無料会員登録
情報セキュリティに関する専門業務を行う人材が、「セキュリティ人材」です。セキュリティ人材が従事する職種には、セキュリティエンジニアやセキュリティアナリストなどがあります。
サイバー犯罪が複雑化・巧妙化する中、セキュリティ人材の需要は高まるばかり。多くの企業が採用活動に失敗しているのが現状です。このため、採用できないのなら研修・教育して、セキュリティ人材を育成するというのが、王道になりつつあるようです。
セキュリティ人材に必要なスキル
情報処理推進機構(IPA)は、「情報セキュリティスキル強化についての取り組み」の中で、セキュリティ関連職種とその職種に求められるスキルを一覧表としてまとめています。
セキュリティ人材の職種×スキル対応表
| 情報セキュリティ人材 | |||||||
|---|---|---|---|---|---|---|---|
| コンサルタント | ITアーキテクト | セキュリティアドミニストレータ | セキュリティアドミニストレータ | セキュリティアドミニストレータ | セキュリティマネージャ | 情報セキュリティマネジメント | |
| スキル項目 | 情報リスクマネジメント | セキュリティアーキテクチャ | 情報セキュリティアドミニストレータ | ISセキュリティアドミニストレータ | インシデントハンドラ | 組込みセキュリティ | 情報セキュリティマネジメント |
| 最新技術動向把握の手法 | ◎ | ◎ | |||||
| システム化戦略手法 | ◎ | ◎ | ◎ | ||||
| システム活用促進・評価 | ◎ | ◎ | ◎ | ||||
| ソリューションビジネス | ◎ | ◎ | |||||
| 業務プロセス | ◎ | ◎ | |||||
| 現行システムの調査・分析手法 | ◎ | ◎ | |||||
| 事業戦略の把握・分析の手法 | ◎ | ◎ | |||||
| 情報システム戦略 | ◎ | ◎ | ◎ | ||||
| コンサルティング手法 | ◎ | ||||||
| システム企画立案手法 | ◎ | ◎ | ◎ | ||||
| ソリューション提案手法 | ◎ | ||||||
| 契約事務手法 | ◎ | ||||||
| 要求の抽出手法 | ◎ | ||||||
| 要求の整理手法 | ◎ | ||||||
| 要求の仕様化手法 | ◎ | ||||||
| 要求の評価手法 | ◎ | ||||||
| 要件定義 | ◎ | ||||||
| プラットフォーム要件定義手法 | ◎ | ||||||
| アーキテクチャ設計手法 | ◎ | ◎ | |||||
| アプリケーションアーキテクチャ設計手法 | ◎ | ||||||
| インダストリパッケージ設計・開発手法 | ◎ | ||||||
| インフラストラクチャアーキテクチャ設計手法 | ◎ | ◎ | |||||
| データアーキテクチャ設計手法 | ◎ | ||||||
| プロジェクトマネジメント | ◎ | ||||||
| プロジェクト統合マネジメント | ◎ | ||||||
| プロジェクトリスクマネジメント | ◎ | ||||||
| プロジェクト資源マネジメント | ◎ | ◎ | |||||
| プロジェクト品質マネジメント | ◎ | ||||||
| サービスの設計手法 | ◎ | ||||||
| サービス移行手法 | ◎ | ||||||
| サービス提供プロセス遂行手法 | ◎ | ||||||
| 解決プロセス遂行手法 | ◎ | ||||||
| 統合的制御プロセス遂行手法 | ◎ | ||||||
| 関係プロセス遂行手法 | ◎ | ||||||
| サービスの運用手法 | ◎ | ◎ | |||||
