プラス・セキュリティ人材がなぜ、今重要なのか　～一般事業部門・管理部門がセキュリティを理解すべき理由～

― 本記事では、多くの組織で課題となっているセキュリティ人材の育成について、トレンドマイクロのサイバーセキュリティ研究所で人材育成をリードされている安元正和さんにお話を伺います。まず初めに、安元さんのお立場や役割についてお聞かせいただけますでしょうか。

私は、2年前に発足したサイバーセキュリティ研究所のナレッジ＆エデュケーションセンターでセンター長を務めております。当社のセキュリティベンダーとしての知識や経験を基に、セキュリティ専任者への技術的なトレーニングや、法執行機関に対するスキル向上の支援、また昨今ではDX推進や複雑化するサプライチェーンマネジメントを考慮した、一般事業部の方々に向けてお客さまへ教育プログラムを提供しております。本日は、多くの組織の皆様が課題として認識されている「セキュリティ人材」の育成において、特にプラス・セキュリティ人材（人財）についてお話しさせていただきます。よろしくお願いいたします。

サイバーセキュリティ研究所
ナレッジ＆エデュケーションセンターセンター長
安元正和

人材不足の背景

― 長年、IT業界では人材不足が叫ばれていますが、ここ最近では特にセキュリティ人材の確保・育成が大きな課題だと言われています。実際に当社のイベントで実施したアンケートでも「人材」がセキュリティに関する課題の中で最も高い結果となりました。これにはどのような背景があるのでしょうか？

従来、IT部門が組織のIT導入をリードし、また運用を担ってきました。そしてセキュリティもその中で対応してきました。近年、DXという言葉がもてはやされていますが、ITは従来の業務効率化や省力化のためのツールから、事業推進や業務遂行の中核へと位置づけが変わりました。その結果、事業部門や業務部門がデジタル技術を活用して事業や業務を設計するようになり、その際、セキュリティを考慮する必要が出てきました。

― その場合、従来と同様にIT部門がセキュリティ対応すれば良いのではないでしょうか？

一般事業部門ではセキュリティは、IT部門が対処すべきと考えるケースが多いですが、DX推進やサプライチェーンマネジメントにおいては、そのプロセスや取り扱う情報等、IT部門で全てを把握できない事もあり、実際には一般事業部門が事業や業務を設計、開発、運用する中でサイバーセキュリティを考慮する事が必要になります。

セキュリティ人材の必要性

― なぜ、一般事業部門がセキュリティを考慮する必要があるのでしょうか？

事業や業務において、セキュリティはITシステムだけにとどまりません。ビジネスモデルやプロセス、データ、そして取引先を含めたサプライチェーンなど、考慮すべきことは多岐にわたります。その際、守るべき資産は何か、その資産にはどのような脅威が考えられるか、どういったシナリオで侵害されるのか、また事業モデルや業務プロセスにおいて脆弱性が無いかなど、その事業や業務を担う人でしか分からないことや判断ができないことがあります。IT部門はITのプロですが事業や業務はそれを担う方がプロとしてそのセキュリティを考慮する必要があるのです。また、ビジネス戦略とセキュリティ戦略のアライメントの問題もあり、あくまでもビジネスの成功を目的としたセキュリティの実装として、その事業や業務に携わる人にしか判断ができないという側面があるためです。

― もし一般事業部門でセキュリティを考慮しなかった場合はどのような懸念やリスクが考えられるでしょうか？

セキュリティを考慮せずに、事業や業務を設計した場合、システムやプロセスにリスクを内包した状態となり、外部からの攻撃や人的ミスなどで容易に事業や業務に影響が出てしまう可能性があります。セキュリティバイデザインという言葉で語られますが、事業や業務を設計する際は、企画段階からセキュリティを考慮し設計することが非常に重要になります。今やサイバー攻撃によるインシデントが高い確率で起こる時代であり、後付けのセキュリティによる複雑さやコスト増を避け、かつビジネスや事業への影響を最小限に留める為には、当初からのセキュリティ実装が望まれます。また、従来は自然災害などに備えBCPを整備してきましたが、今ではサイバーセキュリティリスクも考慮しなければいけなくなりました。つまり、一般事業部門はサイバーリスクに対処すべきオーナーであるということです。この認識を持つことが最も重要なポイントです。

