「セキュリティ人材って結局、何ができる人?」に結論か NCOが定義した“13個の役割”:NCOが「サイバーセキュリティ人材フレームワーク2026」を公開
セキュリティ人材と一口に言っても、どのような役割を担い、何ができればよいのかは曖昧だった。NCOは「サイバーセキュリティ人材フレームワーク2026」を公開し、13個の役割や4段階のレベルを定義した。その中身は。
内閣官房の国家サイバー統括室(NCO)は2026年4月3日、セキュリティ人材の確保や育成の推進を目的に、「サイバーセキュリティ人材フレームワーク2026」を公開した。2025年10月に設置した「サイバーセキュリティ人材フレームワークに関する検討会」で検討を進め、2026年2月17日から実施したパブリックコメント(意見募集)に寄せられた意見も踏まえて、内容を取りまとめた。
セキュリティ人材については、これまで職種ごとの役割やスキルセットの整理が十分ではなく、求められる知識やスキルが曖昧だった。こうした状況を解消し、セキュリティ人材の育成や確保を効率的に進めるための共通基盤として、NCOは同フレームワークを取りまとめた。
セキュリティ人材を定義する「13個の役割」と「4段階のレベル」とは?
NCOは同フレームワークにおいて、技術面だけではなく法務面や研修面なども含めて、セキュリティ人材が担う13個の役割を定義した。具体的な役割は以下の通りだ(図)。
- 意思決定・戦略策定
- 戦略推進・プロジェクト管理
- 監視
- 対処
- 情報収集・分析・共有
- 脆弱(ぜいじゃく)性評価
- フォレンジック
- 運用管理
- 教育・訓練
- 法務
- 監査
- 設計開発
- 研究
各役割について、NCOは4段階のレベルを定義した。レベル設定では、経済産業省が整備するIT人材向け指標「ITスキル標準」(ITSS)との対応も考慮したという。各レベルの定義を以下に示す。
- レベル1
- 業務に必要な最低限の知識を持つ。
- レベル2
- 業務において、指示に基づいた作業ができる。
- レベル3
- 自身の専門領域の業務を独力で遂行できる、または関連するチームメンバーのマネジメントを担っている。
- レベル4
- 業務上の意思決定に責任を持つ、または自らの専門分野を確立し、高度人材として組織内外で認知されている。
同フレームワークは、各組織に一律の取り組みを求めるものではなく、セキュリティ人材の育成や確保を支援するための指針という位置付けだ。国や地方公共団体、民間企業、教育機関などが、組織の規模や特性、職務内容に応じて、内容を調整しながら活用することを想定している。NCOは同フレームワークの内容について、技術動向や社会情勢の変化に合わせて見直す方針だ。
利用主体別に5つの「手引き」を作成
NCOは同フレームワークの公開に合わせて、具体的な活用方法をまとめたガイドラインである「サイバーセキュリティ人材フレームワーク活用の手引き2026」も公開した。利用主体別に分冊化して提供する。
小規模組織向けは、必要な役割分担や従業員規模に応じた体制モデルを紹介する。大規模組織向けは、職務記述書(ジョブディスクリプション)の作成方法や人材評価を扱う。教育機関向けは、産学で共有する共通言語としてフレームワークを活用する考え方を示す。
専門人材向けは、同フレームワークに基づく自己評価(セルフアセスメント)の方法や、さまざまなキャリアパスを紹介する。セキュリティ業務を兼務するプラス・セキュリティ人材向けは、本業と並行して担う役割や業務を解説する。
NCOは今後、事業者と連携して効果検証を進めるとともに、活用拡大策を検討しながら段階的に普及を進める考えだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
日本のセキュリティ担当者8割が「燃え尽き症候群」 なぜか?
ソフォスは、アジア太平洋地域6カ国926人を対象にサイバーセキュリティの実態調査を実施した。「シャドーAI」が新たなリスクとして浮上している。
生成AIでセキュリティ業務はどこまで楽になる? “それでも人に残る仕事”とは
セキュリティ担当者の業務は、生成AIの活用で効率化が進む可能性がある。ただし全てを任せられるわけではない。生成AIで効率化できる業務と、できない業務の違いとは。IEEEメンバーの見解を基に整理する。
サイバーセキュリティ、専門家が指摘する「人員不足」よりも深刻な現場の課題
ISC2は、年次グローバルサイバーセキュリティ人材調査の2025年版を公開した。