> > 技術課題 > 企業におけるサイバーセキュリティ人材育成について 〜「産業横断 サイバーセキュリティ人材育成検討会」から学ぶエッセンス〜

課題への取組

企業におけるサイバーセキュリティ人材育成について 〜「産業横断 サイバーセキュリティ人材育成検討会」から学ぶエッセンス〜

2016年12月16日
CIAJ通信ネットワーク機器セキュリティ分科会

サイバーセキュリティ意識の高まり

昨今では、インシデントの発生やサイバー攻撃の被害は級数的に増加しており、世界中で大きく報道される事件が後を絶ちません。また、攻撃手法も巧妙化・高度化しており、今まで以上に種々のサイバーセキュリティ対策への重要性が増しています。
加えて、ICT領域だけでなく、制御システムや、今後普及が見込まれるInternet of Things(IoT)においても、大幅なセキュリティ強化が望まれるようになっています。

企業がとるべき対策とは

今や企業活動のあらゆる場面で、セキュリティ対策が要求されるようになっています。そこには、事業継続(BCP)、IT企画、情報セキュリティ管理(ISMS)、セキュリティ監査などの組織的な対策や、システム導入計画から調達、運用といったシステムの対策まで幅広い事項が含まれています。特に、インシデントの発生やサイバー攻撃に対応する局面では、経営幹部、法務部門、広報部門、営業部門、情報システム部門などが迅速に連携して対処する必要があります。
企業にとって、サイバーセキュリティ対策を企業活動全体のリスクととらえ、事業を拡大・継続するためのリスクマネジメントの1つとして投資していくことが、ますます重要となっています。

企業の重要課題となるサイバーセキュリティ人材育成

サイバーセキュリティに関する政策については、政府から「サイバーセキュリティ2016」が発表されるなど一層活発になっており、その中でも人材育成が重要な要素の1つとなっています。
また、サイバー攻撃も相次いで発生しており、標的型攻撃による大企業の個人情報漏えい事故も数多く起こっています。サイバー攻撃による被害は多くの顧客・取引先企業も巻き込む、企業活動全体にとってのリスクであり、それに対応するための人材の育成が急務であるとの認識が、より一層強まっています。
本レポートでは「産業横断サイバーセキュリティ人材育成検討会」における人材定義および、産官学連携の具体的取り組みを挙げ、「人材」に注目したトピックスをご紹介いたします。本レポートがセキュリティ人材育成における次の一手を考える一助になれば幸いです。

産業横断 サイバーセキュリティ人材育成検討会とは

2014年10月、経団連において「サイバーセキュリティに関する懇談会(座長:梶浦敏範氏)」が発足し、約30社の主要企業による議論を経て、2015年2月17日に経団連から「サイバーセキュリティ対策の強化に向けた提言」が公開されました。
同提言において、課題の一つである人材育成を重要視して、産業界として具体的な取り組みを進める意思が表明されました。これを受けて、同懇談会にも関わった日本電信電話株式会社、日本電気株式会社、株式会社日立製作所の3社が、実際の活動をどのように具体化し推進していくべきか検討するための場が必要と考え、重要インフラ分野を中心とした各業界の主要企業に声掛けし、2015年6月9日に「産業横断サイバーセキュリティ人材育成検討会」が発足しました。
現在では、本検討会の参加企業は当初の約30社から、現在(2016年1月現在)は約48社以上にまで拡大しています。
参考に「産業横断 サイバーセキュリティ人材育成検討会」のホームページを以下に示します。

image10http://www.cyber-risk.or.jp/

セキュリティ人材定義

本検討会では、企業において、どのようなセキュリティ関連活動が行われ、どのようなセキュリティ人材が要求されるのかを明確にすることで、セキュリティ人材の教育や採用が容易かつ的確に実施できるようなると考え、次の3つを定義しています。

  1. 企業におけるサイバーセキュリティ対策の機能
    企業におけるセキュリティ対策関連活動にはどのようなものがあり、何をしなければならないのか。
  2. 企業におけるセキュリティ人材定義
    ①で洗い出された活動を行うためには、どのような人材が必要なのか、人材の能力を規定する項目としてどのようなものが適切なのか。
  3. インソースとアウトソースのバランス
    人材確保の方法としては、企業内部で確保する方法(インソース)と、外部サービスなどを活用する方法(アウトソース)が考えられるが、これらのバランスをどのように取るべきか。

