経営とセキュリティ人材育成

セキュリティ人材不足が、世界中で深刻な問題となっている。品質管理同様にビジネスの競争力でもあるセキュリティは、企業のためのリスクマネジメントの一つであり、事業継続に不可欠であり、そのための人材を育成し維持し続けることが経営の必要条件と言われている[1]。経営層とセキュリティに関する実務者層との間をつなぐ人材の育成や、組織横断的なセキュリティリテラシ教育についても、企業経営にとって重要であり、経営者自らの意思によるリソース確保と実行推進が求められている。

米国の取り組み

米国では、2017年8月、約30万人のサイバーセキュリティ人材が求人され、グローバルには2022年に約180万人の不足が発生するとの試算もある[2]。米国では、産官学の主要関係者でコンセンサスのとれた一貫した共通言語によって記述・定義されたNIST SP800-181 NICE(National Initiative for Cybersecurity Education)フレームワーク[3]を利用することで、サイバーセキュリティ人材の育成を雇用や教育訓練などと効率的かつ円滑に連動させている。NICEは、組織がサイバーセキュリティ人材の開発、計画、教育、トレーニング等を行う上でリファレンスとなる定義であり、専門分野ごとのサイバーセキュリティ人材に求められる役割、業務、およびその役割や業務の遂行に必要とされる具体的な知識、技術、能力が定義されている。例えば、各都市の求人状況等をNICEフレームワークのカテゴリに沿って情報提供し、学生等がサイバーセキュリティの仕事を把握しやすくしている。また、国土安全保障省は産官学の様々な教育訓練コース(約3,300)のカタログをNICEの共通言語・定義に準じた記述で提供している[4]

日本の取り組み

経済産業省は、2020年までにセキュリティ人材の不足数は19.3万人にまで拡大するという調査結果を2016年6月に発表した[5]。そのような中、サイバーセキュリティ基本法に基づく2回目の「サイバーセキュリティに関する基本的な計画」が2018年7月27日に閣議決定され、「サイバーセキュリティ戦略」において人材育成・確保をサイバーセキュリティに関する目的達成のための共通基盤的な取り組みとして掲げた[6]

人材育成のためのフレームワークに関しては、経産省、IPA(情報処理推進機構)、JNSA(日本ネットワークセキュリティ協会)、NCA(日本シーサート協議会)等の団体組織がそれぞれの考え方(目的や用途)に基づき、セキュリティ人材の定義やスキルマッピングに関するリファレンスを策定している。例えば、IPAによるiコンピテンシ・ディクショナリ[7]、経産省とIPAによるITSS+[8]、JNSAのSecBok[9]、NCAのCSIRT人材定義[10]、産業横断サイバーセキュリティ人材育成検討会の産業横断人材定義リファレンス[11]がある。

米国のように統一されたフレームワークによる効率的・円滑な産学官連携の確立が必要と考えるが、現実は関係者が集まり、NICEフレームワーク等の海外の規格を参照しつつセキュリティ人材の役割や専門分野の関係整理の議論を重ねている状況[2]のようである。

グローバルスタンダードな知識体系

どのような役割や責任を持つタイプのセキュリティ人材であっても、求められる知識の学習と実務経験の両面が必要となる。特に実務における適切な判断や行動の実践には、一定レベルの体系だった知識や技術を習得している必要がある。国内では認定資格として、経産省の情報処理安全確保支援士(17,360名、2018年10月現在)[12]がある。

一方、マーケットもサプライチェーンもグローバル化が進んでいること、海外企業との提携やM&Aは通常のことであり、グローバルスタンダードに基づくセキュリティの技術や知識体系をもった人材の育成が極めて重要ではないだろうか。グローバルなセキュリティ認定資格例としては、次のようなものがある。

●CISSP(Certified Information Systems Security Professional

(ISC)2(The International Information System Security Certification Consortium)による認定資格。これは情報セキュリティ関連業務従事者に必須な共通言語的知識体系に基づく国際的資格であり、世界で131,180人、日本で2,197人が保有している(2018年12月現在)。

●CCSP(Certified Cloud Security Professional)

(ISC)2による認定資格。CSA(Cloud Security Alliance)と共同で開発された。これはクラウドサービスを安全に利用するために必要な知識を体系化した資格であり、世界で4,518人、日本で6人が保有している(2018年12月現在)。

●CISA(Certified Information Systems Auditor)とCISM(Certified Information Security Manager)

ISACA(The Information Systems Audit and Control Association)による認定資格。CISA(公認情報システム監査人)は、情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を有するプロフェッショナル資格であり、世界で約140,000人、日本で約3,200人が保有している。CISM(公認情報セキュリティマネージャー)は、情報セキュリティマネージメントに関する高度な知識、技能と経験を有するプロフェッショナル資格であり、世界で約24,000人、日本で約600人が保有している。

●GIAC(Global Information Assurance Certification)

SANS Instituteによる認定資格。これは知識レベルだけでなく実務のスキルを有していることを客観的に証明する国際資格で、世界で約123,000人、日本で約1,000人が保有している(2019年3月現在)。

まずはCISSP人材の拡充

サイバーセキュリティ脅威は、極めて巧妙化・複雑化しており、技術、人、プロセス、組織、ビジネス戦略、法規制など、多面的かつ包括的な視点からセキュリティ対策を考えることのできる人材、経営者目線でビジネスに貢献するセキュリティ対策やマネジメント戦略を構築できる専門人材が求められる。そのようなセキュリティ専門家のための知識体系習得の証としては、戦略的かつ公平な判断のできるベンダーフリーのCISSPが第一のグローバルスタンダードと考える。経営者目線も重要視したCISSPによる包括的な知識体系は、CCSP、CISA、GIAC等で認定されるような分野特定の深い知識や技術を習得する上でも強力な礎となる。

当社では、2018年に(ISC)2と日本企業として初めて戦略的パートナーシップ協定を締結し[13]、NTTグループ向けに高度セキュリティ人材育成の包括的プログラムを提供してきた。これまでに約230名のNTTグループの方にプログラムを受講いただき、当社でもCISSP資格試験合格者は85名に達している。

[1] https://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf

[2] https://www.nisc.go.jp/conference/cs/jinzai/dai10/pdf/10shiryou0205.pdf

[3] https://csrc.nist.gov/publications/detail/sp/800-181/final

[4] https://www.nisc.go.jp/conference/cs/jinzai/wg2/dai03/pdf/03shiryou07.pdf

[5] https://www.meti.go.jp/policy/it_policy/jinzai/27FY/ITjinzai_report_summary.pdf

[6] https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku2018.pdf

[7] https://icd.ipa.go.jp/icd/

[8] https://www.ipa.go.jp/jinzai/itss/itssplus.html

[9] https://www.jnsa.org/result/2017/skillmap/

[10] https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf

[11] http://cyber-risk.or.jp/sansanren/xs_20160914_01_Report_1.0.pdf

[12] https://www.ipa.go.jp/about/press/20181001.html

[13] http://www.ntt-at.co.jp/news/2018/detail/release180926-1.html

<サイバーセキュリティのことなら下記へ>

https://www.ntt-at.co.jp/inquiry/product/