
急速に発展したサイバー空間において、安全で継続的な組織運営を行うにあたり、情報セキュリティ人材の育成・確保は、世界全体の課題となっています。今回は、各国における専門人材育成の取り組みと現状の課題について考えます。
今月6日、オーストラリアでコンピューターエンジニアやIT技術者の技術を査定するACS(Australian Computer Society)が、情報セキュリティ人材の育成を目指し、Certified Professional (Cyber Security)と Certified Technologist (Cyber Security)の2つの専門職の資格を新設したと発表しました[1]。サイバー攻撃などのサイバーリスクが世界中で高まる中、情報セキュリティに関する専門性の基準を定め、オーストラリア全体の情報セキュリティを向上させると期待されています。
米国でも連邦政府の雇用する情報セキュリティ技術者の総体的な数が、近年減少するなど人材確保に苦戦しています。米国政府はこの現状を打破するため、オバマ政権時の2015年、TechHireというプログラムをスタートしました。政府が地域の自治体や企業等の情報セキュリティ人材の育成を支援。また企業の需要と、個人のスキルをマッチングさせるサポートを行い、雇用における機会の損失を防ぐ取組みも行っており、現在、米国内で約70の地域がこのプログラムに参加しています[2]。また米国企業では、情報セキュリティに関するトレーニングが盛んに行われており、オンラインやシミュレーターによるトレーニングを提供する企業も増えています[3]。
それでは日本の場合はどうでしょう。情報処理推進機構(IPA)が今年公表した「企業のCISOやCSIRTに関する実態調査2017」の報告書を見てみると、情報セキュリティ業務を担当する人材の量的充足度という項目で「十分である」と回答した企業はわずか34%に留まりました。これは米国76%、欧州71%に比べ大幅に低く、国内の多くの企業において情報セキュリティ人材が不足している実態が明らかになっています[4]。
さらに日米のIT技術者の分布状況を比べてみると、日本の場合、製造業や卸売業・小売業、医療・福祉などIT関連以外の企業に所属するIT技術者の数(25%)が、IT関連企業に所属するIT技術者数(75%)に比べ圧倒的に少なく、これは米国のパターン(IT関連以外の企業 71.5%:IT関連企業 28.5%)と比べ逆転しています。IPAは、こうしたIT関連以外の企業における人材はおよそ8万人不足していると試算しています[5]。
企業における情報セキュリティ人材育成を促す一環として、オーストラリアと同様、日本でも各種の国家試験が設けられています。12の試験区分から成りITに関する幅広い知識を問う「情報処理技術者試験」は、ITに関わるすべての人を対象にした試験で、時代に合わせ進化しながら昭和44年から続いており、毎年約50万人の人が受験しています[6]。そしてより高度で専門的な知識の習得を認定するのが、2016年に「情報セキュリティスペシャリスト試験」から生まれ変わった「情報処理安全確保支援士試験」です。「サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者[7]」の育成を目指し、政府は2020年までに3万人の情報処理安全確保支援士を確保したいとしています。
企業における情報セキュリティ人材には、情報セキュリティに関する高い専門性と知識はもちろん、自社事業に精通していることや企業の経営層とのコミュニケーション、部署をまたいでリードする統率力、インシデント発生時の適切な対応力など、幅広く高いスキルが求められます。そのため適正な人材の確保、特に育成には長期的なプランが必要です。高まるサイバーリスクに備え健全に組織を運営し続けるために、計画的な人材の育成が求められています。
(文/星野みゆき 画像/© iQoncept – Fotolia)
参考:
[1] E,Pollitt. (2017). ACS launches world-first cyber certification. ACS