サイバー攻撃を始めとする情報セキュリティリスクは年々増大していますが、その一方でセキュリティ人材の不足も叫ばれ続けています。
その解消に向けて、まずはセキュリティ人材不足の原因は何なのか、どう対処すればいいのかを考えてみましょう。自社の状況と照らし合わせつつ読んでいただけると幸いです。
また、企業の情報セキュリティ人材不足の課題と解消法をまとめた資料を無料で配布しています。お役立てください。
情報セキュリティ人材の不足は顕著
そもそもIT人材の不足については知られていますが、なかでも情報セキュリティ人材の不足は顕著です。総務省の算出した数値では、セキュリティ分野の人材不足は日本全体で19万人以上にも上ると言われています。
情報セキュリティ人材が不足する原因とは?
情報セキュリティ人材が不足してしまう原因としては、下記のようなものが代表的です。
母集団が小さい情報セキュリティ人材
情報セキュリティ人材には、専門知識が必要です。資格試験の範囲等を見ていただくとわかりますが、経営に関する知識(特にリスクマネジメント)と、セキュリティに関する技術的な知識・経験の両方が必要です。
こうしたマルチプレイヤー的な存在は採用しようにもそもそも母数が少なく、仮に社内に適任者がいたとしても、優秀なぶん他業務との兼務であることが多いでしょう。
雇用のコスト
のちにもう少し説明しますが、セキュリティ対策・人材に対して企業が用意する予算は限られてしまっています。
特に中小企業では、サイバー攻撃に対応するための組織・人員をおくほどの予算はないというケースが多く、適切なスキルを有した人材にオファーをかけられる余裕はないようです。
人材を育てられない
新しく雇用することも難しい一方で、自社内での教育で人材を育てて、セキュリティ対策の中心に据えるなどということも、一部の大企業を除いては難しいようです。
そもそも、セキュリティ人員が不足していると、専門知識をもち正しい方向で人材育成をするための人員も不足しがちですので、悪循環がつづいてしまいます。
セキュリティ人材不足を認識していない
セキュリティ人材の補充・採用は、セキュリティ体制の構築により始める、という会社も多いようです。
2019年に、NRIテクノロジーズが発表した『NRI Secure Insight 2019(企業における情報セキュリティ実態調査)』によると、セキュリティ体制を構築したきっかけは、自社の事故が理由のトップでした。他国では、経営トップ層の決定が多いのと対照的です。
本来ならそれでは遅いと言えますが、自分ゴトにならないと経営層はなかなか人材不足を認識せず、トップダウンで人材の補充もしないという実情がうかがえます。
情報セキュリティ人材を確保する方法
情報セキュリティ体制の構築を始めた・拡充を始めた場合、ほぼどのケースでももれなく直面するのが人材不足です。
人材募集をしたが、応募がない・予算をはるかに越えた給与でないと採用できない、といった悩みがあちこちから聞かれるところです。
人材確保においては、次にあげるような工夫が効果的です。
正社員にこだわらない
情報セキュリティ人材を確保するには、正社員にこだわらないことも工夫の一つです。
フリーランスエンジニアや、技術者派遣人材など、雇用形態を問わず、専門性と意欲のある人を起用してみてはどうでしょうか。
他社と人材をシェア
パートタイムで2人で1つの役割をになってもらう・プロジェクト単位で仕事をしてもらうなど、他社とも兼務できるような人材の起用も考えてみましょう。副業をする人も増えていることはご承知のとおりです。
人材を社内で発掘
社内で他の部署の担当・現在は専門性が足りないが、勉強する意欲のある人を情報セキュリティ人員として発掘することが考えられます。もともと情報セキュリティ人員は、兼務人材も多いことが知られています。そこで、社内で希望を聞く・公募を行うなど、人材発掘の工夫をしてみましょう。
教育は社外に任せてみる
外部専門家に人材の教育を任せるのも一つの方法です。社内人材の発掘を行い、教育は専門家や、研修サービス業者の手を借りることにより、さらに育てる方法もあります。
情報セキュリティ人材の雇用はコストがかかる
情報セキュリティ人材の雇用で、悩みどころの1つが、コストの問題です。