| システム運用管理手法 | ◎ | ◎ | |||||
| 運用支援ツール手法 | ◎ | ◎ | |||||
| 品質レビュー手法 | ◎ | ||||||
| 検査のマネジメント手法 | ◎ | ||||||
| 品質マネジメント手法 | ◎ | ◎ | |||||
| 品質に関する基礎 | ◎ | ◎ | |||||
| セキュリティ品質に関する手法 | ◎ | ◎ | |||||
| ユーザビリティ品質に関する手法 | ◎ | ◎ | |||||
| セーフティ品質に関する手法 | ◎ | ◎ | |||||
| 法的権利・法的責任のマネジメント手法 | ◎ | ◎ | |||||
| 品質要求分析手法 | ◎ | ◎ | |||||
| 品質マネジメントシステム構築手法 | ◎ | ◎ | |||||
| 品質改善に関する手法 | ◎ | ◎ | |||||
| 品質管理に関する手法 | ◎ | ◎ | |||||
| 品質計画に関する手法 | ◎ | ◎ | |||||
| 品質保証に関する手法 | ◎ | ◎ | |||||
| 品質測定・評価手法 | ◎ | ◎ | |||||
| 品質分析・評価手法 | ◎ | ◎ | |||||
| リスク管理手法 | ◎ | ◎ | ◎ | ◎ | |||
| 情報セキュリティ管理手法 | ◎ | ◎ | ◎ | ◎ | ◎ | ||
| ソフトウェア開発プロセスの標準化手法 | ◎ | ◎ | |||||
| ソフトウェアエンジニアリングの標準化手法 | ◎ | ◎ | |||||
| リスク分析手法 | ◎ | ◎ | ◎ | ◎ | ◎ | ||
| 情報セキュリティポリシー策定手法 | ◎ | ◎ | ◎ | ◎ | ◎ | ||
| システム要件定義 | ◎ | ◎ | ◎ | ◎ | |||
| システムインテグレーションとアーキテクチャ | ◎ | ◎ | |||||
| アプリケーション共通基盤要件定義手法 | ◎ | ||||||
| アプリケーション共通基盤設計手法 | ◎ | ||||||
| IT基盤構築プロセス | ◎ | ◎ | |||||
| システム間連携技術 | ◎ | ||||||
| システム方式設計 | ◎ | ◎ | |||||
| オブジェクト指向技術 | ◎ | ||||||
| システム運用管理要件定義 | ◎ | ||||||
| システム運用管理設計 | ◎ | ||||||
| システム運用方式技法 | ◎ | ◎ | ◎ | ||||
| システムの投資評価技法 | |||||||
| システム管理計画 | ◎ | ◎ | ◎ | ||||
| システム管理技術 | ◎ | ◎ | ◎ | ||||
| システム保守基準 | ◎ | ||||||
| システム管理製品 | ◎ | ◎ | ◎ | ||||
| 運用管理ソフト製品 | ◎ | ◎ | |||||
| 運用システムの改善 | ◎ | ◎ | |||||
| 運用に関するシステム評価 | ◎ | ◎ | |||||
| 障害時運用方式 | ◎ | ◎ | ◎ | ||||
| 災害対策 | ◎ | ||||||
| 非機能要件の基礎 | ◎ | ◎ | |||||
| 負荷分散と可用性の設計 | ◎ | ||||||
| システム信頼性、性能設計 | ◎ | ◎ | |||||
| 情報セキュリティ | ◎ | ◎ | ◎ | ◎ | |||
| 情報保証と情報セキュリティ | ◎ | ◎ | ◎ | ◎ | |||
| 情報倫理とセキュリティ | ◎ | ◎ | ◎ | ◎ | |||
| セキュリティ・アーキテクチャ技術 | ◎ | ◎ | |||||
