人材不足を解消する秘策「セキュリティSES」教育カンパニーの強みと未来予測：自衛力獲得の“最初の一歩”を支援

ランサムウェア攻撃の高度化をはじめとしたサイバーセキュリティ脅威の高まりとともに、わが国におけるセキュリティ人材不足の深刻さも度合いを増している。被害を拡大させないために必要なのは「迅速な初動対応ができる」人材だ。

» 2022年01月20日 10時00分公開

[PR／ITmedia]

　セキュリティ人材が枯渇している。経済産業省の商務情報政策局が2016年に発表した「IT人材の最新動向と将来推計に関する調査結果」によれば、2020年時点の推計値で、情報セキュリティ人材の不足数は約19.3万人に上る。

情報セキュリティ人材の人材数・不足数に関する推計（出典：経済産業省　商務情報政策局　情報処理振興課「IT人材の最新動向と将来推計に関する調査結果～報告書概要版～」）

　グローバルセキュリティエキスパート（GSX）の三木剛氏（取締役　西日本支社長）は、大企業ほどの規模のセキュリティ体制を構築できない中堅・中小企業や地方に拠点を構える企業の人材不足を課題視している。

　「首都圏はセキュリティベンダーの拠点が多く事業活動も盛んで、中小企業でも何らかの情報にアクセスする機会があります。しかし当社が拠点を置く西日本はベンダーの拠点が少なかったり、体制が小規模だったりするため首都圏ほど十分な活動ができていません。情報が手に入りにくいためセキュリティ意識が向上せず、サイバー攻撃の被害に遭ってから『どうすればいいか』と懇意のベンダーに電話で指示を仰ぐような状況が続いています」（三木氏）

GSXが提供する「セキュリティSES」とは

　深刻なセキュリティ人材不足の中で企業が自衛力を高めるためにはどうすればいいか。GSXはこうした課題を持つ企業を支援するサービス「セキュリティSES」を提供する。

　セキュリティSESは、インフラ構築やアプリケーション開発といったシステム開発スキルとセキュリティのナレッジやスキルを併せ持つエンジニアを企業に常駐させるサービスだ。顧客企業の要望に合わせてGSXやパートナー企業のメンバーがアサインされ、CSIRT（Computer Security Incident Response Team）支援やISMS（Information Security Management System）といったセキュリティ規定の取得、SOC（Security Operation Center）やセキュリティ製品の導入など、あらゆるセキュリティニーズに網羅的に対応する。

GSXの後藤慶氏

　「人材不足の中で潤沢なセキュリティ人材を確保できているのが、セキュリティ教育カンパニーならではの強みです」とGSXの後藤慶氏（ITソリューション事業本部　本部長　インフラ事業部　事業部長）は語る。

　「当社はサイバーセキュリティ教育カンパニーとしてセキュリティエンジニア育成のノウハウを持っています。メンバーはそこでセキュリティ教育を受け、脆弱（ぜいじゃく）性診断やインシデント対応の技術を得て、当社の認定資格『セキュリスト（SecuriST：認定脆弱性診断士）』を取得します。対応範囲はセキュリティに限定せず、日々のITに関するサポートも担います。新たに開発要件が発生した際は、ネットワークエンジニアやアプリケーションエンジニアをはじめとした豊富な人材で後方支援を提供します」（後藤氏）

強みは「初動対応ができる人材」

GSXの吉見主税氏

　インシデント対応の中でも重要なのが、問題発生直後の「初動対応」だ。GSXの吉見主税氏（取締役　営業本部　ITソリューション事業本部）は以下のように強調する。

　「サイバー攻撃を受けたとき、初期の段階で『何が起きているのか、何をすべきか』を理解して早急に行動できないと深刻な被害を受けることになります。しかしそれができる人材は非常に希少で、社内育成には時間がかかります。そもそもセキュリティ意識が低い組織には、人材を教育するための知識も不足しており、セキュリティを内製化するきっかけがつかめない事情があります」（吉見氏）

