経営層も思わずうなずく 企業が今、本当に求めているセキュリティ人材の要件とは？：CSIRT／SOCを次のステージに進めたい企業必見

セキュリティ人材と一概に言っても求められるスキルセットはさまざまだ。ランサムウェア攻撃が深刻な経営リスクになっている今、企業にはどのような対策が必要で、そのための人材の要件とは何か。CSIRT／SOCを含めた自社のセキュリティ体制の強化につながるヒントを紹介する。

[PR／ITmedia]

　ランサムウェアをはじめとしたサイバー攻撃が激化する中、セキュリティ体制の強化は待ったなしの状況だ。しかし多くの企業で、インシデントに的確に対処して全体のセキュリティ戦略を描ける高度な人材が不足し、事業継続を脅かす重大なリスクとなっている。

　こうした課題に対して単なる製品提供にとどまらない「伴走型」のプロフェッショナルサービスで価値を提供しているのが、ソリューションブランド「Trellix」を展開するMusarubra Japanだ。中央省庁や大手企業を支援する同社の支援アプローチについて其山昌拡氏、川島浩一氏、綾部健氏、野田悠介氏に話を聞いた。

セキュリティ人材は不足していない？　本当に必要なスキルセット

Musarubra Japanの其山昌拡氏（常務執行役 プロフェッショナルサービス本部 本部長）

　セキュリティ対策が進まない主因は人材不足だと指摘されることが多いが、一口に「セキュリティ人材」と言ってもそのスキルセットはさまざまだ。では、人材不足とは具体的にどういう状況を指すのか。本当に足りていないのはどのようなスキルなのか──。この問いに対し、Trellixの専門家たちは次のように答える。

　其山氏は「国の施策などもあって、基礎的なスキルを持つセキュリティ人材は増えていますが、インシデントが起きたときに適切に対処したり社内全体への影響まで考慮して対応したりできる高度な人材は依然として多くありません」と指摘する。

　高度な人材の要件とは何か。其山氏は「セキュリティ知識に加えてソフトスキルも優れた人材」だと語る。

　「情報セキュリティの3大要素であるCIA（機密性：Confidentiality、完全性：Integrity、可用性：Availability）のバランスを取りながら、それがなぜ重要なのかを経営層に伝えて実行するコミュニケーション能力やロジカルシンキング力を持った人材がセキュリティの現場では求められています」

Musarubra Japanの野田悠介氏（同本部 ソリューションサービス部 部長）

　Trellixブランドの各種ソリューションの設計・構築を担当する野田氏も、高度な人材の不足を指摘した上で以下のように話す。

　「セキュリティの業務は多岐にわたるため日々の作業をこなすだけで精いっぱいになり、根本的な課題解決には至らないケースが多く見られます。『他社もやっているから』という理由で施策を決めるのではなく、自社にとって必要な領域を見極めて戦略的に投資できる人材は重宝されるでしょう」

　公共部門を担当する綾部氏は官公庁特有の事情を説明する。

　「官公庁では短期間で配置換えが発生するため、担当者は“減点”を避ける守りの姿勢になりがちです。本来は、幹部層に働きかけてセキュリティ予算や人材を確保できる、より積極的な提案力を持った人材が必要です」

　昨今は委託先や取引先を狙ったサプライチェーン攻撃も増加している。取引先が狙われる可能性もある以上、サプライチェーン全体を見据えたセキュリティ対策を講じられる広い視野を持った人材の獲得が急務だ。

Musarubra Japanの綾部健氏（同本部 パブリックサービス部 部長）

　大手製造業を主に担当する川島氏は「セキュリティ人材の価値が上がり、社内で育成を強化しても、育ったら転職してしまったという状況が生まれています。自社で教育しながら、人材流出を防ぐために明確なキャリアパスを示せるリーダーが求められています」と現状を語る。