― セキュリティインシデントについて、ご紹介いただける具体的な事例はありますでしょうか？

最近の事例では、医療機関がその取引先を経由してランサムウェア被害に遭い、診療に影響が出るといったことがありましたが、サプライチェーンにおける脆弱性を突かれる被害を目にすることが多くなっています。このようなビジネス上の取引の中に潜むリスクは、その事業を理解している人にしか気が付けないことが多いため、一般事業部門がセキュリティについて理解し、リスク対処の必要性について認識を持つことが非常に重要になります。

― 深刻な被害につながりますね。セキュリティはIT部門だけが対処するものではなく、一般事業部門においてもセキュリティの知識やスキルを身につける必要があることが良く分かりました。具体的に、人材育成に取り組まれている組織では、どういった部門のどんな役割の方がトレーニングに関心をお持ちなのでしょうか？

一般事業部門の方の必要性が認知されつつある中で、まずは実際にシステムを設計・開発する方のへの取り組みが高まっています。具体的には、IaaSやPaaS等のクラウドを利活用するシステムの開発者です。従来、開発者は仕様書通りにシステムを開発すれば良かったのですが、デジタルがビジネスの中核となっている現在、ただセキュアなコードを書いて動けば良いという事ではなく、そのシステムがどういった事業・業務を担うのか、扱うデータはどんなものなのか、そのデータはどこに保管するべきか、といったことを考慮したうえで設計・開発することが望まれます。また、システムが侵害されるとしたら、どのようなシナリオが考えられるか、そのインパクトがどの程度になるのかといったことを想定したシステム設計をする必要があります。

セキュリティ人材の育成とトレンドマイクロの支援

― 経産省では、一般事業部門においてセキュリティを理解している人材を置く必要があるという事で、「サイバーセキュリティ経営ガイドライン」内で「プラス・セキュリティ人材」の育成・確保が重要と言っていますが、少し具体的にご説明いただけますでしょうか。

こちらの図が示す通り、現状ではセキュリティ専任部隊から管理施策として、一般事業部に対して網掛け的なセキュリティ施策を実施しています。DX推進や複雑化するサプライチェーンが課題化する中では、向かって右の三角形の様な事業部内でのセキュリティ施策の実行をセキュリティ専任部隊の協業で実現すべきと言われています。

― では、この「プラス・セキュリティ人材」には、具体的にはどのようなセキュリティ知識やスキルが必要になるのでしょうか。

全体概要になりますが、まずは経営者から管理者、実務者層まで、現状のサイバーリスクを理解いただく事が必要となります。どの様な情報資産に対しどの様なリスクが考えられるかを理解いただき、その対応策としてのセキュリティの体制構築から、どの様に運営するかを知ることがまずは基礎段階として必要と考えます。そのベースとなる知識に加えて、その知識を個々の業務に応用し、判断材料として活用できる力が必要と考えています。

― トレンドマイクロでは、法人組織のお客さまに対し、「プラス・セキュリティ人材」の育成という面でどのようなご支援ができますでしょうか？

当社では、経営者や管理者層向け、また実務者すなわちプラス・セキュリティ人材と言われる方々に対して、それぞれの立場で必要となるセキュリティナレッジのトレーニングを提供しています。まとまった時間が確保できない方々へはオンデマンドのe-Learningのプログラム、また企業/組織内の部門業務に適した形でプログラムを取り揃えています。

― 製品・ソリューションだけでなく、法人のお客さまの課題、リスク軽減に向けて「人材」面でもさまざまな支援策をご用意しているのですね。トレンドマイクロでは、どのようなトレーニングサービスを提供しているのでしょうか？

トレンドマイクロは、セキュリティベンダーとして、製品の利用を支援する教育から、インシデント発生時のハンドリングの技術的なトレーニング、そしてDX推進や複雑化するサプライチェーンマネジメントに向けた一般事業部門の方々へのセキュリティナレッジの教育プログラムを提供しております。

プラス・セキュリティ人材向けのトレーニング

― 今回は、特に「プラス・セキュリティ人材」向けのトレーニングについて伺いたいと思います。技術者向けとは違い、一般事業部門向けのセキュリティトレーニングとは、どのような内容になるのでしょうか？

