セキュリティ人材を確保する方法とは？セキュリティリスクから企業を守るために

新型コロナウイルスの影響を受け、テレワークの普及など、はたらき方はもちろんのこと、事業やサービスのデジタル化もさらに加速。情報技術を活用したビジネス変革、DXの推進が経営における重要戦略の一つになっています。

同時に、デジタルビジネスのリスクも複雑さを増し、高度なレベルでの情報セキュリティ対策も欠かせないものとなりました。しかし、実際には十分な対応ができていない企業が多いのも現状です。

では、企業はどのような状況にあり、どのような課題を抱えているのでしょうか。本記事では、日本企業の情報セキュリティへの取り組み状況を見たうえで、これからの新規事業立ち上げにおけるセキュリティ対策の取り組み方について考えます。

新規事業における情報セキュリティ対策の考え方

新規事業やDXを進めるにあたって、経営戦略に情報セキュリティ対策を組み込むことが不可欠となっています。しかし、情報システムの停止や顧客情報・機密情報の流出・漏洩など、事故や被害の報告は後を絶たず、結果として経営へ計り知れない悪影響を及ぼすことも少なくありません。特に、個人情報などの重要情報を取り扱う場合、企業として正しく管理・保護することは社会的責務でもあります。

セキュリティ予算が10％以上の日本企業は約3割、米国は約8割

NRIセキュアテクノロジーズの「企業における情報セキュリティ実態調査2019」によると、日本企業の約3割がDXに取り組んでいますが、「DXでセキュリティの要請が変わっているが、対応はしていない」が4.2％、「DXでセキュリティの要請は変わっていない」が9.8％と、DXに取り組む企業のうち約半分がセキュリティ対策を実施できていないことが見てとれます。

セキュリティ予算に目を向けると、日本企業のセキュリティ対策への実態がさらに明らかとなります。IT関連予算に占めるセキュリティ関連予算の割合が10％以上と回答した日本企業は約3割で、これは米国企業の約79％、シンガポール企業の約67％の半分以下です。

セキュリティ対策は売上にも業務効率にも直接貢献しないために、「セキュリティ対策＝単なるコストでしかない」と捉えている経営層が多いことが背景にあると考えられます。

新規事業の立ち上げ時からリスクアセスメントを考慮すべき理由

セキュリティ対策を考える上で重要なことは、「最も漏らしてはいけないものは何か、そのためにはどこを守らないといけないのか」というリスクアセスメントが正しく実施されているか、という点です。もちろん、これを徹底するには経営層がセキュリティの重要性を理解していることが欠かせません。

内閣官房の「企業経営のためのサイバーセキュリティの考え方の策定について」では、セキュリティ対策はやむを得ない「費用」ではなく、企業としての「挑戦」と、それに付随する「責任」として取り組むことが期待される、と述べられています。また、基本的な考え方を下記のように示しています。

新規事業を進める際には、事業計画を練る段階からセキュリティ対策を組み込むことが大切です。自社・事業にとって「真のリスクは何か」ということを考えないまま走り始めた場合、リスクに気付いてからの事後対応では遅すぎたり、予算が十分に取れなかったりするなど、不都合なことが多いからです。ルールは動き出す前に策定し、規模にもよりますが、専任の担当者を配置するのがベターです。

セキュリティ対策の実効性を確保するために

各国の企業で、情報システムにおけるセキュリティインシデントに対応するための組織であるCSIRT（Computer Security Incident Response Team）を導入する動きが広がっています。しかし、日本ではまだこういった組織の導入は少ないのが現状です。

CSIRT構築の状況について、海外4カ国（米国、英国、シンガポール、オーストラリア）と比べた調査結果によると、日本企業における単独組織での構築率は6.5％であるのに対して、米国は44.8％、英国は48.2％とはるかに高い割合となっています。

また、「現時点では構築していない」という日本企業の回答も49.5％もの割合を占めています。ユーザー側のセキュリティ意識の高まりを考慮すると、企業・組織として早急な対応が必要な状況といえるでしょう。

たとえ対策の必要性を認識していても、万全に整えるのは容易ではない、という側面もあります。どのように準備すればいいかの判断がつかず、「とりあえずセキュリティ製品を導入する」「とりあえずエンドポイント対策を講じる」といった「とりあえず」の施策で済ませてしまっているケースが多くあります。もちろん、それがその企業・組織にとって有効な対策ではなかった場合、投じた費用や時間が無意味なものにもなりかねません。

