「まずはリーダー自身が賢くなること」 ガートナーがセキュリティ人材育成に関して3つの提言：「内製化に取り組んだことのある企業はセキュリティも内製化する」

ガートナージャパンは新たな時代のセキュリティ人材の強化に向けて押さえておくべき3つのステップとアクションを発表した。セキュリティ人材に求められる要素は多様化しているため、現状のスキルやタスクを整理し、外注化の検討なども含めた複合的な対策が必要だとしている。

[＠IT]

　ガートナージャパンは2023年5月24日、新たな時代のセキュリティ人材の強化に向けて押さえておくべき3つのステップとアクションを発表した。

プレスリリース

　同社は「サイバーセキュリティの人材不足を課題に挙げる組織は依然として多い。ただ、サイバーセキュリティといっても中身はさまざまで、昨今ではセキュリティスキルだけでなく、日々変化する技術、法規制、社会環境のトレンドに対応できる能力を持った人材が必要になっている」と指摘。そういった人材を育成、獲得するために必要な3つのポイントをまとめた。

現状とのギャップを識別する

　NIST（米国国立標準技術研究所）やIPA（情報処理推進機構）では、サイバーセキュリティの知識やスキル、タスクを整理したドキュメントが公開されている。そうしたドキュメントを使って“現状とのギャップ”を把握することで、「『どの部分をインソーシングするかアウトソーシングするか』を判断しやすくなる」とガートナージャパンは述べている。

　ガートナージャパンの礒田優一氏（バイスプレジデント、アナリスト）は「現在は、全てのセキュリティオペレーションを人間が担当しなくてもよくなっている。AI（人工知能）や自動化のトレンドは日々変化しているため、その点も踏まえて具体的なユースケースを特定し、有効性を確認しながら取り組みを進めることが肝要だ」と述べている。

インソーシングで対応する領域を調整する

　ガートナージャパンが日本国内の従業員300人以上の組織を対象に実施した調査によると、セキュリティ人材を強化する方法は既存の人材の育成、アウトソーシング、採用の順で多く、セキュリティ戦略やマネジメント、企画などは「インソーシング（社内調達）で対応する」とされていた。

セキュリティ人材を強化するためにどんな方法を採用しているか（提供：ガートナージャパン）

　ガートナージャパンによると「サイバーセキュリティの専門スキルを要する高度な運用やセキュアプログラミング、セキュリティテストなど開発関連の領域はインソーシングでは対応が難しく、アウトソースされることが多い」という。

　ただし最近では、そうした専門領域でも社内調整で対処しようとする動きもあるようだ。ガートナージャパンは「サイバーセキュリティにおけるインシデント対応の重要性の高まりとデジタルビジネスの取り組みの広がりがある。また、開発などで内製化に取り組んでいる企業ではセキュリティも内製化する傾向にある」としている。

必要とされるセキュリティ人材のビジョンを策定し、内発的動機を促す

　「SRM（セキュリティリスクマネジメント）のリーダーは、メンバーが学ぶべき項目の一覧の作成ではなく、ビジョンを描き、セキュリティ組織のあるべき姿を定義し、メンバーに示すことだ」とガートナージャパンは指摘している。SRMリーダーがビジョンや戦略を策定し、メンバーに示すとともに経営者からもコンセンサスを得ることで「セキュリティ組織の社内的なポジションを向上させ、明るいキャリアプランを示すことが可能になる」という。

　礒田氏は、「SRMリーダーは、人が健康的に最高のパフォーマンスを発揮し、継続的に高い成果を上げることのできる環境を醸成することが重要だ。また、メンバーが自ら学び成長するためには、まずはリーダー自身が賢くなり、最新のトレンドを踏まえた議論に広く対応できるような感度を常に養っておくことが重要だ」と述べている。