経済産業省が訴える“今そこにある危機” トップエンジニアが集まる企業の事例から「人材育成のあるべき姿」を探るセキュリティのコア人材確保のために「面」で取り組む

テレワークが浸透する中、セキュリティの分野でさまざまな変化が起こっている。高度化するサイバー攻撃に合わせて企業の経営者はどういった対策を取るべきなのか。サイバー空間におけるビジネスに必要となるセキュリティ体制はどのように構築すればいいのだろうか。

» 2021年03月30日 10時00分 公開
[PR/ITmedia]
PR

 2021年3月1〜5日、「ITmedia Security Week 2021春」がオンラインで開催された。時と場所を選ばない新たな働き方が求められており、そのために情報システムの見直しに取り組む企業は多い。この変化の中では、情報セキュリティも変革を避けては通れない。本稿では情報セキュリティを変革するための「経営と人材育成」に関する3つの講演を要約する。

サイバーセキュリティの最新動向と経済産業省の施策

 経済産業省の鴨田浩明氏(商務情報政策局 サイバーセキュリティ課 企画官)はサイバーセキュリティの動向と、経済産業省で進めるサイバーセキュリティ経営に関する政策を紹介した。

画像 経済産業省の鴨田浩明氏

 鴨田氏は「IPA(独立行政法人情報処理推進機構)が発表している『情報セキュリティ10大脅威』の2021年版にて『テレワークなどのニューノーマルな働き方を狙った攻撃』が上位に入っている。脅威が変化していることの表れだ」としている。

 サイバー攻撃のパターンも変わりつつある。データを暗号化し、復号するために金銭を要求する身代金要求型マルウェア「ランサムウェア」は現在、暗号化と同時に重要データの公開を迫る「二重の脅迫」になっているという。

 「データの復旧だけではなく、秘匿情報を暴露されないためにも身代金を要求される。身代金を払ったとしても、データの復旧は保証されない。それどころか犯罪者に資金提供したと見なされ、被害者から加害者に認定されることもある」(鴨田氏)

 経済産業省は、高度化するサイバー攻撃に対応するため、セキュリティに関するフレームワークとガイドラインを提供している。サプライチェーン全体のリスクに対する「サイバー・フィジカル・セキュリティ対策フレームワーク」と、フレームワークを使って誰がどう対処すべきかをまとめた「サイバーセキュリティ経営ガイドライン」だ。

画像 サイバーセキュリティ人材育成・活躍促進パッケージの全体像

 ガイドラインは「経営者が認識すべき3つの原則」と、サイバーセキュリティ対策を実施する上での責任者(CISO<最高情報セキュリティ責任者>などの担当幹部)に「経営者が指示すべき10の重要事項」で構成されている。鴨田氏は「何らかのインシデントが発生した際にガイドラインに沿った対策を取っていれば、サービスの利用者や投資家など企業のステークホルダーに対し『被害に対して経営責任を果たしている』と証明するための助けになる」と語る。

 ガイドラインでは、重要事項の一つとして「不足しているセキュリティ人材の確保・育成」を挙げている。「経営者は最近の攻撃の動向を踏まえ、経営だけでなくセキュリティ人材育成についても対策に取り組んでほしい」と鴨田氏は訴える。

サイバー空間におけるビジネスに必要となるセキュリティ体制

 経済産業省のサイバーセキュリティ経営ガイドラインの付録である「サイバーセキュリティ体制構築・人材確保の手引き」は、セキュリティ人材育成やリスク管理体制の構築を実践するための考え方が提示されている。

画像 『セキュリティ体制構築・人材確保の手引き』の開発

 この手引きに基づき、「サイバー空間における、ビジネスに必要なセキュリティ体制の構築と運用」について解説したのは、一般社団法人サイバーリスク情報センター(CRIC)の荒川大氏(事務局長)だ。

 「これまで『事業継続と価値創出に関わるリスクマネジメントを支える人材』を『戦略マネジメント層』として定義してきたが、DXを進める中で、組織全体を視野に入れた『セキュリティ統括機能の検討』と事業特性に合わせた『プラス・セキュリティ人材の育成』が必要になってきている」

画像 CRICの荒川大氏

 ここでいうセキュリティ統括機能とは、CISOや経営層を補佐してセキュリティ対策とセキュリティインシデント対応を組織横断的に統括すること。プラス・セキュリティ人材とは、自らの業務遂行に当たってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力を身に付けられる人材のことだ。

 荒川氏は続けて、セキュリティに関する体制構築について説明する。

 「リスク管理体制については、DXの推進によって従来の『リスクマネジメント委員会』とサイバーセキュリティや情報セキュリティに関する取り組みを管轄する『情報セキュリティ委員会』のスコープが混在する。そのため、2つの委員会の活動内容を新たに整理、調整していく必要がある」

 同氏によると、これまで情報セキュリティの専門組織は情報システム部門に配置されることが多かったが、最近では法規制への対応やプライバシー保護など活動範囲が多岐にわたることから、切り離して設置されることが増えているという。

