「自社でサイバーセキュリティ人材を育成する」と思ったときに何から始めるべき?:セキュリティ人材育成を考える(終)
サイバーセキュリティ人材不足をどう解決すればいいのか、セキュリティ人材の育成などについて解説する本連載。第4回は、サイバーセキュリティにおける人材育成を効率的に行うための手法について。
本連載ではこれまで、「サイバーセキュリティ人材の不足」「どのようなサイバーセキュリティ人材が必要なのか」「サイバーセキュリティの業務定義」について見てきました。今回は「効率的なサイバーセキュリティ人材育成」をテーマに、サイバーセキュリティ人材の育成を効率的に行うための適切な手法を紹介します。
サイバーセキュリティは重要な経営課題であり、これを適切にコントロールすることが会社、事業の成長には重要であること、外部から人材登用することが容易ではない中、内製で人材育成することが必要であることをこれまで述べてきました。
当然のことながら、行き当たりばったりで育成しても再現性はないため、ある程度の柔軟性を持ちつつも、計画性を持って育成していくために第3回では例として、以下のようなPDCAサイクルを紹介しました。
- (1)P:活用実績のあるフレームワークやセキュリティガイドラインを活用して、業務内容や必要な機能を洗い出す
- (2)P:いつまでに、どうなりたいのかの「次の状態」を定義する
- (3)P:「次の状態」に到達するために必要な対応(現在とのギャップを解消するもの)を洗い出す
- (4)P:改めて、期間や費用・人的リソースなどの観点で、必要な対応が現実的かどうかを検証する
- (5)P:RACIや5W1Hなどの観点から、必要な対応を具体化・具現化して計画に落とし込む
- (6)D:計画されたアクションを進める
- (7)C:週次、月次などで進捗(しんちょく)を確認する
- (8)A:計画と実態との乖離(かいり)が大きくなる場合は計画の見直しすなど、微調整する
このうち(1)は第3回で述べましたので、残りの(2)〜(8)について詳細を紹介していきます。
定義した業務の数値化と「次の状態」の設定
自組織におけるサイバーセキュリティ業務を定義したら、そのボリュームや重要度などを数値化し、「次の状態」も設定します。それによって次の目指すべき状態と現状とのギャップが明らかになります(PDCAサイクルの《2》〜《3》)。
(2)P:いつまでに、どうなりたいのかの「次の状態」を定義する
「次の状態(なりたい状態)」は言葉にしても分かりづらく解釈の余地を許してしまうため、やはり数値化することが重要です。3段階でも、5段階でも、10段階でもいいのですが、例えば各業務を以下のように振り分けてみましょう。
| 評価 | 評価の説明 | 状態 |
|---|---|---|
| 評価5 | 不測の状況においても臨機応変に対応できる | 一人前といえる状態 |
| 評価4 | 周囲に指示を与えられる | |
| 評価3 | 独力で一通り対応できる | |
| 評価2 | 適切な指示の下で限定的に対応できる | より成長が必要な状態 |
| 評価1 | その業務を全くできない | |
| 5段階評価の例 | ||
資格や類似する経験などでサイバーセキュリティの知識レベルを測ることも可能であり、その要素を含めたくなりますが、それが今の立場で必要な業務ができることを示すわけではないため、その点を加味する場合には工夫が必要となります。
知識・スキルを評価に含める場合、例えば以下のようなやり方が考えられます。
- 業務評価と知識、スキル評価を別で用意する
- (知識・スキルレベル)と(業務レベル)を掛け算するなどして、同一指標で評価する
後者の場合、知識、スキルレベルの向上が業務の質の向上につながると考えられるケースです。ただし、あまりに指標を複雑化した場合は運用、管理が煩雑になりやすいため、まずはシンプルな形にすることをお勧めします。
では、指標を決定したら、現状を評価してみましょう。
例えば、行に従事するメンバーを並べ、列には必要な業務内容を並べて数値評価していき、業務ごとの数値合計を出し、期待する状態も数値化します。数値化するだけでは分かりにくいと感じる場合は、最大を100%とした業務対応割合としてパーセンテージ表示する方法もあります。
