逼迫するセキュリティ分野の人材不足 ~中小企業にできる一手は?~

情報セキュリティ業務担当の方々はもちろん、経営者の方々も昨今のセキュリティ分野の人材不足を実感されているとことと思います。国内でこの課題が大きくクローズアップされたのはIPA(情報処理推進機構)から「情報セキュリティ人材の育成に関する基礎調査」が発表された2012年頃からでしょう。

その後、10年以上、今に至るまで、関係省庁や調査会社などが、実態を示すレポートを発表していますが、人手不足は年々深刻化しているようです。まず、最近業界で話題になったいくつかの報告を振り返ってみます。

2024年7月に発行された「情報セキュリティ白書」(IPA)も、この問題を大きく採り上げています。サンプルデータの一つは、米国のNPO団体、ISC2(国際情報システムセキュリティ認証コンソーシアム)が発表した「ISC2 Cybersecurity Workforce Study 2023」。これによると、日本国内でセキュリティ業務に従事する人は2023年の時点で約49万人。需要に対して約11万人が足りていないと指摘しています。

もう一つは、2024年3月にリクルートが発表した調査。ここでは2023年のセキュリティ関連の求人数は、2014年との比較で24.3倍に達しましたが、関連業務への転職数は2014年の3.62倍に止まったという実態が示されました。セキュリティ人材の不足は世界的な傾向ですが、日本は特に需給ギャップが大きいと言えそうです。

セキュリティ分野の人材には、ベンダーに所属する技術者や運用管理のスタッフ、フリーのエンジニア、ユーザー企業の担当者など、いくつかの勤務形態がありますが、いずれも高い専門性が要求されます。ICT(情報通信技術)の基礎知識に加えて、認証や暗号化など専門的な領域の素養が求められる状況も少なくありません。

そしてこの傾向は年々加速しています。2010年代に企業システムの主体はオンプレミス(自社構築)からクラウドへ移行し、モバイルからのアクセスも日常化しました。2020年代には新型コロナの感染拡大からリモートワークも拡がり、すべての企業はICTの利用技術と運用管理の多様化・複雑化に直面していると言っていいでしょう。

新しいシステムの追加とサービスの組合せが増えると、新たなセキュリティホールや運用上の隙もできてしまいます。セキュリティの確保は必須ですが、現状はネットワークの拡大と比例して発生するセキュリティ対策の需要に対し、専門性を持ったスタッフの配置と育成が追い付かないというわけです。

セキュリティ担当者に必要な専門性は、前述した認証と暗号の技術の他にも、クラウドセキュリティなど新しい分野の基礎知識、脅威を察知する知見と経験、リスク評価と分析力、セキュリティ戦略の立案、そして経営層への提案力などが挙げられます。

もちろん、こうした専門性を備え、スキルを研いてきた人、研きたい人は多いでしょう。その数は需要に追い付いていないのですが、企業からは“セキュリティは守りの技術”という印象があって、人を惹きつける力に欠ける、という声もよく耳にします。

DXやAIに比べると、守りのイメージはあるかもしれませんが、必要な要素はガードの強化だけではありません。新しいサービスが生まれれば、それに合わせたセキュリティの実装は必ず伴います。セキュリティ分野の開発にも先進性は欠かせない点は、業界団体、そして人を求める、人を育てる企業も、もう少しアピールしていった方がいいかもしれません。

人材を確保する方法は、正攻法としては外部からの採用、社内スタッフの育成があります。雇用と定着は難しいという現実はありますが、経済産業省やIPAでは、適切なスキル評価に加えて、CISO(最高情報セキュリティ責任者)の設置など、組織としてセキュリティ対策への理念を明示することを推奨しています。

セキュリティの世界では、組織の枠を超えたシンポジウムや会合もよく開かれます。本業では競合同士や接点がない業態でも、サイバー攻撃を防ぐという目的は合致するからです。セキュリティを指向する人は、こうした場を積極的に活用することで、どこでも通用する力を研きつつ、横のつながりを作る機会も多いようです。

外部から招聘してスキルを備えた人材を十分に確保できるのは、資本力のある企業や著名なベンチャーなど、一部の組織に限られるかもしれません。社内スタッフの育成とリスキリングは相応の時間を要すため、日常業務で手一杯という多くの企業にとっては、簡単な方法ではありません。

一般企業が実践しやすい施策は、やはり外部リソースの活用です。

例えば、セキュリティ企業への業務委託、派遣会社から紹介されたエンジニアの登用、フリーランスSEへの依頼など、いくつかのやり方があります。

ただ外部スタッフを活用する際も、中軸は社内で担うべきです。特に中小企業では、対策の立案からシステム設計・導入、運用などの局面を“丸投げ”してしまうケースも見受けますが、安全強度とコストに関わる戦略をしっかり押さえ、かつ必要以上の社内事情を外部に出さないためにも、主導権は社内のスタッフが持つようにしましょう。

慢性的な人不足の状況では、本来ならシステム部門が担う、財務や特許、技術情報など、セキュアなデータを扱うシステムの運用も、一部を事業部門に移管せざるを得ません。事業部では、クラウドの設定ミスや運用時のルール不徹底など、セキュリティ意識の不足が事故につながっている現実があります。

こうした課題に向け、経済産業省とIPAではセキュリティ人材に関する状況をまとめた「サイバーセキュリティ体制構築・人材確保の手引き」の発行時に、「プラス・セキュリティ」という概念を提唱しています。

 1.意識向上

     全従業員が日常業務におけるセキュリティの重要性を理解する

     2.教育と訓練

       定期的な教育と訓練を通じ、最新の脅威や対策を学ぶ

       3.実践的なスキル

       日常業務でセキュリティ対策を意識し、問題発生時に迅速に対処できる力を養う

      すべての従業員が日常業務におけるセキュリティを意識することの重要性を強調したこのコンセプトは、中小の組織にとってもヒントになるのではないでしょうか。

      人を視点にした施策に加え、中小企業ができる行動は、人的なリソース不足をツールと技術で補うことです。端的に言えば、セキュリティ対策ツールの活用ですが、マルウェアと不正侵入、攻撃メール対策などのベーシックなツールは、今では多くの企業で稼働しています。

      このような防御の“基礎体力”に加えて、次の段階では自動化と省力化ができる部分を増やしていきます。例えば、ルータやVPNの関連機器など、外部との境界に位置するデバイスは、通信ログを自動的に収集し、何らかの異常があれば、直ぐに把握できる体制を整えること。

      また、現在は、外部のリスク、例えば、新たな脆弱性、危険度が高い攻撃者とその手口、自社とグループ企業に関係する機密情報の漏えいなど、担当者がマニュアルでチェックしていたリスクの類は、脅威インテリジェンスによって自動的にリアルタイムで検知できるようになっています。

      ここはセキュリティ対策の盲点になっている企業も多いのではないでしょうか。通信ログや脅威情報の収集、インシデントの検知などは、自動化と省力化の一端ですが、こうした領域にも着手することで、企業システムの安全度は確実に向上するはずです。ぜひ一度検討してみてください。