| アプリケーションセキュリティ | ◎ | ◎ | ◎ | ◎ | |||
| 情報プラットフォームのセキュリティ技術 | ◎ | ◎ | ◎ | ◎ | |||
| ネットワークのセキュリティリスク | ◎ | ◎ | ◎ | ◎ | |||
| 暗号技術 | ◎ | ◎ | ◎ | ◎ | |||
| セキュリティと個人情報 | ◎ | ◎ | ◎ | ◎ | |||
| 保証、信用、信頼のメカニズム | ◎ | ◎ | ◎ | ◎ | |||
| セキュリティ技術の理解と活用 | ◎ | ◎ | ◎ | ◎ | |||
| セキュリティ方針の策定 | ◎ | ◎ | |||||
| セキュリティ対策基準の策定 | ◎ | ◎ | |||||
| 情報セキュリティ対策 | ◎ | ◎ | ◎ | ◎ | |||
| セキュリティ実装技術 | ◎ | ◎ | |||||
| セキュリティシステムの計画策定 | ◎ | ◎ | |||||
| セキュリティシステムの要件定義 | ◎ | ◎ | ◎ | ◎ | |||
| セキュリティシステムの設計 | ◎ | ◎ | |||||
| セキュリティシステムの実装、検査 | ◎ | ◎ | |||||
| コンピュータ・フォレンジクス(証拠保全追跡) | ◎ | ◎ | |||||
| セキュリティシステムの運用管理 | ◎ | ◎ | ◎ | ◎ | |||
| システム運用・保守技術(セキュリティ) | ◎ | ◎ | ◎ | ◎ | |||
| セキュリティ障害(事件事故/インシデント)管理 | ◎ | ◎ | ◎ | ◎ | |||
| 情報セキュリティ管理 | ◎ | ◎ | ◎ | ◎ | |||
| 情報セキュリティ監査の実施・支援 | ◎ | ◎ | ◎ | ◎ | |||
| セキュリティ技術評価 | ◎ | ◎ | ◎ | ◎ | |||
| セキュリティの分析 | ◎ | ◎ | ◎ | ◎ | |||
| セキュリティの見直し(セキュリティシステムの評価と改善) | ◎ | ◎ | ◎ | ◎ | |||
| コンテンツセキュリティ技術 | ◎ | ◎ | ◎ | ||||
| インタフェース設計 | ◎ | ||||||
| インダストリ知識 | ◎ | ||||||
| エンジニアリングシステム | ◎ | ||||||
| ビジネスシステム | ◎ | ||||||
| 産業機器 | ◎ | ||||||
| 民生機器 | ◎ | ||||||
| 会計・財務 | ◎ | ||||||
| 情報セキュリティ監査 | ◎ | ◎ | ◎ | ◎ | ◎ | ◎ | |
| セキュリティ関連法規 | ◎ | ◎ | |||||
| 知的財産権 | ◎ | ◎ | |||||
| 労働関連・取引関連法規 | ◎ | ◎ | |||||
そして、これらセキュリティ人材のスキルを学問分野に落とし込むと、数学・人間・純粋科学・工学・法学・心理学・神経とに分類できます。
また、エンジニアであっても、問題解決のためには顧客やステークホルダーとのコミュニケーションが重要となるため、ヒューマンスキルも求められます。
セキュリティ人材とは、多種多様なスキルを要する人材であることは間違いありません。
セキュリティ人材不足の現状
総務省が公開している「我が国のサイバーセキュリティ人材の現状について」では、日本国内におけるセキュリティ人材の現状について調査結果を公表しています。
これによると、情報セキュリティ人材は、2016年時点で13.2万人不足、2020年には不足数が19.3万人に増加すると推計しています。
日本は、深刻なセキュリティ人材不足に陥っている状況です。
セキュリティ人材は採用できる?