| 業務内容 | 社員A | 社員B | … | 組織の合計 | 期待する次の状態 |
|---|---|---|---|---|---|
| 構成管理、運用設定 | 5 | 3 | … | 25(50%) | 40(80%) |
| 脆弱(ぜいじゃく)性対応 | 4 | 3 | … | 35(70%) | 40(80%) |
| セキュリティツールの導入、運用 | 3 | 4 | … | 15(30%) | 40(80%) |
| 監視、検知、対応 | 4 | 3 | … | 10(20%) | 25(50%) |
| … | … | … | … | … | … |
| 定義された業務への現状評価例 | |||||
これにより、必要な業務と組織の対応状況の実情を俯瞰(ふかん)できるようになります。
「次の状態」に到達するために必要な対応の洗い出し
現状と目指すべき状態のギャップを可視化したら、そのギャップを解消するための手段を考えます。
(3)P:「次の状態」に到達するために必要な対応(現在とのギャップを解消するもの)を洗い出す
実務作業の向上となれば、OJTでの育成が最も有力です。既に熟練者が存在する場合はそのノウハウを活用し、存在しない場合は外部有識者の知見を活用して育成方法を組み立てていきます。
まず、組織としてどのような状態を目指すのか。これを関係者に示すことが重要であり、育成するに当たってどんなところが障壁になりそうか、意見を出してもらいます。障壁になりそうな点には、どのようにカバーしたらよいかも考慮して育成施策につなげることが望ましいです。
| 観点 | 業務能力向上への障壁例 | 業務能力向上への施策例 |
|---|---|---|
| 人のスキル、リテラシー | ・業務負荷が大きく、新たな業務能力習得を行う時間がない ・業務能力を向上させる意欲を持っていない |
・業務の棚卸しを行い、不要な業務を削減、アウトソースする ・人事評価制度と連動させる |
| 組織、体制 | ・業務と役割が細分化されていて、狭い範囲での業務習得にとどまっている | ・定期的な役割のローテーションを行う |
| ルール、プロセス | ・ルール、業務手順が明確になっていない | ・熟練者を中心に、ルール化を行う |
| ツール、ソリューション | ・膨大な業務量であるため、特定の個人に依存せざるを得ない | ・ツール導入による自動化などで業務負荷を軽減させる |
優先順位の見直し
現状評価と目指すべき次の状態が決まれば、優先度はおのずと決まってきます。ただ、その順番通りに進めていくことが現実的かどうかも併せて確認しましょう。
(4)P:改めて、期間や費用・人的リソースなどの観点で、必要な対応が現実的かどうかを検証する
- 対応期間がかかり過ぎる(優先度を落とす、時間がかかるため優先度を低くする)
- 費用がかかり過ぎる(費用がかからない代替手段を模索する、予算を確保してから対応する)
- 対応するための人的リソースが不足している(優先順位を落とす、外部から人員を拡充する)
- 業務間の依存関係がある(依存関係に応じて、その習得順を調整する)
このひと手間をかけることで、その計画が「絵に描いた餅」とならず、一層現実的なものになることが期待できるでしょう。ただし、逆の意味で進展が望めない状況に陥らないよう、理想と現実のバランスに留意したいところでもあります。
計画実行に当たっての役割などの決定
計画ができても、誰がいつ、何を、どうやってやるのかなどが決まらなければ、進捗はありません。広く知られた考え方ですが、役割分担や対応の観点として、RACIと5W1Hも少し紹介します。
(5)P:RACIや5W1Hなどの観点から、必要な対応を具体化・具現化して計画に落とし込む
何にでもあてはまる考え方ですが、育成の理由、主体、ゴール、方法などを整理するのに有用です。
| 各役割 | 役割の説明 | ||
|---|---|---|---|
| R | Responsible | 実行責任者 | その仕事を担う人を指します |
