ガートナー、セキュリティ人材強化に向けた3つのステップを公開

ガートナーはセキュリティ人材の強化に向けて3つのステップを発表した。セキュリティ人材不足が続く今、その強化は企業における喫緊の課題となっている。

[後藤大地，有限会社オングス]

　ガートナージャパン（以下、ガートナー）は2023年5月24日、セキュリティ人材の確保と強化に向けて押さえておくべき3つのステップとアクションを発表した。

　ベンダーなどが実施する多くの調査でセキュリティ人材の不足が指摘されている。サイバー攻撃者の増加や高度化によってセキュリティの状況は厳しさを増しており、セキュリティ人材の確保および強化は企業における喫緊の課題となっている。

ガートナーはセキュリティ人材の強化に向けておさえておくべき3つのステップとアクションを発表（出典：GartnerのWebサイト）

セキュリティ人材の育成法　ガートナーが提唱する3つのステップ

　ガートナーはセキュリティ人材の強化を以下の3つのステップで考えるとよいと提言する。

1. セキュリティの知識やスキル、タスクの一覧を基に現状とのギャップを分析し、どの領域を内製化するか、またはアウトソーシングするかを判断する。米国国立標準技術研究所（NIST）や情報処理推進機構（IPA）が提供しているドキュメントを活用して現状を分析する。現在はすでに全ての作業を人間が担当する必要はなくなっており、AI（人工知能）や自動化技術なども加味して振り分けを考える
2. 自社のデジタル戦略やセキュリティ状況を踏まえ、内製化で担当する領域を調整する。これまで内製化が困難だと考えられてきた高度なセキュリティの検知や分析、対応にかかる運用などについても、近年は内製化される傾向がある。セキュリティインシデント対応の重要性の高まりや、デジタルビジネスの取り組みが広がったことも関係しているものとみられる。こうした状況を加味して内製化の対象を調整する
3. 今後のデジタル時代に必要とされるセキュリティ人材についてのビジョンや戦略、フィロソフィーを策定して内発的動機を促す。セキュリティリスク管理（SRM）のリーダーはビジョンと戦略を策定してメンバーに提示するとともに、経営者からコンセンサスを得てセキュリティチームの組織内のポジションを向上させ、健全なキャリアプランを示す必要がある

　セキュリティ領域はサイバー攻撃の手法が絶えず変化し、マルウェアなどの入れ替わりも激しい。また、関連ソフトウェア技術の流動も早いことが多い。こうした状況に適応し、自ら学習して対処できるセキュリティ人材の確保および育成が急務な状態が続いている。