「プラスセキュリティ」な人材を育成するポイントとは?
組織でのDX推進やサプライチェーン・マネジメントを検討する際、データを活用するビジネス部門側での自律的なサイバーリスクへの対応が求められています。そこで必要になってくる「プラスセキュリティ人材」の育成課題や、各ビジネス部門における人材像を考えていきます。
DX推進、サプライチェーン・マネジメントに、セキュリティをプラスした人材が求められる
DX推進は新たな価値を創製し、市場における競争優位性を高めます。その成功のためには、「データの利活用」が重要なキーとなり、市場やお客さまへのコミュニケーションを軸としたサイバー空間上での活動がより一層増える事が想定できます。反面、データ利活用の機会やボリュームが増えるということは、その分増えるであろうサイバーリスクについても十分に考慮する必要があります。
また、企業経営において重要なポイントとなるサプライチェーンの適正化についても、チェーン内のICTの活用が促され、多層化/複雑化する中でのデータの利活用が促進されることが想定されます。その為、DX推進の取り組みと同様に、サイバーリスクを考慮したマネジメントが必要とされるでしょう。
DX推進とサプライチェーン・マネジメントという2つの取り組みは、企業にとってビジネス推進の一環として行われます。すなわち、ビジネスユニット側で推進されるものですが、これらの取り組みにおけるビジネスユニット側のサイバーリスクへの配慮が、セキュリティ専任部門からみた際、不透明であり、かつビジネスユニットに対するセキュリティポリシーのガバナンスにも問題があるとすれば、むしろビジネスユニット側において自律的で適切なサイバーリスクへの対応が求められます。
これらの企業や組織が抱える課題に対しては、ビジネスをリードする(セキュリティ専任部門以外)一般事業部における「プラスセキュリティ」のスキルを持つ人材に対する行政や業界団体からの提言等がなされています。
[参考]
経産省・IPA(独立行政法人情報処理推進機構)サイバーセキュリティガイドライン
https://www.meti.go.jp/policy/netsecurity/downloadfiles/tebiki.pdf
JCIC(一般社団法人日本サイバーセキュリティ・イノベーション委員会)レポート“セキュリティ人材不足の真実と今なすべき対策とは”
https://www.j-cic.com/pdf/report/Human-Development-Plus-Security.pdf
「プラスセキュリティ」な人材を育成する中での課題
当社においても、本年度より、プラスセキュリティ人材育成の取り組みを開始しました。その活動の中で、実際のお客さまとの対話の中で気づいた事があります。それは、既に多くのお客さまが「プラスセキュリティ」な人材の必要性を感じ取り、その人材育成の検討が開始されているということです。しかしながら、その一方で育成のゴールが見出せないという以下の様な課題に直面されていることもわかりました。
・プラスセキュリティな人材が得るべきスキルや知識がどういったものか不明瞭
・プラスセキュリティな人材が各部門においてどの様な役割を担う事が出来るかが不明瞭
セキュリティ専任の人材育成であれば、IPAが公開するITSS(ITスキル標準)+(プラス)において、職務に応じたセキュリティ分野とその関連するタスクが明示されています。またJNSA(NPO日本ネットワークセキュリティ協会)が公開するSecBok2021においては、セキュリティ分野の役割に応じて必要となる知識とスキルが明示されています。
[参考]
IPA ITSS+(プラス)
https://www.ipa.go.jp/jinzai/itss/itssplus.html
JNSA SecBok 2021
https://www.jnsa.org/result/skillmap/
ビジネス部門毎に考えるべき
「プラスセキュリティ」な人材像
「プラスセキュリティ」な人材育成は、DX推進やサプライチェーンの運営が如何にセキュアな環境でビジネスを推進出来るか、を目的にします。その為には、実行を担うビジネスユニット内の各部門が、戦略、業務、プロセスに基づき「プラスセキュリティ」な人材を育成すべきと考えられます。以下に、部門ごとの人材育成のポイントと人材像を整理しました。
営業・マーケティング部門 DX推進で必要不可欠となるデータの利活用から、社内システム/社外クラウドサービス等の利活用。
ビジネスプロセスにおいて影響のあるサイバーリスクの洗い出しからその評価までを行う。
システム企画、開発、運用部門
DX推進を問わないシステム構築の企画、開発から実装、運用の各段階におけるサイバーリスク。
セキュリティバイデザインによる企画・開発段階におけるサイバーリスクの洗い出しからその評価、セキュリティ機能の実装とインシデント発生の対応までを行う。
生産・製造部門 スマートファクトリー等オープン化されるサプライチェーンのプロセスにおけるサイバーリスク。
サプライチェーン全体の運用に向けたサーバーリスクの洗い出しと評価までのセキュリティ管理。
リスク管理・監査部門
全社的に組織を横断した資産、業務プロセス上のサイバーリスク。
リスク管理施策、BCM/BCPに対するサイバーエリアのリスクの洗い出しから評価・管理施策の実行、及びビジネスユニットにおけるサイバーセキュリティ実施の支援を行う。
総じて言える事は、部門毎の戦略から方針、業務とプロセスの中でサイバーリスクを洗い出し、それらリスクに対するセキュリティ管理業務を行う事が、「プラスセキュリティ」な人材のビジネスをリードする部門内における立ち位置であると考えられます。
また、そのようなセキュリティ管理業務は、セキュリティ選任部隊が担うことなく、あくまでもビジネスユニット側でビジネスを熟知する人材が担う事で、DX推進やサプライチェーン・マネジメントの本来の目的であるビジネス推進に繋がる事と考えられます。
サイバーセキュリティ・イノベーション研究所
セキュリティ・ナレッジ&エデュケーション・センター
トレンドマイクロのサイバーセキュリティ・イノベーション研究所の中核センターの一つ。経営層、CISOやセキュリティ専任者、一般事業部/管理部の職員から、法執行機関のサイバー犯罪捜査員など様々な対象へセキュリティ教育を提供する。トレンドマイクロがサイバー犯罪対策において協業しているインターポール(国際刑事警察機構)においては、その能力開発プログラムの一環として、同センターが中心となり、サイバー犯罪捜査官の教育を提供している。
更新日:2022年5月9日
Security GO新着記事
国内でも活発化するDDoS攻撃の事例を解説~攻撃者の目的や対策は?~
(2024年12月20日)
AIガバナンスの動向は?各国のAI法規制を概観
(2024年12月20日)
サイバー攻撃でよく悪用される正規ツールとは?
(2024年12月19日)
