CSIRTだけでは不十分--セキュリティ人材育成の課題明らかに

　産業横断サイバーセキュリティ人材育成検討会は1月14日、日本企業の組織構造とセキュリティ業務との関係についての実態分析を実施し、必要な人材像の定義や見える化に向けた課題を抽出したと発表した。検討会では今後、産業界が必要とする人材像の明確化と人材育成のためのエコシステム実現に向けて取り組んでいくとしている。

　検討会は、日本経済団体連合会（経団連）が2015年2月にまとめたサイバーセキュリティ対策の強化に向けた提言において重要視された活動の1つである人材育成の実行、加速を目的として、産業横断で重要インフラ分野を中心とした各業界の主要企業が連携して6月に発足した。NTT、NEC、日立製作所を事務局とし、検討会の参加企業は当初の約30社から、2016年1月現在は約40社以上まで拡大している。

　産業界の協力体制構築、産業界に必要な人材像の定義と見える化、産業界の円滑な人材育成を目的とし、「情報共有の推進」「社内人材育成の推進」「次世代に向けた人材育成の推進」を主な活動内容としている。サイバーセキュリティ人材育成のエコシステム形成を目指している。

　現在、情報共有の推進については、参加企業が抱える課題や取り組みを相互に共有しており、その活動自体が人材育成に生かされているという。社内人材育成の推進では、人材像の定義と見える化に向け、日本企業におけるセキュリティ業務の実態把握、人材配置機能分布モデルを作成した。次世代に向けた人材育成の推進では、有志企業による教育機関との連携方法の具体化に向けた議論を実施している。

サイバーセキュリティ人材育成のエコシステム（イメージ）（NEC提供）

　こうした取り組みを進めていくにあたって産業横断での実態把握を実施する中で、次のような業界共通の課題を得たという。

人材育成に関する課題

　セキュリティ業務は企業組織内で広範囲に分散しており、セキュリティ対策チーム（Computer Security Incident Response Team：CSIRT）などのセキュリティ専門組織の人材育成だけでは不十分であると説明し、今後は次のような育成観点が必要であるとした。

• 複数の組織や職種に分散したセキュリティ業務を取りまとめる新たなセキュリティ職種の規定と育成
• それぞれの現業の一環で必須となるセキュリティ業務のための教育（セキュリティも分かる管理者、技術者の育成）
• CISO（Chief Information Security Officer：最高情報セキュリティ責任者）を支える人材の育成（経営目線と実務目線の橋渡し人材）
• 業界ごとに異なるアウトソース（外部委託）とインソース（自社対応）の区分けに基づく人材要件の分析と育成（自社対応と外部委託の橋渡し人材）

人材活用の体制に関する課題

　ユーザー企業においてもセキュリティ人材を育成または採用し、企業として活用、維持し続けることが可能な仕組みが必須であるとし、産業界の取り組みに加え、産学官での連携の在り方を議論することが急務としている。

　今回挙げられた課題は、検討会の活動状況の中間報告として取りまとめ、経団連が1月中旬に予定している第二次提言の議論にインプットすることで、エコシステムの実現性を高めていく方針。

　検討会では今後、今回明らかになった人材像の定義、見える化に関する業界共通の課題を踏まえ、今後は業界と階層別（レベル別）の人材像定義に向けて検討範囲を拡大していく予定。産業界として必要な人材像の定義を完了した後は、各業界、各企業の特徴を踏まえた人材不足の実態を分析し、検討会で具体的な人材育成施策を検討していく。

　具体的には、必要な育成プログラムや育成ツールなどを企業間で極力共用することによって、業界全体の円滑な人材育成を目指すとともに、日本の産業界、企業の特性と実情に即した産官学が一体となって人材育成、雇用、活用が効果的に連携するエコシステム具体案の検討、提唱を目指す。