　川島氏が指摘するように、人材の確保だけでなく「定着」は多くの企業にとって課題だ。こうした状況を踏まえて其山氏は、企業の対応が二極化していると分析する。

　「セキュリティ人材の育成に本腰を入れる一方、コアな戦略部分のみ自社で担って技術的に高度なスキルを要する実務は外部に委託するという割り切った選択をする企業も増えています」

責任の明確化がセキュリティ投資を加速させる

Musarubra Japanの川島浩一氏（同本部 副本部長 兼 エンタープライズサービス部 部長）

　人材確保や外部委託のスタイルはさまざまだが、どちらを選ぶにせよセキュリティ強化を推進するには「なぜ自社でやるのか」「予算取りはどうするのか」「何をベンダーに任せるのか」といった戦略を経営層に説明し、意思決定を主導できる“旗振り役”の存在が不可欠だ。

　川島氏は「旗振り役としてCISO（情報セキュリティ統括責任者）を置くなどして、会社の中でセキュリティの責任者を明確にすることが不可欠です。セキュリティは費用対効果が見えにくいからこそ、責任者がトップダウンで予算を確保して対策を推進する必要があります」と強調する。

　十分なセキュリティ対策を講じている企業の多くは、CISOが力を持って予算を獲得しているという。それができていない企業は「役員みんなで決めよう」という形になり、結局誰も責任を取らず、現場が動けない状況に陥っているケースが多いという。

　野田氏によると、最近米国では米国連邦捜査局（FBI）や米軍などの出身者がCISOやCRO（最高リスク管理責任者）になるパターンも増えている。コスト管理経験のある人材が、迅速な判断力を評価されて経営層に登用されているからだ。

ただの製品ベンダーではない　高度人材を備えたTrellixブランド

　CISOのような高度な人材がいない企業がセキュリティ体制を強化するのは困難が伴う。この課題に対して包括的な支援を提供しているのがTrellixだ。Trellixは2022年、旧McAfeeの法人部門と旧FireEyeの製品事業部門が統合して誕生した。その特徴について其山氏は以下のように語る。

　「私たちはエンドポイントやネットワーク、データなど幅広い領域の製品群を持つセキュリティ製品ベンダーです。McAfee時代の強みを生かしてCSIRT構築サービスやアドバイザリーも提供しています。コンサルティングファームと競合する部分も多く、製品から最上流のアドバイザリーや組織づくりまで対応できる点が特徴です」

　Trellixの強みは製品提供だけでなく、中央省庁や大手企業への長年にわたる支援実績にも表れている。総務省のCSIRT支援はMcAfee時代の2012年から13年にわたって継続しており、厚生労働省にもインシデントレスポンスやCSIRTマネジメント部分を2017年から支援している。大手通信事業者、金融機関、製造業など幅広い業種での支援実績もある。

　プロフェッショナルサービス本部の9割以上の従業員がCISSPを保有。難易度の高いOTセキュリティ資格の保有者も在籍しており、先述のソフトスキルを備えた高度な専門人材がそろっている。

人材不足を解決する「伴走型」のCSIRT支援

　Trellixのプロフェッショナルサービスは、多くの組織で問題になりがちなCSIRTやSOC運用に的を絞り、実践的な支援を展開している。CSIRT支援は「CSIRT構築・改善コンサルティング」「緊急インシデントレスポンス支援」「インシデント対応計画策定・演習支援」「セキュリティ運用プロセス最適化・高度化支援」「リスクアセスメント・コンプライアンス支援」を提供。いずれも単なる外部委託ではなく、顧客組織に深く入り込んで支援する「伴走型」であることが特徴だ。

緊急時対応だけでなく平時の教育や訓練など、幅広いCSIRT支援を提供する（提供：Musarubra Japan）《クリックで拡大》

　緊急インシデントレスポンス支援について、綾部氏は次のように説明する。

　「インシデント発生時、私たちは事故を起こした事業部門ではなくその会社のCSIRTを支援します。初動対応として何をすべきか提言したり、委託先で事故が起きた場合は一緒に現場に行って代わりに質問したりすることもあります」

