ユーザ企業における「セキュリティ人材育成」の考え方

本コラムの考え方

ユーザ企業にとって、サイバーセキュリティ対策は、見えにくいものばかりでなかなか現実的な対策が進まないことが多くあります。

これまでの情報セキュリティ対策では 「構成管理」 があまり徹底されていないこともあり、いきなりサイバーセキュリティと言われても、何から手を付けてよいのか判断できないことも多くあります。

そのような状況で、急に 「セキュリティ人材」 を配置する、育成する、採用するといった活動に踏み出せるかというと、どこから始めるべきなのか判断に迷うことも多くあります。

株式会社ENNA の考える 「ユーザ企業におけるセキュリティ人材」 は、「ガバナンス」 と 「技術的セキュリティ対策」 の 2 つの観点を結びつける人材として定義しています。

また、株式会社ENNA では 「構成管理」 の徹底されていないシステムにセキュリティ対策を実施しても、事後対応に有効な場合があるだけで、検知・防御の観点からは、あまり意味が無いと考えています。

更に、日本の IT 人材 100 万人の所属会社の構成を見ますと、75% の IT 人材がベンダー側に所属している現状を踏まえ、IT 人材の 75% がユーザ企業に所属する米国で発行されるガイドライン等をそのまま実現しようと考えたり取り組むことには限界があることを知っておく必要があります。

参照すべき基準・標準、ガイドライン

ユーザ企業において 「セキュリティ人材」 の必要性を理解している方々が、まずは対策の土台となる基準・標準、ガイドライン等を理解することが重要です。

  • サイバーセキュリティ経営ガイドライン Ver2.0 (経済産業省)
  • システム管理基準 (平成30年4月30日改訂) (経済産業省)
  • 情報セキュリティ管理基準 平成28年改正版 (経済産業省)
  • 法令・ガイドライン等 (個人情報保護委員会)
  • 企業のサイバーセキュリティ対策に関する調査報告書 (内閣サイバーセキュリティセンター)
  • 企業の CISO や CSIRT に関する実態調査 2017 報告書 (情報処理推進機構 / IPA)

人材育成手順 / 概要

「セキュリティ人材育成」 を考えるためのステップを、大まかにまとめていきます。

IT 依存度の確認
  1. 停電になった場合の事業活動への影響度を確認する。
  2. 事業活動において、システム化されている業務の割合を確認する。
  3. システム障害が起こった場合に、取引先の事業活動にどこまで影響が出るかを確認する。
リスクマネジメント委員会
  1. 自社において、想定しているリスクを再確認する。
  2. サイバー攻撃の発生可能性のある個所を特定する。
  3. 事業の安全性に関わるシステムを洗い出す。
情報セキュリティ委員会
  1. 情報資産の洗い出しを、年次から四半期毎に変更する。
  2. システムの構成管理の手法と実施範囲を決定する。
セキュリティ部署の必要性の検討
(検討部署)
  1. セキュリティの取り組みが本当に必要なのか判断する。
  2. セキュリティを対処する組織が必要なのか判断する。
  3. セキュリティに対処する人材を自社に配置すべきか判断する。
  4. 相談可能な外注先の専門家を置くか検討する。
セキュリティ人材の配置
  1. 自社において、セキュリティインシデントへ対応する 「判断」 ができる人材が必要なのかを確認する。
  2. セキュリティインシデントが発生した場合の、システム運用保守契約において対応される範囲を特定する。
  3. セキュリティインシデントが発生した場合の手順を検討する。
  4. 外部からの通報窓口 (通報内容を判断できる人材) を仮置きする。
セキュリティ人材の育成 (準備)
  1. 自社において、セキュリティ人材が必要と判断された場合に、誰にその任を担わせるのか検討する。
  2. 自社において、セキュリティ人材が判断すべき範囲を、組織・権限・分掌の観点から整理する。
セキュリティ人材の育成 (実施)
  1. セキュリティ人材に対して前項で検討した 「判断すべき範囲」 に基づく、育成計画を策定する。
  2. 育成計画に基づく、教育プログラムの選定を行う。
  3. 育成するセキュリティ人材と連携して活動する、委託先の運用保守人材を委託先より申告させ、訓練を実施する。

人材育成手順 / 詳細

実際には、セキュリティ対策の役割を持った方が、1 名 ~ 数名で対策していくことが多いので、以下では、検討プロセスを、書籍に基づいて検討してみます。

情報セキュリティ白書2018
リスクマネジメント委員会 (危機管理委員会) を開催する際に 『情報セキュリティ白書』 の 「第 1 章 情報セキュリティインシデント・脆弱性の現状と対策」 を参考に、会議資料を作成します。
特に、第 1 章の中でも 「攻撃・手口の動向と対策」 について共有することが望まれます。説明では、セキュリティベンダーのように驚かせたり、脅したりすることなく、世の中の動向として説明します。

