先日、大手企業・セキュリティ統括部門の責任者の方との面談の中で、「セキュリティ人材が採用できない」とのお嘆きを聞いた。セキュリティ人材不足は、同社に限った話ではなく、大企業・中小企業を問わずどこも頭を抱えている課題。現時点で需要に対して11万人不足しているとの調査報告もある。
この対策として経済産業省は、
- 高度セキュリティ人材の育成(情報処理安全確保支援士)の推進
- 地域ワークショップの充実化
などを挙げているが、単に人を教育すれば済む問題なのだろうか⁉
私もこれまでセキュリティ人材を企業に紹介したことがあるが、たいていの場合、企業側の〝前提条件〟でダメになることが多い…優秀であればるほど…。
■ 会社の古い制度の見直しを!
その前提条件とは、
- 稼働条件…社員として採用し100%従事前提。会社のセキュリティを守る仕事なのに、業務委託、ましてや50%稼働など前例がない
- ワークスタイル条件…出勤前提。リモートワークの制度(特に人事面)が整備されていない
- 報酬条件…既存の給与水準前提。希望スペックは高いのに、それに見合う報酬の世間相場を知らない、合わせられない
だからセキュリティ人材の多くは、セキュリティ企業・IT企業を渡り歩く。しかし本当に優秀な人材は、フリーランスや起業して独立して活動しており、ある程度の融通は効くのだが…、しかしここにもハードルが。
- 信用条件…大企業の取引先に対する審査に適合できない。あるいは小規模事業者やフリーランスとは信用上、契約しないという規則がある
つまり「人材がいないのではなく(少ないのは確かだが)、採用する企業側の条件に合わない」→言い換えると、「会社の人事・給与の考え方や仕組みが、世間動向に追いついていない」ことが大きな要因だと感じる。
「セキュリティは経営課題」とよく言われるが、実態は「企業(特に古い企業)にとってセキュリティはコスト」という考えが経営には根強いことも無視できない! いずれにしても会社の制度を根本的に見直さないと人材は確保できない!!
■ セキュリティ業務をデザインせよ!
一方、経済産業省「第10回産業サイバーセキュリティ研究会ワーキンググループ2(令和6年3月25日)」
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_keiei/pdf/010_03_00.pdf
によると、
- 中小企業を含めた日本全体において慢性的にセキュリティの専門人材の不足が続いている。
- 中小企業においては一般従業員向けのセキュリティ教育も広く行われているとは言えない。
としつつ、「人材不足は日本だけ⁉」という驚くべきデータが。
米豪はセキュリティ業務が自動化・標準化されていて省力化・効率化に寄与しているのに対し、日本はあいかわらず属人的な人海戦術で頑張っているという事か?DXはどうした⁉
以前は自社のセキュリティを外部に見せたくない/見せるべきではない…という考えが強かったが、サイバー攻撃が巧妙化、頻発化していく中で、悠長なこともいっていられなくなった。だからここは米豪をヒントに、
- SOC(Security Operation Center)により、複数ログを相関分析して、不審な操作など危険の兆候をいち早く検知できる仕組み
- インシデント発生時に、原因や侵害状況を迅速に把握し、被害の拡大・拡散を最小限に抑え込むための対処
などの専門的なスキルと経験を要する業務はアウトソース(外部委託)、
- 経営の参画、リーダシップ
- セキュリティ戦略、実施計画策定
- 関係部署とのリスクコミュニケーションや社内調整
などはインソース(自社対応)とするなど、業務を可視化し、標準化し、役割分担により効果的・効率的に相乗効果を生む連携業務モデルを、真剣にデザインすべきではないか。
例えるなら、業務を因数分解[x²+2xy+y²=(x+y)²]して〝xは自社+yは外部〟と業務分担、あわせて二乗の効果を出すような…。xもyも自社で抱えるのは時代に合わないし、属人的な運用も限界なのだから。
(おまけ①)
外からの人材採用が難しいのであれば、灯台下暗し…シニア人材の活用も一考。
役職定年制の導入により、組織の若返りを図り、人件費を抑えながらシニア人材の雇用を継続できる点がメリット。反面、シニア世代のモチベーションを下げているのも事実。目の前に自社の業務に精通した優秀な人材がいるのに、活用しない手はない! もちろん雇用条件(勤務形態、報酬など)をシニア人材本人と合意したうえで!
(おまけ②)
以前は〝情報セキュリティ〟だったのが、最近は〝サイバーセキュリティ〟と言われることが多い。
顧客から違いを聞かれることも少なくないが、私は「目的は同じ。守備目線なのか攻撃目線なのかの違い」と答えている。大まかにセキュリティは外部脅威と内部脅威に分類でき、さらに内部脅威は内部過失(うっかりミスなど)と内部悪意(意図的な侵害や悪行)に分類できる。サイバーセキュリティというと〝外部脅威〟というイメージが強く、情報セキュリティには外部脅威だけでなく内部脅威も含まれているようなイメージがあるが…、すべきことは同じ!
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
でも、組織をセキュリティ脅威(外部脅威および内部脅威)から守るために経営として実施すべきことが書かれているが、「サイバーセキュリティ」と冠しているのは最近の流行からか?
(ま)