セキュリティ人材不足の解決

背景と取り組み

セキュリティ人材不足の背景

スマートフォンやパソコンなどのIT機器は、私たちの生活に欠かせない身近なものになりました。また、電気、水道、ガス、交通、金融、医療などの社会を支える多くのシステムは、ITによる支えの上で成り立っています。

IT技術の発展は、豊かで、便利なサービスの実現に大きく寄与してきましたが、ひとたび問題が発生すると大きな被害が生じる可能性があるというマイナス面も伴っています。企業がビジネスで利用する顧客名簿は、電子化により大量の情報を効率的に管理できるようになりますが、電子化されたデータは一括で漏洩してしまう恐れがあり、その場合の被害はとても大きなものです。社会インフラは、システムの障害または悪意のある者によるシステムへの攻撃によって、サービスを停止せざるをえなくなる事態もありえます。

このような現状において、企業や組織のさまざまなシステムの安全性を高め・維持するため、セキュリティの知識や技術を持った人材(以下、セキュリティ人材とします)を育成、確保することが重要です。
経済産業省が2018年に公表した調査結果によると、2020年時点で約19.3万人のセキュリティ人材が不足するとされていました。現時点での詳細は不明ですが、当時の予測の通り、人材不足が問題視されています。

ITの技術、および悪意のある者が用いる攻撃の技術が日々進歩する中では、昨年学んだ知識は来年には陳腐化してしまう可能性もあります。最新の状況に対応できるセキュリティ技術者を育成し維持することは、大切なことと考えられます。

SCSKでは、セキュリティ人材不足を重要な課題と捉え、セキュリティ人材を育てるための組織的な取り組みを進めています。育成された人材は、SCSKのお客様企業において、あるいは、SCSKのデータセンターにおいて、さまざまなシステムを安全に運用するために活躍しています。

人材育成の取り組み

セキュリティの専門知識を持ち、システムの安全な運用をセキュリティの面から支えられる人材を育成するために、次の取り組みを進めています。

1. キャリアパス、人事評価制度の整備

セキュリティ人材に求められる機能や役割を整理し、人材像(以下、人材モデルとします)を明確に定義しています。人材モデルは、職務の内容や職責に応じ、また、キャリアアップを考慮して、複数のレベルを設定しています。

2. スキル・能力育成の施策

IPA(独立行政法人情報処理推進機構)の「iコンピテンシディクショナリ(iCD)」(※1)などを参考に、セキュリティ人材に求められるスキルや知識を整理しました。また、この情報をもとに、人材モデルで定義された各レベルの人材が学ぶべき具体的な項目を整理したシラバス(学習計画)を作成しました。
現在、作成されたシラバスをもとに、社内外の研修コースを組み合わせて、人材教育・育成を進めています。

※1企業においてITを利活用するビジネスに求められる業務(タスク)と、それを支えるIT人材の能力や素養(スキル)を体系化したもの。 詳細は次をご参照ください。
https://www.ipa.go.jp/jinzai/hrd/i_competency_dictionary/icd.html

3. モチベーション向上策

育成された人材各自が担当する業務や案件などのセキュリティにかかわる悩み事の相談や、またはスキルを高めあうため、コミュニティ活動(情報交換や相談、社内勉強会など)を推進しています。

これらの取り組みによって得られたセキュリティ人材は、SCSKのお客様企業の施設に常駐し、システムの安全な運用を支える役割を果たします。また、SCSKのデータセンターにおいて、高度なセキュリティを支える人材としても活躍しています。

お客様のシステムを安全に運用するために

さまざまな脅威が顕在化した現在において、ITシステムを安全に運用するためには、セキュリティのスキルを持った人材が必須です。SCSK独自のセキュリティ教育を受けたセキュリティエンジニアと経験豊富なセキュリティアナリストが連携してお客様のシステムを安全に運用します。

ログの取得や情報資産の管理など、現場でしか対応できない業務を常駐したセキュリティエンジニアが担当し、セキュリティインシデントの分析など、経験やノウハウが求められる部分は経験豊富なセキュリティアナリストが遠隔でサポートします。

「常駐型セキュリティマネジメントサービス」の詳細はこちら

CASE STUDY

クラウドサービス事業本部
セキュリティサービス部
コンサルティング課
佐藤 直之

セキュリティ人材不足に取り組むセキュリティコンサルタントご紹介

サイバー攻撃や内部不正による脅威が高まる中、セキュリティインシデントに適切に対応することは、企業活動において極めて重要なものとなりました。インシデント対応にはどのような人材が必要か、それはどのように確保するのか/すべきか - 社内育成(どのように? 課題は?)、アウトソース(どこまで?)- など、人材確保にかかわる課題は山積しています。

こうしたセキュリティ人材不足が叫ばれる中で、SCSKでは従来からあるインフラ運用業務だけでなく、インシデントハンドリングなどのセキュリティ関係業務もお客様にご提供できるよう人材の底上げを検討し、SCSK独自の教育プログラムを作成しています。