　三木氏によれば、昨今は大企業を中心に、継続的な運用を目指して独立したセキュリティ専任部門を設ける動きもあるという。この流れは今後中堅・中小企業にも波及すると思われるが、体制が整うまでは兼務でもセキュリティ対策を担う人材が必要だ。セキュリティSESは、ビジネス現場が「今すぐ欲しいスキル」を提供するものと言える。

顧客の多様なニーズに応えるため、幅広いスキルセットを持つ人材を備える（出典：GSX提供資料）

バイリンガル人材で海外拠点を持つ企業のニーズにも対応

　セキュリティSESのもう一つの強みが、バイリンガル対応だ。

　約30人から成る同社のITソリューション事業本部は、外資系企業のシステム開発／運用に深く関わってきたEPコンサルティングサービスからの事業譲渡で設立された。吉見氏と後藤氏も、EPコンサルティングサービスから移籍したメンバーだ。

　セキュリティSESは外資系企業での開発／運用経験を通してインフラ構築とシステム開発、システム運用、プロジェクトマネジメントスキル、セキュリティスキル、英語スキルを蓄積した精鋭人材とセキュリティエンジニア教育によるサービスで、ニーズは非常に高いという。

　「業種に大きな偏りはありませんが、現在特に引き合いが多いのは製造業や金融、保険業などです。企業規模の大小にかかわらず海外進出の割合が高く、サプライチェーンリスクへの懸念からグローバルでセキュリティレベルの底上げを図る機運が高まっているためでしょう」（吉見氏）

　例えば日本の本社のセキュリティポリシーを海外拠点に適用する場合、文化や言葉が違う現地スタッフやベンダーとのやりとりに、セキュリティSESのバイリンガル対応可能なメンバーがアサインされる。

セキュリティSESの支援を通じて自走できるセキュリティ組織に

　セキュリティSESが提供する現場常駐のサービスと、主にオンラインで提供されるマネージドサービスは何が違うのか。吉見氏は以下のように強調する。

　「マネージドサービスが提供するのは、例えば『脆弱性があるのでシステムのバージョンを上げてください』や『外付けデバイスは接続しないでください』といった“正論”です。それを業務への影響を検証しながら“現実解”に落とし込むには、現場を理解していることが不可欠です。セキュリティSESは顧客のインフラや業務の実態を深く知り、同じ立場で考えてビジネスを支えるセキュリティを提供します」（吉見氏）

　三木氏は、セキュリティSESの提供価値を「自衛力向上だけではなく顧客企業が自走できるようになること」だと考えている。

　「当社はサイバーセキュリティ教育カンパニーです。セキュリティコンサルティングや脆弱性診断、サイバーセキュリティソリューションをはじめ、セキュリティの全体像を網羅した教育サービスを提供することをミッションとしています。最終的な目標は顧客企業が自衛力を得ること、自社でセキュリティ施策に当たれるようになることです」（三木氏）

　そのためセキュリティSES人材をできるだけ一つの現場に長くとどまらせないようにし、CSIRTチームの請負など積極的な提案も避けている。そこには顧客企業の自立を促すとともに、セキュリティSESに多様な現場を経験させたいという意図がある。

　「CSIRTは企業のセキュリティフロントであり、企業側でイニシアチブを取って運用すべきです。その中にセキュリティSESをサポートメンバーとして送り出すケースはあり得ますが、組織の立ち上げや運用を丸ごとアウトソーシングすることは推奨しません」（三木氏）

　本業は、あくまでも高い自衛力を備えた企業の育成だ。しかし、サイバーセキュリティに関わる専門会社として、今そこにある危機もまた見て見ぬふりはできない。GSXが提供するセキュリティSESは、現場の課題と企業の将来をつなぐ。セキュリティを内製化したいが“最初の一歩”に悩んでいる企業にとっての、心強い伴走者となるだろう。