必要なのはどのようなサイバーセキュリティ人材か？　業務内容と職種を整理する：セキュリティ人材育成を考える（2）

サイバーセキュリティ人材不足をどう解決すればいいのか、セキュリティ人材の育成などについて解説する本連載。第2回は、企業、組織においてどのようなサイバーセキュリティ人材が必要となるのかについて。

[星野靖，ニュートン・コンサルティング] PC用表示関連情報

LINE

Hatena

　第1回では、サイバーセキュリティを取り巻く人材の充足状況や課題を見てきました。第2回は「必要なサイバーセキュリティ人材」と題して、企業、組織においてどのようなサイバーセキュリティ人材が必要となるのかについて紹介します。

　「サイバーセキュリティの仕事ってなんだろう？」。今の時代では誰しもサイバーセキュリティ対策として何かしないといけないと分かっていながら、何から始めたらいいのか、どのタイミングでやるべきなのか、その詳細までは知られていないように思います。

　もしかするとサイバーセキュリティの仕事についても、サイバー攻撃や問題が発生したときにだけ仕事があって、それ以外では特にやることがないと思われている可能性もありそうです。そんなことはもちろんないのですが、この辺りは企業、組織によって考え方が異なる点でもあります。まず、大枠の考え方をお伝えしていきます。

サイバーセキュリティ業務の内容

　最初に、サイバーセキュリティの要は、サイバー攻撃を受けたとしたら、またサイバーセキュリティに関連する問題が起きたら、それをいかに早く対応して元の状態に戻すか、いわば有事対応です。では、問題が発生したときにだけ、有事対応を行えばいいのかといえば、それはノーです。何も準備せずに、問題が発生したときにだけ有事対応しようとしても、的確に動けないからです。

　危機事象と呼ばれる、リスクが表出した状況を整理したものが以下の表です。サイバー攻撃はじわじわと影響が広がる進行型であり、自分たちだけがピンポイントで被害を受ける狭域被害でもあるという特徴があります。

　自分たちだけが狙われているという事態は、世間的には平穏無事な状況であり、そのため自分たちの一挙手一投足に注目が集まる可能性も考えられます。また、じわじわと危機が広がるということは早めに手を打つことができれば、被害は抑えられるということです。

危機事象におけるサイバー攻撃の位置付け（筆者作成）

　このサイバー攻撃について、組織、企業の対応が遅い、そのために被害が拡大しているなどの状況に陥れば、当事者のレピュテーション（評判）は低下し、場合によってはサイバー攻撃をきっかけに組織、企業の存続が危ぶまれるという最悪の事態も考えられます。

　そのため、有事でも的確に動けるよう平時から有事を想定した準備をする、または有事が起きないように予防的な対応を取るなど「有事に向けた平時の備え」が重要となってきます。

　サイバーセキュリティに限らず、一般的に予防的に対応する（問題が起きる前に手を打つ）場合は事後的に対応した（問題が起きてから手を打つ）場合に比べて、その費用の圧縮効果が大きいといわれています。

　このようなコストメリットに鑑みて、平時の備えと有事の対応を観点ごとに整理したものが下表です。


観点	平時の備え	有事の対応
人のスキル・リテラシー	●業務内容の習熟 ●最新トレンドの情報収集 ●研修などでのリテラシー向上	●代替手段の実行
組織・体制	●有事対応体制の構築 ●経営層、上位層への定期報告	●関係部署の巻き込み ●経営層への報告
ルール・プロセス	●セキュリティ方針の決定 ●ルールの整備、改訂	●社内への周知 ●社外への相談、届け出など ●外部への公表
ツール・ソリューション	●ツール、システムの導入 ●設定の変更など	●封じ込め、隔離 ●原因調査 ●システム、業務の復旧
サイバーセキュリティにおける平時、有事の業務例（筆者作成）

　実際にはもっと多岐にわたる業務がありますが、システム的な対応だけに終始する訳にはいかないことがお分かりいただけると思います。システム操作など、システム的、エンジニア的な対応をしているだけでは情シス的な対応にとどまり、全社を巻き込まないといけない場合にうまく進捗（しんちょく）しない可能性が高いです。

