米国にみるセキュリティ人材とCSIRT強化の課題解決：セキュリティインシデントに立ち向かう「CSIRT」（2/3 ページ）

[國谷武史，ITmedia]

技術者だけじゃない人材不足

　ハッカビー氏によれば、前項で挙げたセキュリティ技術者の不足という課題に対して、米国では自社で若い人材をセキュリティ技術者として育成する取り組みが進む。

　「企業が地元大学と協力し、授業やプログラムに投資をしている。自社の専門家を大学に派遣し、講義を通じて学生にサイバーセキュリティの理解を深めてもらい、インターンでは意欲のある学生を積極的に受け入れている」（ハッカビー氏）

　EMCでも同様に取り組み、2014年にはフィッシング詐欺などのサイバー犯罪対策を手掛ける「Anti-Fraud Command Center（AFCC）」を米国インディアナ州のPurdue大学に開設した。AFCCの本部はイスラエルにあるが、Purdue大学に設置したAFCCでは、学生がサイバー犯罪対策のプロから実務を学べるカリキュラムを提供している。

　「若手育成に取り組む企業は、彼らをまず臨時に雇用して技術者に育て上げ、正規雇用に切り替えるパターンが多い。候補者は技術系の素養と問題解決への関心があり、コンピュータに興味があれば尚可といった具合だ」

　ハッカビー氏は、セキュリティ人材の課題について技術者不足以外に、経営層やインシデント対応の現場をつなぐマネージャーも足りないと指摘する。

　その理由は、セキュリティの脅威が経営リスクとして認識されるにつれ、セキュリティ対策の現場と経営層との接点が拡大しているためだ。企業によっては、四半期ごとに対策の現場から経営層へ状況を直接レポートさせるところもある。

　「近年はSIRTのマネージャーに対して、コミュニケーション能力の向上を求める動きが出ている。ITやセキュリティに詳しくない経営層に対策状況や問題を理解してもらえる説明を、SIRTマネージャーがしなければならないためだ」

　セキュリティに限らずITに関するコミュニケーションは、言葉だけでは伝わりにくい面がある。ハッカビー氏は、経営層や取締役が理解できる評価指標を設けることがコミュニケーションのギャップを埋める手立てになるとアドバイスする。セキュリティ状況を指標化してビジネスリスクの指標とも紐づけ、数字という共通言語で共有していく。

　特に重大インシデントが発生すれば、SIRTの対応（情報収集や分析）だけでは終わらず、顧客や取引先への対応を含めて全社的な行動を伴う。経営層がリーダーシップを発揮し、意思決定ができるようになるには、現場の情報を正確かつ分かりやすく経営層に伝えられるスキルを持ったマネージャーが欠かせないわけだ。

IPAが作成した情報セキュリティ人材のキャリアパスのイメージ。セキュリティは組織のあらゆる面に関係するため、キャリアパスも様々だ（出典：IPA）