 「自社に最適なセキュリティ体制を検討する場合は、経済産業省が公開しているサイバー・フィジカル・セキュリティ対策フレームワークなど『リスク源と対策』を示した文書を活用し、リスクの観点から対策を実現するための体制やプロセスを検討することが重要だ」

 荒川氏は、セキュリティ体制や人材に関する参考文献についても紹介する。

 セキュリティ人材の配置に関しては、産業横断サイバーセキュリティ検討会(CRIC CSF)が定めた「人材定義レファレンス」が参考になるという。これは「セキュリティ運用を担うセキュリティ人材の役割」と「システム運用のセキュリティ対応を担うIT人材の役割」の関係性を整理したもので、どのように協力関係を構築していくべきかが示されている。

 一般社団法人日本経済団体連合会が発行する「サイバーリスクハンドブック 取締役向けハンドブック 日本版」では、サイバーセキュリティに関する5つの原則が説明されている。原則3には「取締役会がサイバーセキュリティに関する専門知識を利用できるようにすべきだ」と示されており、「『サイバーセキュリティは経営課題』というテーマに対する1つの考え方として参考にしてほしい」と荒川氏は言う。

 「サイバーセキュリティの対応範囲は広いので、CISOを1人置いてもそれでうまく進むとは限らない。セキュリティ統括機能については、必要に応じて専門組織とするなど、サプライチェーン・サイバーセキュリティの観点から、社内外へ示せる形で構築することも検討してほしい」

セキュリティのコア人材確保のために「面」で取り組む

画像 NECの淵上真一氏

 「経営と人材育成 〜なぜ、NECにトップエンジニアが集まるのか〜」と題して講演したのは、NECの淵上真一氏(サイバーセキュリティ戦略本部 本部長代理)だ。

 「セキュリティを取り巻く状況は変化している。ゼロトラストの考え方が浸透しつつあり、DevSecOpsやアジャイル、マイクロサービスなど開発側の変化もある。こうした変化の中で、セキュリティをいかに保証するかが課題となっている」と淵上氏は指摘する。

 淵上氏は「セキュリティ人材不足の課題を解決するためには、3つのポイントがある」と言う。

従業員のセキュリティのスキルとリテラシーを向上させる

 このポイントで重要なのは「セキュリティ・アウェアネス」だ。セキュリティ・アウェアネスとは、米国国立標準技術研究所(NIST)の発行するSP800-16に定義されている考え方で「セキュリティに対する意識を向上させ、各従業員がサイバーセキュリティの問題を認識し、適切に対応できる」ことを指す。「セキュリティ・アウェアネスは、自分の業務の中で、どういう危険性があるかのリスクを意識することだ。アウェアネスがなければ検知も対処もできない」と淵上氏は言う。

IT部門のセキュリティスキルを確保する

 このポイントでは「セキュリティファースト」が重要だ。サービスを構築するだけなら簡単だが、セキュリティのスキルを身に付けるためには一人一人が「どのような役割や機能を求められているか」を考える必要がある。IT部門であればセキュリティの基本スキルと、CSIRTの要素を考慮したスキルを身に付けることが必要だ。

 「IT部門はビジネスに対して直接インパクトのある部分を担うことが多くなっている。そのため、開発の現場では『セキュリティ・バイ・デザイン』につながるように、企画、計画の段階からセキュリティを考える。そして、現実のイメージに近い形でトレーニングすることが重要だ」(淵上氏)

セキュリティの専門家となる高いスキルを持つ「ハイスキル人材」を確保する

 「ここでいうハイスキル人材とは、“セキュリティの側面でコアとなる人材”のことだ。『IT部門が分かっていれば大丈夫』とする経営層はいるが、ハイスキル人材がいるからこそ、IT部門や一般ユーザーのアウェアネスがきちんと機能する」(淵上氏)

 だが、高い報酬を用意してハイスキル人材を確保できても、その人がビジネスに貢献する形で継続的に働いてくれるとは限らない。ハイスキル人材を確保するには、どうすればいいのか。

待遇よりも「橋渡し人材」が重要

 淵上氏は「特別な待遇を用意しているわけではないが、NECには高いスキルを持つエンジニアが多数在籍している」と言う。

画像 NECのセキュリティエンジニア

 「例えばシステムの堅牢(けんろう)化技術を競う日本最大規模の競技会で最優秀企業賞を獲得したエンジニア、サイバーセキュリティトレーニングのオンラインプラットフォームで日本人初の世界ランキングトップ10入りしたエンジニアなどがいる。そういった高いスキルを持つエンジニアを確保する鍵は『橋渡し人材』だ」

 考え方としては、特定のスキルを持った人材を“点”で確保するのではなく、ビジネスを中心にそれぞれの特性を持った人の間をつなぐ人材を軸に“面”で捉えることが重要だという。

 淵上氏は「ハイスキル人材を確保するためには、高いスキルを持ち、テクニカルな思考を持った人材と、組織が進めるビジネスをつなぐ人材が必要だ。単に『ハイスキル人材を、どう確保するか』を考えるだけではなく、ビジネスとの橋渡しになる人材を軸に、人材育成全体を考える必要がある」と講演を締めくくった。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本電気株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2021年4月29日