可能であれば、自社内の PC 台数・サーバ台数、1 日に流通する 「メール数 (や、スパムメール数)」 など、数字を用いて説明します。中には、OS の種類で、WindowsXP の残存台数なども重要です。
サイバーセキュリティマネジメント入門
セキュリティ人材育成を考える際に、まずは企業におけるセキュリティ対策のあり方を検討する必要があります。
その際には 『サイバーセキュリティマネジメント入門』 の 「第 2 章 これまでのサイバー攻撃対応の進化」 を確認し、どこまで自社で、自力で対処するべきかを検討しておくことが重要です。

更に 「第 4 章 目指すべきサイバー攻撃対応体制 ②」 を確認し、リスクマネジメント委員会や、総務部・法務部等、従前のリスクマネジメント対応組織とコミュニケーションを取ることが重要です。
経営とサイバーセキュリティ デジタルレジリエンシー
サイバーセキュリティは、攻撃者がいる前提でのセキュリティ対策ですが、攻撃されるという認識での社内コミュニケーションはとても困難なことです。

社内で現実的にサイバーインシデントに関する情報を共有するためには、脅威や被害について調査することよりも 「いかに、自社の事業上の権利を守るのか」 に集中しておくことが望ましいです。

顧客とのやり取り、設計データ、決済や会計データ等、あらゆるものが IT 上で運用されていることを踏まえて、改ざん被害等に遇わないための各種対策や、ビジネスが計画通りに進まない可能性をはらむシステムリスクを回避する対策立案が重要です。
クラウドと法
平成23年の書籍ですが、1 度はセキュリティ担当者に読んでおいて頂きたい書籍です。

特に、ウェブサービス・クラウド利用が拡大し、様々なガイドラインが発行されている中で、その前提を幅広く理解しておくのに十分な内容です。

ユーザ企業におけるセキュリティ人材育成を考える時、個別ガイドラインを読み込んでから自社に適用させることも重要ですが、事業とシステムの関係性を整理した上で、対策の優先順位を考えることも重要です。

セキュリティ人材育成の対象者の検討

本編は、ユーザ企業のセキュリティ人材を育成するための考え方を纏めていますので、ユーザ企業の特徴を踏まえておく必要があります。

1.IT 人材の特徴について考える

ここで重要なことは、企業や事業活動を守るための 「セキュリティ人材」 は、IT 人材なのか?ということです。

上記 2 つの資料に記載されている 「IT 人材」と、社内の重要な情報に触れ、経営の意思決定に関与する 「セキュリティ人材」 の特徴を正しく整理し、IT 人材がセキュリティを学びセキュリティ人材となるのか、管理部門や各種委員会スタッフが IT 領域を学びセキュリティ人材になるのか、自社の方向性を検討しておく必要があります。

特に 「セキュリティ人材」 の育成を考える際に、重要な要素となるのが 「定期人事異動」 です。本人事制度を導入しているユーザ企業では、高度な人材育成を導入する場合は、平均的な在任期間との調整が必要になります。一定の年齢までに何職種経験するといった明・暗の基準がある場合、人材の配置や育成については慎重な対応が必要です。

更に 「セキュリティ人材」 の育成を考える場合は、そのセキュリティ人材及び上長、その組織の管掌役員の影響力が重要になります。大まかにいうと、製造・運行・サービス・営業部門等に対して、企業防衛の立場から対立する意見を適切なタイミングと言葉で、相手が分かるように説明できるかどうかが重要となります。言い換えると、「現場を理解し、仲良く共に会社を守れるか?」 を日々問える、信頼感のある人材を育成をするということが重要です。

ちなみに、企業防衛の観点が不要で、とにかくシステムのセキュリティ対策を追求していくと考えている場合は、それは 「セキュリティ人材」 の育成ではなく、システム運用のセキュリティの徹底であり、自社であれば開発要件、委託先であれば契約内容の問題ということになります。

チェックリストの整備、納品時の脆弱性診断、セキュアコーディングの徹底、運用保守を死活監視で終わらせない等の対策や契約を徹底して頂く方が有効と考えられます。

2.ユーザ企業の 「セキュリティ人材」 の位置づけ

ユーザ企業におけるセキュリティ人材とは、IT スキルに長けていることよりも、経営に近い立場で、正しい情報を集め、分析し、経営判断に反映させていく人材として考えられており、そのための情報源かつ意思決定の支援者としての委託先との連携等、幅広いパターンを想定しています。

3.情報処理安全確保支援士 (登録セキスペ) の可能性

これまで 「セキュリティスペシャリスト試験」 として運用されてきた、情報セキュリティに関する資格が、国家資格として制度が変更されました。

今後、試験内容及び研修内容が、当初の本資格が想定している経営リスクに対応可能な内容となった際には、国内唯一のセキュリティ専門国家資格として活かされることが想定されます。

お問合せ

アドバイザリサービスに関するお問合せはこちら

平成30年7月20日初版
平成30年7月22日改訂