例えば、情報セキュリティスペシャリストの年収は30歳で600万円程度と言われています。
この人材コストをどのように考えるか、見方を少し変えてみることも重要です。例えば、次のような考え方は、予算策定の際に参考になるでしょう。
セキュリティインシデントで発生するコストはもっと高い
セキュリティインシデントにより、発生するコストは、非常に高くついてしまいます。
IBMの調査によると、世界におけるデータ侵害1回におけるコストは平均して、435万ドル、およそ6億円以上に上ります。自社からの情報漏えいでユーザーの情報を漏えいした、など第三者に対する賠償責任が伴うような事故では、さらに大きな額になりえます。こうした出費の発生を下げることが出来るなら、情報セキュリティ人材の導入も合理的な負担かもしれません。
日本のセキュリティ人材のコストは安い
給与の国際比較でいうと、他の先進国での情報セキュリティ人材の給与は、1000万円を超えるのはざらで、CISOクラスになると数千万円の給与も夢ではない、と言われています。
一般的な給与水準の違いももちろんありますが、費用対効果で考えれば、セキュリティ人材を雇用することはそこまで不条理な支出ではないということを覚えておいてください。
外部委託の利用・効率化でコストは下げられる
フリーランスの起用や、派遣・外部専門家の起用、あるいは事務業務などのアウトソーシングを利用するなどの方法で、人件費のコストを下げる方法があります。
外部委託では、契約でしっかりと機密保持義務を規定し、さらに委託業務の定義を十分に行う・サービスレベル契約書(条項)を付けるなど、条件を明確に具体化する必要がある点には留意しておきましょう。
また、情報セキュリティ業務で使うシステム・ツール等は、事務仕事を手で行うより効率的に業務を進めることができます。積極的に活用し、効率化を図り、トータルコストを下げるようにしましょう。
情報セキュリティ人材は採用後の育成がカギ
情報セキュリティ人材は採用後、どうやって育成するかも鍵になります。情報セキュリティ技術の進化・攻撃者の手口の進化など、常に知識やスキルを上げる必要があるためです。
情報セキュリティは経営問題であるだけに、情報を取り扱う量の多い事業を行う場合などは、会社の規模にかかわらず、コア人材は内部で確保しておきたいものです。
コア人材には経験を積ませる
情報セキュリティは、部署横断的に取り組む業務であるだけに、会社の中で十分に業務経験を積む必要があります。できれば若手の中から複数の人材を対象に、経験を積める・専門知識を身に着けられる研修プログラムを策定し、実行することを検討しましょう。
外部の専門家のセミナー・資格取得なども活用
外部でも情報セキュリティセミナーは、技術面・ビジネス面に渡り、多数のものが提供されています。
また、情報セキュリティ関連の資格試験も活用してみましょう。情報処理安全確保支援士試験や、情報セキュリティマネジメント試験などは、情報セキュリティに関する知識・技術を総合的に問われる試験です。外部から客観的なスキル証明をもらえることは、従業員にとっては励みになります。
情報セキュリティ人材を育成するなら「セキュリオ」
情報セキュリティ人材の育成に使える研修プログラムも活用し、人材不足に備えましょう。
内部の人員がまず手を付けるにはどうしたらよいか、とお悩みの場合は、「セキュリオ」がおすすめです。理解しやすい内容に加え、訓練なども提供しています。
ISMS内部監査員研修のようなハイレベルなものから新入社員が受講するような初歩的な内容まで豊富な教材を取り揃え、そのすべてがLRM株式会社の熟練したセキュリティコンサルタント監修による濃密なクオリティとなっています。
教材サンプルを無料でご確認いただけますので、ぜひご覧ください。
セキュリオの内容を十分理解したら、次の専門スキルの習得に移るなどとして、研修プログラムの1つのステップとして使うことにも最適です。
まとめ
セキュリティ人材の不足について、原因と対処法、少し見方を変えた人材の確保のコツなどを説明しました。兼務や外部人材に頼るなどの方法と、内部のコア人員の育成の組み合わせで、しっかりした情報セキュリティ体制を作っていくことをおすすめします。