ひとたび甚大な自然災害や人的災害、経済危機といった緊急に遭遇すると、事業継続計画（BCP）の必要性が改めて認識されますが、DX推進やセキュリティ対策なども同じく、予測できない突発的な事象を見据えて、平常時にやるべきことをやっておくことが重要です。どんな事態も他人事とは捉えず、必要な対策や新しい事業に取り組んでいくことが、結果的に事業を継続し、企業価値の維持・向上につながるといえます。

関連記事「BCP（事業継続計画）とは？策定手順も解説！」を見る

求められているセキュリティ人材

情報セキュリティ対策の重要性が増す一方で、セキュリティ人材は不足しており、その傾向は年々強まっています。経済産業省によると、2016年時点でセキュリティに従事する人は28万人、不足数は13.2万人と推計されていましたが、2020年にはセキュリティ人材が37.1万人に増加するものの、不足数は19.3万人に達するとされています。

「セキュリティ人材」と一言でいっても、求められる専門知識やスキルは非常に幅広く、巧妙化・複雑化している脅威に対処するためには経験も必要になります。また、企業や組織によって脅威の種類や守るべき情報等が異なるため、画一的な知識・スキルだけではカバーできないこともあります。そのため、セキュリティの専門領域はもちろんのこと、事業全体や経営までをも含めた広範な視点が重要です。

特に、セキュリティ市場で圧倒的に少ないのがCISO（Chief Information Security Officer 最高情報セキュリティ責任者）の役割を担える人材です。

セキュリティ対策を進めるには、実際に業務アプリケーションを利用する部門や、情報を扱う部門などの協力が不可欠なため、部門間で調整しなくてはいけない場面も出てきます。加えて、経営層に対策の必要性を説いたり、経営戦略に反映させて施策を実行したりするなど、セキュリティの専門家ではないステークホルダーに対して、難解な専門用語ではない言葉で対話をする能力も求められるのです。

セキュリティエンジニアがニーズに合わせて高い技術を提供

パーソルグループでエンジニア人材の派遣を手掛けるパーソルクロステクノロジーでは、セキュリティ対策を進めるにあたり、リスクアセスメントやリスク対応策策定などの計画フェーズから、要件定義や運用設計などの実行フェーズまで、信頼できる高い人材・技術の提供による支援を行っています。大きく分類すると、主に4つの領域があります。

1．脆弱性診断
情報漏洩・マルウエア攻撃対策を目的として、対象となるWebシステムやインフラプラットフォームの設備不備や欠陥に起因する「脆弱性」を発見・検出します。

2．アプライアンス導入支援
SIEM製品やIDS/IPS、エンドポイント型セキュリティ製品など、セキュリティアプライアンスの導入から最適化、トラブルシューティングなどの業務を支援します。

3．SOCアナリスト支援
情報システムに対する脅威への監視・分析を行う組織の運用や、機器のチューニング、セキュリティインシデント対応など、SOCの様々な業務を支援します。

4．セキュリティ組織構築・運用支援
情報システムのセキュリティインシデントに対応するための組織CSIRT構築や運用を支援し、脆弱性の管理やインシデントのハンドリング・トリアージ、各種セキュリティ施策の推進などをサポートします。

エンジニア派遣と業務委託という2つの選択肢

現在130名以上のセキュリティエンジニアが在籍し、研修や教育訓練などによる育成にも力を注いでいるパーソルクロステクノロジーでは、セキュリティ人材の派遣サービスにおいて豊富な実績があります。派遣という形態の場合、組織の中に入って周囲の方々と近い距離感で業務に携わるため、より柔軟なはたらき方が可能になります。

実際、CSIRT構築支援でエンジニアを派遣した事例では、確かな知識と経験のあるCSIRT要員として、どのような施策を行うかといったセキュリティガイドライン策定から参画し、様々なベンダーのセキュリティ製品を検証して、その事業体に合うものを見極めるという業務を任されたケースがありました。

セキュリティ脆弱性診断やCSIRT構築・運用支援においては、セキュリティエンジニアの派遣だけでなく業務委託でのサポートも行っています。セキュリティ対策の上流工程から実装・運用まで、専門的な知見が必要な各対策工程の業務を支援し、また、セキュリティ脅威情報の定期配信サービスも提供しています。

サービス紹介

パーソルクロステクノロジー　セキュリティサービス

サービス紹介ページ

お問い合わせはこちら