとどまった。多くの企業がセキュリティ人材の育成について必要性を感じながらも、優先事項とはしていない様子もうかがえる。

“あるべき姿”を整える

　調査結果についてストラテジーコンサルティング部セキュリティコンサルタントの森茉莉香氏は、「現状ではITのセキュリティが重視され、企業の情報セキュリティ全体を横串で管理する体制が整っていない」と指摘。情報セキュリティ全体を管理する“あるべき姿”としては、情報システム部門と情報セキュリティ部門を切り分け、CIOとCISOがそれぞれに部門を統括しながら両部門で連携してセキュリティに取り組み、経営者をトップとする管理体制だという。

企業における“あるべき”情報セキュリティ管理体制の姿（NRIセキュアテクノロジーズ資料より抜粋）

　CISOは情報セキュリティ全体の責任者として経営層とコミュニケーションを取る立場であり、企業にはCISOの設置が急がれる。直近でCISOの確保が難しい場合は、外部の専門家を補佐官として期限付きで採用するほか、CIOが兼務しながらCISOを設置できるように取り組む方法もあるという。また、CISOをキャリアパスとすることで、社内での人材育成も進めやすい。

　ストラテジーコンサルティング部長の足立道拡氏は、「情報セキュリティへの取り組みはROI（投資対効果）を追求するものではなく、リスク管理として認識していただきたい。セキュリティリスクは常に変わるため、リスクの状況やその対応について経営層から現場まで認識を合わせられるようにすることが重要」とアドバイスしている。