昨今サイバー攻撃によって生じるセキュリティを脅かす事件・事故は増加傾向にあり、ITセキュリティ対策の現場は世界的に深刻な人手不足に陥っています。セキュリティに関係する業務・システムが複雑に増大するなか「本当に必要な人材」「人材育成に必要なアプローチ」とは?サイバーセキュリティの第一人者である淵上 真一氏が解説します。

世界中で叫ばれるセキュリティ人材の不足

よく「セキュリティ人材が足りない」と耳にしますが、実際に人材はどの程度不足しているのでしょうか。ISC2という団体のレポートによると、世界では約399万人、APACでは約267万人が不足しています[図表1]。



[図表1]世界のサイバーセキュリティ労働力の需給ギャップ 出所:ISC2

一方で、供給される人材は2022年に約39万人だったのが、2023年には約48万人です。約9万人増えていても人材不足とのギャップが広がっているわけですから、需要に対して供給のペースが追いついていないと言えるでしょう。

これとは別の国内で発表されたレポートをいくつか確認してみると、日本の人材不足は約18万人~19万人と、より深刻な数字が導き出されていました[図表2]。セキュリティ人材の不足は明らかです。



[図表2]解消しないセキュリティ人材不足 出所:一般社団法人日本サイバーセキュリティ・イノベーション委員会https://www.j-cic.com/pdf/report/Human-Development-Plus-Security.pdfを元にNEC作成

(広告の後にも続きます)

セキュリティ人材を育成しよう

セキュリティ人材不足の状況を前に、もちろん手をこまねいているわけではなく、人材を育成する、さまざまな取り組みが行われています。しかし、ただ漠然と「セキュリティ人材」で一括りに捉えていたのでは、本当に人材が足りないのか、頭数はそろっているのに必要なスキルが足りないのかも判然としません。

人材育成は、以下に紹介する情報を参考にして必要な人材像を明らかにすることから始めましょう。

〈サイバーセキュリティ・ポータルサイト〉

内閣サイバーセキュリティセンター(NISC)では「サイバーセキュリティ・ポータルサイト」を通じて人材育成施策を発信しています[図表3]。対象者や獲得したいスキルごとに整理されているため、わかりやすく有用です。



[図表3]人材の育成に対するさまざまな取り組み1

〈統合セキュリティ人材モデル〉

セキュリティ人材の中でも、特にサイバーセキュリティに従事する専門人材について、必要な役割と能力を定義しているのが「統合セキュリティ人材モデル」です[図表4])。「NIST『Cybersecurity Framework』」が定めるセキュリティ対策への対応を前提に、NEC、富士通、日立が共同で策定しました。

それぞれの能力を身につけるために必要かつ適切な教育プログラムを突き合わせることができるようになっています。



[図表4]人材の育成に対するさまざまな取り組み2

〈ITSS+17分野とセキュリティ関連タスク等との対応表〉

組織の中で求められるセキュリティに関わる役割をまとめたのが、経済産業省と独立行政法人情報処理推進機構(IPA)による資料です[図表5]。



[図表5]ITSS+(セキュリティ分野)で定義されている17分野 出所:経済産業省『サイバーセキュリティ体制構築・人材確保の手引き』(第2.0版)

各組織や役割に求められる17のセキュリティ関連タスクと、実際に対応する部署(セキュリティ専門組織以外)を一覧で整理しています。ベースであるITSS+(セキュリティ領域)をIPAが次のように説明しています。

セキュリティを生業とする「セキュリティ人材」のみではなく、デジタル部門、事業部門、管理部門等でセキュリティ以外の業務を生業とする人材がセキュリティ知識・スキルを学び、「プラス・セキュリティ」人材として活躍できるための“学び直し”の指針として活用できます。

たとえば、法務部門の担当者であってもセキュリティと無縁ではなく、デジタル関連の法令やコンプライアンス対応、契約管理などの観点でセキュリティを意識して活動する必要があることを、この対応表では示しています。