セキュリティ・IT人材の枯渇は一般的にも実感があるかと思います。マイナンバーカード発行システムの為体、銀行システム統合の問題等、人材不足がどれほどの影響を与えるのか、世間も知るようになってきました。これからさらに人材不足に拍車がかかることが予想されています。
そんな中、平成28年3月31日に発表されたのが「サイバーセキュリティ人材育成総合強化方針」です。この方針では、一般社会と政府機関に分け、それぞれの人材確保の方向性を示しています。
「橋渡し人材」とは
この方針の中で重要な位置付けになっているのが「橋渡し人材」です。
まずは、経営者がセキュリティの重要性を認識する。そして現場人材を確保をする。しかし、ITの現場を理解できる経営者は、今の国内の企業ではほとんどいないだろうから、経営と現場のコミュニケーションを取れる「橋渡し人材」が重要になってくる。
この「橋渡し人材」は経営・現場双方の立場を理解できなければなりませんので、サイバーセキュリティのみならず、経営や法律等の他分野の専門知識を身に付ける必要があります。そのため「橋渡し人材」は要求されるレベルが高くなります。経営観点も持たなければなりませんので、育成も大変です。
年金機構やマイナンバーの事件に見るように、政府機関自身も人材が「圧倒的に不足」しています。また、それを自覚しています。官民共に、どのように「橋渡し人材」の数を確保していくかが課題になっています。
では、こういったセキュリティ人材の“育成”をどう考えるかというと、一般社会と政府筋で少々差があります。
政府機関が打ち出す5つの対策
- 各省庁から人材候補を選抜
- インターンシップの活用
- 人材育成プログラムの開始
- 現行の研修の改善
- 新たな手当の支給
など、具体性のある対策が並んでいます。今いる人材を可能な限り育成し、サイバーセキュリティ対策に効果を上げようとしているのです。
産業界の対策
一方、一般社会においては「産学官が連携した教育の充実」を挙げていますが、学校においてのプログラム改善、資格の整備、演習環境の整備など、「学官」の行動はありますが、産業界がどうすべきかは具体性がありません。
実は、経団連も「産業横断サイバーセキュリティ人材育成検討会」を設けており、2016年1月には「サイバーセキュリティ対策の強化に向けた第二次提言」を発表しました。しかし、そこでは、人材育成は教育機関に委ね、教育機関が輩出した人材を企業が獲得しキャリアパスを明示することしか書いてありません。産業界が今の人材を如何に育成するかの方針がないのです。
人材は金を払えば見つかるものではありません。誰かが育成しないとスキルは身に付きません。教育機関に委ねても、実効までには数年かかります。まだまだ、産業界の経営陣には、サイバーセキュリティ対策に対し、“待ったなし”の本当の危機感が不足していることを、図らずも露呈してしまいました。
しかしながら、現実の攻撃はどんどん拡大の一途を辿っています。悠長に構えている暇はありません。人材は自らコストをかけて育てるか、外部から調達するか、のどちらかです。自分たちで育成しないなら、有限な外部人材から調達するしかありません。となると、産業界では人材の争奪戦が起こるでしょう。
おわりに
経営マネジメントと現場のIT・セキュリティの両方を理解できる「橋渡し人材」。数ある不足人材の中でも、これが絶対的に足りません。
経営者が、自ら情報セキュリティの現場を学んでいただいて、「橋渡し人材」が不要になれば、それに越したことはないのですけれど。なかなか難しいですね。
次回は、サイバーセキュリティ対策の完成を目指す2020年の「東京オリンピック・パラリンピック」とその前哨戦である国際イベントにおけるサイバーセキュリティについて解説します。