| A | Accountable | 説明責任者 | その仕事の成果や進捗を関係者に説明する人を指します |
| C | Consulted | 協業先、相談先 | その仕事をサポートする人を指します |
| I | Informed | 報告先 | その仕事の成果や進捗について、説明を受ける人を指します |
| RACIチャート | |||
| Why | Who | When | Where | What | How |
|---|---|---|---|---|---|
| なぜ | 誰が | いつ | どこで | 何を | どうやって |
| 5W1H | |||||
これにWhom(誰に)を入れて6W1H、How Much(いくらで)、How Many(どれだけの数を)を入れて5W3Hなど、派生形もあります。
これらの観点が多ければ多いほど、計画がより精緻になりますが、同時に運用に当たって煩雑さが増すことにもなりますので、単純化するならばWhy(なぜ)、What(何を)、How(どうやって)ぐらいでもよいでしょう。具体性を持たせる方法はいくらでもあるでしょうが、現実的に計画を継続することを重視することが肝要です。
計画実行と運用
計画が整ったら、早速実行に移し、「善は急げ」でどんどん進めていきましょう。
(6)D:計画されたアクションを進める
週次や月次など、周期を決めて期待通りに進捗しているかどうかを確認しましょう。やりやすい周期、タイミングで構いませんが、隔週や隔月となるとルーティン化するには難しい部分があるため、その周期にした場合は確認が手薄にならないような工夫を取り入れてください。
(7)C:週次、月次などで進捗を確認する
また、3カ月、6カ月、1年に1度などの周期で計画を見直すこともぜひ行ってください。一般的に外的環境や内的環境は時間の経過とともに変化するからです。
(8)A:計画と実態との乖離(かいり)が大きくなる場合は計画の見直しなどを行って、微調整する
| 外的環境の変化 | 内的環境の変化 |
|---|---|
| ・セキュリティリスクが高まった ・事業、ビジネスの状況が変わった |
・業務内容に変化があった ・組織体制が大きく変わった ・メンバーが増えた、減った |
ここまで進めたら、冒頭でお伝えしたPDCAサイクルに戻り、PDCAサイクルを回していくことが肝要です。
個人の期待との整合
ここまで、どちらかというと組織目線でシステマチックに計画策定→実行する方法について触れてきました。しかし、人材育成ですので、相手は人間であってロボットではありません。計画に個人の意欲、意向が織り込まれていない場合には思ったように進まない課題に直面するかもしれません。
もし、そのような理由が障壁となっているならば、まず育成対象となる個人に着目することが解決策の一つとなります。米国の心理学者・ガブリエル・エッティンゲン博士が提唱している「WOOPの法則」を紹介します。
- W:Wish:実現したい姿
- O:Outcome:実現したい姿がかなった場合の結果
- O:Obstacle:実現に当たって考えられる障壁
- P:Plan:障壁を乗り越えるための計画
個人のWOOPにおけるP(Plan)を集約して、組織のPDCAサイクルにおけるP(Plan)に反映する。人数が多くなるほど、組織のP(Plan)にまとめることが難しくなるかもしれませんが、個人の思いが組織の施策に反映される方が当事者意識、自分ごと化につながり、より確実に人材育成できることが期待されます。
最後に
IT人材が不足する中、業務に必要な人材を獲得することはなかなか難しいのが昨今の状況です。また、少子高齢化が進行しており、採用難の流れはより加速することが予想されます。
外部から人材を登用できれば即効性はあります。しかし、難しい場合は手間をかけて人材育成することが結果的に近道となるはずです。では、その手間をいかに効率的にかけるかという点で、今回ご紹介した内容が皆さまの参考になりましたら幸いです。
本連載は今回で終了です。また、どこかでお会いしましょう。
Copyright © ITmedia, Inc. All Rights Reserved.