CSIRTでは不十分、企業のセキュリティ人材の育成課題とは？

約40社が参加する「産業横断サイバーセキュリティ人材育成検討会」が日本企業におけるセキュリティ人材の育成での課題を明確化した。

[ITmedia]

　約40社が参加する「産業横断サイバーセキュリティ人材育成検討会」は1月24日、日本企業でのセキュリティ人材の育成における課題について実態分析の結果を明らかにした。今後はセキュリティ人材像の定義などに広げていく。

　同検討会は、企業・組織が直面するサイバー攻撃対策などの課題における経団連の提言をもとに、2015年6月に発足。産業界が必要とするセキュリティ人材像の明確化と人材育成のためのエコシステムの実現に取り組む。今回の実態分析は人材像の明確化に向けたステップとなる。

　分析結果から検討会は、セキュリティの業務が企業組織内で広い範囲に分散し、CSIRT（コンピュータセキュリティインシデント対応チーム）などのセキュリティ専門組織の人材育成だけでは不十分だと指摘する。

　人材育成に向けた観点としては、（1）新たなセキュリティ職種の規定と育成、（2）セキュリティも分かる管理者・技術者の育成、（3）最高情報セキュリティ責任者を支える人材の育成、（4）外部委託自社対応の区分けに基づく人材要件の分析と育成――が必要だと提起している。

　また、ユーザー企業もセキュリティ人材を育成、採用し、企業として活用・維持し続けられる仕組みが必須だとも指摘。産業界の取り組みに加えて、産学官での連携のあり方を議論することが急務だとしている。

サイバーセキュリティ人材育成のエコシステムのイメージ

　情報処理推進機構（IPA）の2012年の調査によれば、従業員100人以上の企業でセキュリティに従事する技術者は約23万人いるが、必要なスキルを有する人材は9万人強で14万人がスキル不足だとされるほか、新規に約2万2000人を育成する必要があるとされた。従業員100人未満の企業も考慮すると、さらに多くの人材不足が予想される。

　検討会ではこの結果を踏まえて業界や階層別の人材像定義に向け検討範囲を広げる予定。必要な人材像の定義を終えた後に、業界や企業ごとの特徴を踏まえた人材不足の実態を分析し、具体的な人材育成施策を検討していくとしている。