まず前提として重要なことは、トレーニング受講者が、＜ご自身が担当する事業や業務に責任を持っている＞ということを改めてご認識いただくことです。その上で、事業モデルや業務プロセスにおいて、何が「資産」となるのか、その資産の「脅威」とはどのようなものがあるか、また考えられる脆弱性は何かという事を整理し、それらに対してどのような手を打つのかを考え、実装いただくための基本的な考え方をご理解いただくものになります。決してセキュリティ技術を理解いただくものでは無く、リスクマネジメントの考えに沿ってカリキュラムを構成しています。

― トレーニングを行うにあたって基本的な考え方はありますでしょうか？

こちらの図の通り、従来の業務効率化、コスト削減におけるセキュリティ管理施策から、Digital Transformation、サプライチェーンの適正化といった、いわゆる攻めのITに移行する中では、部門毎に取り扱うビジネスに応じたセキュリティ施策としてそれぞれの部門でセキュリティ管理が必要となり、その施策に対してセキュリティ統括側からの連携、支援が必要になります。このハイブリッドなディフェンスモデルの構築の実現としてプラス・セキュリティ人材の育成を考えたいと思います。

トレーニング内容の工夫と受講者の声

― 事業や業務を担う方は、今までセキュリティについて考慮することが少なかったと思いますが、トレーニングを通じてセキュリティの理解を深めていただくために、何か工夫をしている点はありますでしょうか？

一般事業部門の方々にとってセキュリティトレーニングに終日割り当てることができない場合には、オンデマンドのe-Learningのプログラムをご用意し、業務の状況に合わせて受講していただくことができます。また、理解度を確認するためのテストを受講後に行うこともできます。また、ライブの講義においては個人ワーク、グループワークにより課題検討を行いますが、その課題は企業・組織内部門によって異なりますので、基礎教育プログラムは、営業/マーケティング、システム開発、バックオフィスなどに分けて独自の課題を検討いただき、より実務に沿った形で実施できるプログラムをご用意しております。このように、受講時間の制約への対応や理解度の確認、グループワークの実施など、トレーニング後に業務に生かせるよう工夫を凝らしています。

― 受講者はどのようなスキルを身に着けられるのでしょうか？また、受講者からの感想がありましたらお聞かせいただけますでしょうか？

受講者自身が担当する事業や業務の領域において、利用する情報資産やデータ等に基づき、そのリスクの洗い出しと評価、また侵害されるシナリオの策定が可能になるよう、すなわちリスクマネジメントが行えるように支援します。実際に受講いただいた一般事業部でセキュリティ担当としてアサインされている方からは、「実際にやるべき事が理解できた」、「次のアクションにつながった」等、多数のコメントをいただいております。事業部門自身がリスクのオーナーである事を強く理解いただけている点も非常に効果があったものと受け取っています。

― 受講者からポジティブなフィードバックがたくさん寄せられているのですね。

はい。トレーニングはお客さまのからのフィードバックや社会、環境の変化などに応じて、常に改良を続けていますので、ぜひより多くのお客さまにご受講いただき、お客さま組織のセキュリティにお役立ていただけますと幸いです。

実践から語る人材育成・教育のポイント～異なる職種からセキュリティ人材を育てる挑戦～
IT人材、セキュリティ人材不足は業界全体の慢性的な課題です。また部下の育成や教育は、組織における多くの管理者にとって常に頭を悩ます課題の1つでしょう。本稿では、トレンドマイクロで実施している、ITやセキュリティ業界の未経験者を育成するプログラムの実践を通じて得た、人材の育成・教育面での気づきやポイントをまとめます。

サイバーセキュリティ・イノベーション研究所
セキュリティ・ナレッジ&エデュケーション・センター

トレンドマイクロのサイバーセキュリティ・イノベーション研究所の中核センターの一つ。経営層、CISOやセキュリティ専任者、一般事業部/管理部の職員から、法執行機関のサイバー犯罪捜査員など様々な対象へセキュリティ教育を提供する。トレンドマイクロがサイバー犯罪対策において協業しているインターポール（国際刑事警察機構）においては、その能力開発プログラムの一環として、同センターが中心となり、サイバー犯罪捜査官の教育を提供している。