　平時の体制も強化する。委託先を含めたセキュリティ運用状況の点検やインシデント対応訓練、教育、監査まで担う。中央省庁では、1年間のスケジュールを組んで包括的に実施している。特筆すべきは、経営層への働きかけまで支援することだ。

　「各拠点の点検結果を可視化して、経営層に『だからCSIRTに予算が必要です』と訴求できる資料を作成します。第三者の視点を加えて脆弱（ぜいじゃく）性リスクと想定被害を明確に示すことで、予算獲得の説得力を高めています」（綾部氏）

リスクアセスメントや中長期的な戦略の策定、経営層への提案などソフトスキルを生かした顧客支援も特徴だ（提供：Musarubra Japan）《クリックで拡大》

　インシデント対応計画策定・演習支援も実践的だ。手順書に載っていない要素も盛り込む。「自社のインシデントと関連しているかもしれないネタがSNSで炎上しているが、判断がつかない」といった状況での対処法や報道発表をする際の判断基準まで訓練に組み込んでいる。

　教育面も工夫を凝らしている。CSIRT担当者向けには専門的な研修やワークショップを実施。一般従業員向けには、テキスト形式だけでなく動画形式のコンテンツを作成して情報セキュリティへの関心と理解を高めている。

　セキュリティ運用プロセスを最適化する観点から、自社製品にこだわらない中立的な立場を取るのもTrellixの特徴だ。競合他社も含めてさまざまな製品の中から顧客に最適なものを選定し、運用効率化・改善のアドバイスを実施する。時には自社製品を候補に入れずに比較検討することもあるという。

高度人材による客先常駐型のSOC運用支援

　Trellixはもう一つの柱として「SOC運用支援サービス」を提供している。最大の特徴は、Musarubra Japanの正社員による客先常駐型の支援であることだ。

　「正社員を顧客の現場に常駐させ、分析作業から会議への参加、改善提言まで実施します」と川島氏は強調する。

　派遣されるのはエントリーレベルではなく、高度専門人材だ。SOC運用支援チームはSANSの高度な資格を多く保有し、フォレンジックやインシデント対応、マルウェア解析など専門性の高い能力を持つ。

SOC運用に必要なスキルを備えた高度人材がオンサイトで支援するのが強みだ（提供：Musarubra Japan）《クリックで拡大》

　同社の支援は3年後に顧客企業が自立して運用できるようにナレッジトランスファーすることを目指している。ただ、高度セキュリティ人材の不足も相まって、顧客から支援継続を求められるケースも多いという。

　支援実績も豊富だ。官公庁や製造業、通信業などでSOCの構築段階から支援に入り、大手通信会社では立ち上げから10年以上にわたって継続している。

自社の人材×外部委託で効果的なセキュリティ投資を

　其山氏は最後に、高度人材の必要性と外部委託の価値について語った。

　「社内の予算獲得や経営層への説明は、お客さま企業の担当者でなければできません。セキュリティの知識と自社ビジネスの両方を理解している人材を置くべきです。その上で、専門性を持った外部パートナーとの伴走により、実効性のあるセキュリティ体制を構築できます」

　野田氏も外部活用の価値を強調する。

　「サイバーセキュリティには幅広い知識と最新のナレッジが不可欠です。多数の企業を支援している外部パートナーを活用することで他社のベストプラクティスを取り入れられ、経営層への説得力も増します。結果として、より効果的で合理的なセキュリティ投資が実現するでしょう」

　セキュリティ人材不足は一朝一夕には解決しないが、自社の守りを固めることは経営基盤の強化に直結する課題だ。人材確保と外部パートナーとの伴走をどう組み合わせるか──今こそ企業が真剣に答えを出す時だ。

問い合わせ先：Trellix Japan Contact

メールアドレス：trellix_japan_contact@trellix.com

Trellix 公式サイト：https://www.trellix.com/ja-jp/