他人には聞けないICTの“いま”(第34回)

セキュリティ人材の争奪戦勃発!企業は何をすべき?

posted by 佐京 正則

 ICTセキュリティ対策の専門知識を持った人材はまだまだ少ない一方で、需要は日々増大しています。つまり、セキュリティ人材市場は売り手市場であり、転職による人材流出を想定しておかなくてはなりません。経済産業省も2020年に約19万人が不足するといわれるITセキュリティ市場を目前にして、人材確保とセキュリティ運用対策をどう解決するかを模索しています。

セキュリティ人材は第4の「経営資産」の守り手

 ICTセキュリティ対策の専門知識を持った人材の需要が増している背景には、情報資産の価値の高まりと、それを狙うサイバー攻撃の高度化・巧妙化があります。つまり企業は、自社の情報資産をいかに安全かつ柔軟に運用するかが問われているのです。

 インターネットが普及する前は、経営資源として「ヒト・モノ・カネ」が挙げられていました。しかし、インターネットとICTの広まりで、第4の経営資源として「情報」に注目が集まっています。顧客情報、市場情報、仕入先や得意先の情報、生産管理や経理財務情報など、情報を的確に取り扱うことが、企業の価値を高める時代なのです。

 さらに、2020年の東京オリンピックを見据えたICTのセキュリティ対策も、盛んに行われています。国際的なスポーツイベントが開催されると、必ずといって良いほどサイバー犯罪が増えるからです。過去の例を見ても、2008年の北京オリンピックにおけるチケット購入サイトを装ったフィッシング詐欺や、2018年の平昌オリンピック時に発生したサイバー攻撃などがあります。また、クラッキング(システムへの不正侵入、破壊、改ざん)によって企業のウェブサイトが改ざんされたり、マルウェアが散布されたりとするなどの被害も報告されています。

 しかしながら、こういったセキュリティ・インシデントに対応できる専門的人材は圧倒的に不足しています。その原因は、当初のセキュリティ対策費が企業の利益に直結しない事業戦略上の「コスト」と認識されていたことが大きいでしょう。当初は情報が第4の経営資源と認識されていなかったのです。専門的人材の育成費用も含んだセキュリティ対策費が「投資」として扱われることは稀でした。

 投資とコストでは根本的に考え方が異なり、アプローチも変わってきます。情報資産の安全かつ柔軟な運用は、高付加価値な製品・サービスを生み出すことから、投資としても十分にリターンが見込めるのです。一方、コストとして扱われると、どうしてもコストは「削減」の逆風にさらされることになります。その結果、自社内にセキュリティの専門的人材が育たなかったという現状を招いたとも考えられます。

 さらに専門的人材に対するキャリアパスが整備されていないことも、不足に拍車をかけているでしょう。知識とスキルを身につけた人材は、より自分を評価してくれる環境を求めて社外へ流出してしまうからです。では一体、セキュリティ人材はどのくらい不足しているのでしょうか。

枯渇するセキュリティ人材

 経済産業省が2016年に行った調査によれば、調査時点で約13万人が不足しているとのことです。さらに東京オリンピックが開催される2020年までに約37万人に増加しても、まだ約19万人不足するとの見込みが示されています。人材の枯渇ぶりがうかがえる数字です。

 また、今後は社内にサイバー攻撃対策の専門チームであるCSIRT(Computer Security Incident Response Team)を組織する企業も増えてくるでしょう。近年は高度で複雑なサイバー攻撃が増えており、情報システム部門の人材だけでは対応しきれないという現状があるからです。加えて、サイバー攻撃はビジネスタイムに起こるとは限りません。そのため、24時間365日対応できるSOC(Security Operation Center)の需要も高まっています。

 これらの動きを受けて、2017年4月には情報処理推進機構(IPA)が運営する「産業サイバーセキュリティセンター」が発足し、業界の垣根を超えたセキュリティ人材の育成が始まりました。しかし、このプログラムで1年間に育成できる人材は約80人。約19万人が不足する3年後の東京オリンピックまでには到底間に合わないというのが現状なのです。

 圧倒的な人材不足が続くとみられるセキュリティ人材に対し、企業はどういったアプローチをとるべきなのでしょうか。

もしセキュリティ運用担当が転職したら

 セキュリティの知識とスキルを持った人材は、売り手市場なので、より有利な環境へと流出してしまう可能性が高いといえます。また、新たに採用しようにも圧倒的に数が少なく、計画通りに人員調達が行える保証はありません。社内に人材がいても、流出に対するリスクヘッジを行う必要があります。

 そのリスクヘッジとは、「セキュリティ運用の外部化」です。セキュリティ対策はその大半が「監視・運用・インシデント対応」で占められていると言っても過言ではありません。これらをアウトソースしておけば、セキュリティ人材の流出が起こったとしても、セキュリティ体制が崩れる可能性は低いでしょう。同時に、次世代のセキュリティ人材を育成し、社内にCSIRTやSOCが確立されるまでの「繋ぎ」としても使うことができます。ゆくゆくは自社内でセキュリティ対策を賄うとしても、それまでのリスクヘッジとして外部のリソースに頼ることは、決して下策ではないのです。

 将来的に危惧されるセキュリティ人材の不足・流出を、アウトソースによってリスクヘッジしていきましょう。同時に社内へセキュリティ対策の息吹を吹き込むことが、第4の経営資源である「情報」を守り、企業の競争力を高める「投資」につながると考えられます。

※掲載している情報は、記事執筆時点(2018年3月12日)のものです。

連載記事一覧

佐京 正則

佐京 正則

法学部を卒業後、IT業界にて約10年間、エンジニアやERPコンサルタントとして勤務。2015年よりフリーライターとして活動し、主にIT系ビジネスや不動産投資、社会人の転職事情などについて執筆中。文理両方の知見を活かし、テクノロジーとビジネスが結びついた話題を得意としている。

メルマガ登録


NTT EAST DX SOLUTION


ミライeまち.com


「ビジネスの最適解」をお届けします 無料ダウンロード資料


イベント・セミナー情報

ページトップへ

ページ上部へ戻る