　そのため、サイバーセキュリティの担当者であっても、ビジネス的、コーポレート的な対応も業務範囲内と捉えて対応していく必要があります。

サイバーセキュリティにはどんな職種があるか

　サイバーセキュリティに関する求人を見ていても、セキュリティスペシャリスト、セキュリティエンジニア、セキュリティアナリストなど、その言葉の響きからはすごく仕事ができそうに見えますが、具体的に何をするのかが分かりづらくも見えます。少し違う角度から職種を考えてみます。

　サイバーセキュリティが抱える広く深い範囲を一人のセキュリティ担当者が全て対応できるかでいうと、常識的に考えると難しいでしょう。小規模な会社ではIT担当者が専任でいることも難しく、規模が大きくなるほど役割が細分化されていくことが一般的です。

　セキュリティ領域も広く深いという点からすると、本当は専任担当の形が望ましいのですが、それは組織規模やビジネスの種類によりけりであり、現実的な対応を考える必要があります。恐らくは、以下のいずれかの形でセキュリティ担当をされている方が多いだろうと推測します。

他の業務との兼任でIT担当としてセキュリティ対応も行う
IT担当を専任で行い、セキュリティ対応も行う
セキュリティ担当として業務を行う

　業務としてまず挙げられるのはパッチを当てたり、ツールを導入したり、認証設定したり、ツールやソリューションの観点からの対応であると予想されます。これが片手間でできていた段階から、ある程度セキュリティ業務に集中する必要が出てきた場合に専任担当する流れになっていくでしょう。

　この流れで日常的な対応はある程度進捗するようになりますが、必要な対応を都度やるだけではサイバーセキュリティにおいては十分といえません。なぜなら、犯罪者が気まぐれにあなたの会社を攻撃してきたら、おそらく被害が甚大になり、業務に支障がある状態が長期化してしまうからです。

　従って、先ほども触れた「有事に向けた平時の備え」を真剣に考える必要があります。

会社をどれだけ成長させるのか？
それに伴って、システムを含めた周囲の環境がどう変わっていくのか？
環境の変化に対して、サイバーセキュリティをどう変えていくのか？

　サイバーセキュリティは重要な経営課題だとお伝えしていますが、その場合は経営戦略、事業戦略の理解、経営層、現業部門、コーポレート部門とのコミュニケーションなど、現場のセキュリティ担当者にとっては手に負えない対応が入ってくることになります。

　そのため、経済産業省が公表している「サイバーセキュリティ体制構築・人材確保の手引き（第2版）」などを参考に、サイバーセキュリティ業務を企画機能、管理機能、運用機能に分類して、それぞれに特化した形で業務に携わることを提案します。


機能	業務概要	必要な特性など
企画	●戦略・業務に連動したサイバーセキュリティ施策の立案 ●社内への啓発など	●経営・事業戦略を熟知している ●ビジネス部門、コーポレート部門の経験があることが望ましい
管理	●情報資産やインシデントの管理 ●新技術の導入検討、評価	●ビジネス部門、コーポレート部門の経験があることが望ましい ●サイバーセキュリティに関する知識・スキルがあることが望ましい
運用	●問い合わせや脆弱（ぜいじゃく）性などへの対応 ●新技術の導入など	●サイバーセキュリティに関する知識、スキルが必要である
機能を分割した場合のサイバーセキュリティ業務例（筆者作成）

　この分類をベースに企業の成長とともにサイバーセキュリティ機能を拡充する場合、まずは運用機能を確立した上で、管理機能、企画機能を設けて、対応を高度化していくことが望ましいでしょう。

どこまで内製でやるか

　では、これらの業務機能について、内製で対応したらよいか、外部を活用するのがよいかについても考えていきましょう。日本ネットワークセキュリティ協会（JNSA）のワーキンググループである日本セキュリティオペレーション事業者協議会（ISOG-J）が公表している「セキュリティ対応組織の教科書」では、分かりやすい分類が示されています。

セキュリティ対応の4領域（JNSA、ISOG-J「セキュリティ対応組織の教科書」を基に筆者作成）

　先ほど業務を大きく3つに分類したうち、企画機能は「1．自組織で実施すべき領域」と考えられるため、外部活用は難しいですが、管理機能、運用機能は外部に委託するという選択肢も考えられます。

　では、どこまで内製でやるか、外部に依頼するかを判断すればいいのでしょうか。これは「手間をかけるか、お金を掛けるか」という考え方次第になりますが、人材を登用しようにもそのポストに合う人材がいない場合には、まず外部に委託することで当面の対応を進めていき、計画的に人材の登用、採用を進めていく形が合理的です。