前記の人材定義をベースに、以下のような人材育成のためのカリキュラム開発や演習などを整備してゆくことが必要となります。

表1:人材定義関連
No.名称概要
1企業におけるサイバーセキュリティ対策の機能企業における情報システム部門の機能を分化していき、29のサイバーセキュリティに関連する機能を定義
2産業横断 人材定義リファレンス~機能と業務に基づくセキュリティ人材定義~29の機能を実施する役割(担当)として、30のサイバーセキュリティに関連する人材定義
3産業横断 セキュリティ対策カレンダー~セキュリティ対策AtoZ~サイバーセキュリティに関して、多くの企業で年間を通じてどのような行事や作業が行われるのかを俯瞰して見られるカレンダー
4産業横断 セキュリティオペレーション アウトソーシングガイド自社内で管理監督すべき業務(インソース)とアストソーシング可能な業務を分類
5産業横断 人材定義とスキルセットの関係定義した人材において必要とされるスキルセットをiCD/iコンピテンシディクショナリ(IPA)によるスキルディクショナリ等を利用して定義

エコシステムの推進:産官学連携

その一方で、産業界の枠を越えた「エコシステム構築」に向けた取り組みも始まっています。2016年2月の中間報告では、「人材育成・維持エコシステム」(図1)を発表しました。セキュリティ人材育成の取り組みを継続的に行うためには、産官学の連携が不可欠との考えから、エコシステムにも着目しています。
政府からは、「サイバーセキュリティ人材育成総合強化方針」(平成28年3月策定)が、今年度になって公表されました。政府の取組みとして、今後は人材育成のために産官学の連携を更に推進していくものと思われます。本検討会としても、エコシステムの構築を具体的に実施推進すべく、活動をさらに加速する方向となっています

今後の計画:より具体的な人材育成の推進へ

本検討会は、2016年10月から第2期目に入ります。第2期ではステージ2として、具体的な人材育成の推進を目指した取組みを行う予定となっています。
具体的には、人材育成を推進するために、新たに「人材育成ワーキンググループ(WG)」を設置し、教育体系・カリキュラムなどの検討、トレーニング・教育カタログの構築、サイバーレンジ整備のための要件定義・仕様などの検討、検討会向けの教育環境の整備を行うことが計画されています(図2)

まとめ

このように「産業横断 サイバーセキュリティ人材育成検討会」は、2016年6月までの第1期目で人材定義などの成果を出し、さらに産官学の連携による「人材育成・維持エコシステム」の実現に向けて、2016年10月から第2期目の活動が開始されました。
また、第2期目においては具体的な人材育成推進の一環として、図2に盛り込まれているように、ビジネスとして人材育成に取り組んでいる事業者ともうまく連携していく方針です。
具体的な人材育成内容を企業経営へ活用するためにも、定期的な「産業横断 サイバーセキュリティ人材育成検討会」の情報把握が必要であると考えます。

著者: 中間 貴規(なかま たかのり) 日本電気株式会社(NEC)

プロフィール

日本電気株式会社(NEC) サイバーセキュリティ戦略本部 主任。
CIAJ通信ネットワーク機器セキュリティ分科会委員。
北陸先端科学技術大学院大学 情報科学研究科 博士前期課程修了。
日本ヒューレット・パッカード株式会社、トレンドマイクロ株式会社を経て、2014年から日本電気株式会社(NEC)に勤務。
サイバーセキュリティに関する政策活動および事業戦略策定に従事 。

参考文献

  1. 産業横断 サイバーセキュリティ人材育成検討会
    http://www.cyber-risk.or.jp/
  2. サイバーセキュリティ戦略本部 第9回会合「サイバーセキュリティ2016」(平成28年8月31日)
    http://www.nisc.go.jp/conference/cs/

◆企業におけるサイバーセキュリティ人材育成について
~「産業横断 サイバーセキュリティ人材育成検討会」から学ぶエッセンス~ [PDF:367KB]

問い合わせ先

企画推進部
TEL:03-5403-9357 FAX:03-5403-9360