「自社でサイバーセキュリティ人材を育成する」と思ったときに何から始めるべき？：セキュリティ人材育成を考える（終）

サイバーセキュリティ人材不足をどう解決すればいいのか、セキュリティ人材の育成などについて解説する本連載。第4回は、サイバーセキュリティにおける人材育成を効率的に行うための手法について。

[星野靖，ニュートン・コンサルティング]

　本連載ではこれまで、「サイバーセキュリティ人材の不足」「どのようなサイバーセキュリティ人材が必要なのか」「サイバーセキュリティの業務定義」について見てきました。今回は「効率的なサイバーセキュリティ人材育成」をテーマに、サイバーセキュリティ人材の育成を効率的に行うための適切な手法を紹介します。

　サイバーセキュリティは重要な経営課題であり、これを適切にコントロールすることが会社、事業の成長には重要であること、外部から人材登用することが容易ではない中、内製で人材育成することが必要であることをこれまで述べてきました。

　当然のことながら、行き当たりばったりで育成しても再現性はないため、ある程度の柔軟性を持ちつつも、計画性を持って育成していくために第3回では例として、以下のようなPDCAサイクルを紹介しました。

• （1）P：活用実績のあるフレームワークやセキュリティガイドラインを活用して、業務内容や必要な機能を洗い出す
• （2）P：いつまでに、どうなりたいのかの「次の状態」を定義する
• （3）P：「次の状態」に到達するために必要な対応（現在とのギャップを解消するもの）を洗い出す
• （4）P：改めて、期間や費用・人的リソースなどの観点で、必要な対応が現実的かどうかを検証する
• （5）P：RACIや5W1Hなどの観点から、必要な対応を具体化・具現化して計画に落とし込む
• （6）D：計画されたアクションを進める
• （7）C：週次、月次などで進捗（しんちょく）を確認する
• （8）A：計画と実態との乖離（かいり）が大きくなる場合は計画の見直しすなど、微調整する

　このうち（1）は第3回で述べましたので、残りの（2）〜（8）について詳細を紹介していきます。

定義した業務の数値化と「次の状態」の設定