自社のセキュリティ人材の不足を解消するために、各企業は新規採用を積極的に行っています。
それにも関わらず、各企業は人材を採用できていません。
前述の調査、「我が国のサイバーセキュリティ人材の現状について」では、企業に対して、「なぜ自社ではセキュリティ人材が採用できていないのか」理由を調査しています。
| 従業員数 | ||||
|---|---|---|---|---|
| 5人~99人 | 100人~299人 | 300人~999人 | 1000人以上 | |
| 募集をしても必要な経験やスキルを有する応募者が少ない | 12.5% | 19.8% | 15.9% | 13.3% |
| 業務繁忙のため人材の増強が追い付いていない | 18.6% | 18.2% | 23.9% | 22.7% |
| 将来的にも現在並みの業務量が確保できるとは限らないので増強できない | 10.5% | 7.8% | 7.2% | 5.9% |
セキュリティ人材の採用が進まない2つの理由
調査より浮き彫りとなったのが、セキュリティ人材を採用できていない理由は主に2パターンに分かれることです。
1つ目は、そもそも採用活動の実施にも至ることができていない場合です。
「業務繁忙のため人材の増強が追い付いていない(全企業の20.8%が回答)」、「将来的にも現在並みの業務量が確保できるとは限らないので増強できない(全企業の7.8%が回答)」との回答からも顕著なとおり、様々な理由から、人材の募集すらできていない企業も多いという現実があります。
2つ目は、「募集をしても必要な経験やスキルを有する応募者が少ない(全企業の15.4%が回答)」の回答から分かるとおり、セキュリティ人材を採用すべく活動をしているものの、自社が欲する応募者を集めることができなかった場合です。
「企業におけるサイバーセキュリティ人材・体制に関する実態調査」(経済産業省)によると、「全国の大学のセキュリティ系研究室に声がけをするなど行っている」など、セキュリティ人材採用に向けて、各企業も努力を重ねています。
それでもなお、採用活動が難航しているのが現状です
ITエンジニアとして採用してセキュリティ人材に育てる方法
セキュリティ人材の採用が困難を極める中、セキュリティ人材を確保する方法はないのでしょうか?
経済産業省が策定したガイドライン「サイバーセキュリティ経営ガイドライン」には、付録Fとして「サイバーセキュリティ体制構築・人材確保の手引き」が添付されています。
人材確保の手引では、人材を採用するという手法以外に、次のようなセキュリティ人材確保の方法を指南しています。
- リスクマネジメントや経営管理に関する業務経験を有する人材の配置転換及び育成
- ITの管理・運用に関する業務経験を有する人材の配置転換及び育成
すなわち、セキュリティ人材を新規採用するのではなく、既存の人材を配置転換し、研修・教育してセキュリティ人材に育て上げるということです。
実際、セキュリティ人材を確保できたという企業では、次のような努力をしています。
- 学卒の新入社員は、最初はネットワークインテグレーション部門に配属し、基礎や周辺の知識を習得してもらい、その中からセキュリティを指向してもらったり、指名してセキュリティ部門に異動させたりしている。
- セキュリティ系の専門学校出身者以外は、教育を兼ねて、ログの分析や生の情報に触れてもらう中で方向性を見て、得意そうな分野を見極めて適性のあるチームに配属するなどしている。
参照「企業におけるサイバーセキュリティ人材・体制に関する実態調査」(経済産業省)より
セキュリティ人材はどこで教育する?
ITエンジニアとして新人を採用して、セキュリティ人材にまで育て上げる場合、その研修や教育はどのように行うべきでしょうか?
社内の従業員が講師となって研修を開催できれば良いのですが、前述の「我が国のサイバーセキュリティ人材の現状について」でも、20.8%の企業が「社内に情報セキュリティ業務の適任者が少ない」と回答しており、社内での育成は難しいのが現状のようです。
そして、「企業におけるサイバーセキュリティ人材・体制に関する実態調査(経済産業省)」の中で、セキュリティ人材の育成という課題に対する解決策のひとつとして挙げているのが、外部研修の活用です。
その理由として、次の理由を挙げています。
- セキュリティはシステム開発と異なり教育が困難
- 自社の仕組み同士の連携に関する理解に加え、トレンドも変化が激しい
自社で無理やりセキュリティ人材を育成しようとせず、外部研修なども活用しながら、人材育成のスピードアップを図る方が、多くのメリットが得られるとまとめています。
まとめ
セキュリティ人材を確保する方法や採用の現実について、紹介してきました。
セキュリティ人材の採用に失敗しても、その後の発想の転換に成功した企業は、自社内には講師ができる人材がいないにも関わらず、外部研修サービスの力を借りながら、新たな人材の育成に成功しています。
そして、IT企業向け研修の中では、実践を重視したカリキュラムで、「業務ができる新人」を育成できるとして注目されているのが、「BasisPoint Academy」です。
問い合わせは無料なので、気軽に連絡できるサービスです。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
