連載
» 2016年01月19日 05時00分 UPDATE

セキュリティ教育現場便り(1):「セキュリティ人材」って、何ですか?――本当に必要なセキュリティ教育を考える (1/2)

昨今「情報セキュリティ人材の不足」がしきりに叫ばれていますが、本当に人材は不足しているのでしょうか。そもそも、「セキュリティ人材」とは一体どのような人材を指すのでしょう? セキュリティ教育に現場で携わってきた筆者が、今求められる人材育成について考えます。

[富田一成(ラック),@IT]
「セキュリティ教育現場便り」のインデックス

連載目次

 2020年開催の東京オリンピックを目前に控え、情報システムの維持管理や情報の保護、自動車などのモノをネットワークに接続するIoT(Internet of Things)の保護など、さまざまな観点から情報セキュリティの必要性が訴えられています。また、それに伴って情報セキュリティ人材の育成が急務だともいわれています。

 しかしながら、この「情報セキュリティ人材の育成」というテーマに関しては、まだまだ議論が不十分な点があると筆者は考えています。そこで本連載では、セキュリティ教育に携わる筆者が、「本当に必要な人材は何人なのか」「どのような知識・技術を学ぶ(学ばせる)必要があるのか」といった観点から、今本当に求められるセキュリティ教育について考えていきたいと思います。

そもそも「情報セキュリティ人材」とは?

 数年前から、「情報セキュリティ人材が不足している」ということがたびたび言われてきました。しかし、そもそも本当に人材は不足しているのでしょうか? 不足しているとして、どのような知識・技術を持った人材が、何人程度必要なのでしょう? まずはこれらの点について考えてみます。

 過去のさまざまな考察を見ると、「情報セキュリティ人材は13万人不足している」といったデータや、「現状に対して追加で8万人は必要」などという情報が見受けられます。まず考えなければならないのは、この「情報セキュリティ人材」というのが一体どのような人材を指しているのかということです。その点が曖昧であるために、人材育成の方針が具体的にならず、いつ達成されるのかもはっきりしないという状況がさまざまな組織で生じているからです。

 情報セキュリティと一口に言っても、組織によって方針や事業戦略は異なりますし、担当する役割によって業務内容は全く違います。例えば、組織内にはシステムを開発する人や管理する人、社員への教育を行う人もいれば、事故が起きた時に対応する役割の人もいるでしょう。

 また、肩書や所属名が同じでも、組織によってその業務内容は全く異なっているのが実態です。例えば、「システム管理者」には、システムの障害対応だけを担当する人もいれば、情報漏えいが起きた時にシステムの分析を行う人もいます。Windowsシステムの管理をする人もいれば、Unix系OSのシステムを管理する人もいます。情報セキュリティについて幅広い知識を求められる人もいれば、ある一つのOSのセキュリティ設定に関する深い知識がなければ仕事が務まらない人もいます。中小企業では、システム管理者に任命された人が社内のセキュリティの全てを管理・運用していることも多いでしょう。

 このように、一口に「情報セキュリティ人材」と言っても、その業務内容は多種多様であり、まとめて一つの人材として表現することは困難です。こうした多様な人材が、全員一様に情報セキュリティの深い知識を持っており、新しい知識も吸収し続けられるようであれば非の打ちどころはありません。しかし実際には、各担当者の本来の日常業務があり、時間やコストには限りがあります。全員が情報セキュリティの深い知識を有することは困難でしょう。従って、組織の方針や各担当の業務内容に合わせて、必要な知識や技術を身に付けるのが現実的だといえます。

 仮に、ある会社が情報セキュリティ人材不足のニュースなどを真に受けて、情報セキュリティ全般について幅広い知識を持つ人材ばかりをそろえたとしましょう。その会社が新たに情報セキュリティに関わる事業を立ち上げるというのであれば、会社の方針に沿った活動と考えられなくもありませんが、そうでない限りは、いわゆる“管理側”の人数ばかりが増えてしまうことになります。こうしてコスト増となった結果、その会社の本来の業務を圧迫し続けるようであれば大問題です。このような事態を避けるためには、「情報セキュリティ人材」と大きく一括りにするのではなく、組織において情報セキュリティに関わる活動にはどのようなものがあるのかを考えた上で、適切な人材育成の計画を立てる必要があります。

必要な人材を考えるには組織図が参考になる

 そこで問題になるのが「自分たちの組織にはどのような人材が何人必要なのか?」という点です。筆者の経験からいっても、多くの組織がこの課題に直面しています。このとき、体系だった基準や一覧表のようなものがあると検討が楽になります。本連載では、こうした基準や一覧表を準備するために必要な人材育成のための方針、要素などを取り上げていく予定です。それらをまとめることで、組織の方針が明らかになってくるでしょう。ただし、組織によっては本連載の内容が上手くマッチしない部分も出てくると思います。最終的には、組織に合わせて考え直す必要があります。

 さて、初めに一つ方法を紹介します。組織図を取り出して、各部門が情報セキュリティの観点から何をすべきかを、ぼんやりとでも構いませんので考えてみてください。これは、組織内の「役割」に基づいて人材育成の方針を検討するという考え方です。もともと、アクセス権限付与のための考え方の一つに、「役割に基づくアクセス制御(Role-Based Access Control:RBAC)」というものがあります。組織構造は組織の方針や事業戦略に合わせて作られているはずですから、その組織構造に基づいて誰に何の権限を与えるべきかを考えることで、効率良く検討できるはずだ、という考え方です。この考え方を人材育成にも利用しましょう。

 まず、ほとんどの人が「一般社員(職員)」に当てはまるはずです。一般社員(職員)は、普段の情報の取り扱いやPCの使い方、インターネット利用時の注意点などを知っておく必要があります。システム管理者やプログラム開発者のような特別な知識は必要ありませんが、PCや情報を扱う利用者の観点から、ルールを理解しておく必要があります。

 次に、データやシステムを管理する人です。情報セキュリティ事故を防ぐだけでなく、事故に気付いたり、事故が起きた後に対応したりするスキルが求められます。固有のセキュリティ製品を扱っている場合は、それらに関する知識も必要となります。

 3番目は、プログラムやシステムを開発する人です。事故が起きないように安全な設計を行い、システムを作るスキルが求められます。また、セキュリティ上の問題がないかをテストするといった知識を求められることもあります。

 そして最後は、組織全体のリスクを考える人です。理想を言えば、社内の経営層や人事、法務、総務、監査担当者などは、組織全体のリスクを考えられるようにしておくのが望ましいでしょう。情報セキュリティは組織のリスクであるため、事故が起きたときには経営責任を問われることもあるからです。しかし、現実的に考えて、これらの担当者全員が情報セキュリティのリスク、つまり事故が起きる可能性を考え続けるのは難しいかもしれません。そういうときは最高セキュリティ責任者(Chief Information Security Officer:CISO)を置き、組織のリスクの検討や、どのような対策をすべきかといった経営判断の支援、事故対応の支援などを行います。

 また、必要な人材を考えるとき、コスト面の問題から、自組織で全ての情報セキュリティ人材を育成・維持することが困難な場合もあります。そのときは、業務の役割の一定のところまでを自社でまかない、それ以外は専門業者に任せるという選択肢を考えるべきです。例えば、ウイルス感染時のPCの解析やサーバのセキュリティ診断などは、全てを内部でまかなう必要はなく、専門家に任せてしまった方が費用対効果が高くなることも多いでしょう。自社の社員は、業者と会話する際の最低限の基礎知識を持っていれば、情報セキュリティに関わる施策を十分に回すことができます。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

Focus

- PR -

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。