「知らなかった」では済まされないセキュリティの世界《第六回》企業が求める セキュリティ資格/人材

インターネットが市民権を得て、数十年。常にセキュリティの問題を抱えてきました。
キュリティ被害は一部の人に降りかかる災難、と思われがちですが、実は身近な問題として存在しています。
本記事では、サイバーセキュリティの最前線で取り組むテクノプロ・デザイン社の長島氏より、「企業が求める セキュリティ資格/人材」とし今の時代に求められるセキュリティエンジニア像についてお伝えします。

話者紹介

セキュリティ人材の不足

経済産業省が2016年に「情報セキュリティ人材は2020年時点で約20万（19.3万）人不足する」と発表^※1しました。しかし2018年度の調査では「不足感はない」という一般企業の反論が多数見られました。これは「理想的な状況・環境」を想定して必要な人材数を割り出した経産省と、実務の大部分を外部に委託している一般企業の食い違いによるものでした。
昨今、DX化がトレンドとなり、多くの企業がDX化へと踏み出すことを検討し出した結果、実務の大部分を外部のIPベンダ・プロバイダに委託していたため、DX化を行う上で必要となるIT・セキュリティエンジニア等が不足していることが浮き彫りとなりました。
NICTの調査によると、不足すると言われていた19.3万人の内、17.8万人が一般企業側で不足しているとの推測結果^※2となっています。
他先進国では「標準化」、「自動化」、「省力化」により、業務を効率化することで人的リソースを確保している背景があります。これは、意思決定が必要なセクションを自社で行い、運用など意思決定不要なセクションを外部委託することで、業務の効率化を図りつつ自社セキュリティ人材を充足させ、高いレベルの統率を構築できていることを示しています。しかし、日本企業ではほぼ全ての業務を外部委託しており、人材確保から業務仕分けにいたる組織形成から着手する必要があります。それが人材不足の原因となっています。

図1：セキュリティ対策に従事する人材の充足状況

DX化および内製化を進めるにあたり、現在、日本企業では9割以上の企業で人材不足が認識されています。IPAの「IT人材白書2020^※4」によると、年々人材不足が拡大していることが示されています。
人材不足は会社規模が大きいほどより顕著となっています。これらから会社規模の大きさと外部委託する業務量が比例していることが推測できます。

図2：IT人材の“量”に対する過不足感（年別）^※4

図3：IT人材の“量”に対する過不足感（規模別）^※4

求められる人材

NRIのInsight2020^※5では一般企業で求められる人材の１位は「セキュリティ戦略・企画を策定する人材」、２位は「セキュリティリスクを評価・監査する人材」となっています。これはDX化の機運の高まり、ゼロトラストモデルへのシフト、テレワークの緊急導入など、セキュリティ戦略を描ける人材や変化に伴うセキュリティリスクを把握できる人材の価値が一層高まっていることを示しています。

図4：求められるセキュリティ人材^※3

これらの求められる人材を育成するためには、セキュリティリテラシーやITの基礎的知識を持つ人材を育成し、ベースとなる人材層の拡大を図るとともに、高度なセキュリティスキルを持つ人材の育成、セキュリティリテラシーを持つ戦略マネジメント部門の育成に取り組む必要があります。また、制御系に対する脅威なども増加する中で、OT人材をセキュリティ対応に活用するなど、よりセキュリティ人材の確保を進めていくことが重要です。
では、私たちエンジニアが図4の示す人材へと成長するためには何を学べばよいのでしょうか？
日本政府では、図5の通りセキュリティ人材を育成するために様々な施策が行われています。これらの資格やプログラムを受けることにより、自身が望むセキュリティエンジニアに成長・キャリアアップすることができます。

図5：セキュリティ人材育成施策

情報セキュリティマネジメント試験を基礎とし、その後の進路によって取得する資格を選択して学習していくことが早道と言えるでしょう。
図4の1位の「セキュリティ戦略・企画を策定する人材」になるためには、マネジメント方向の資格を取得する必要があります。日本国内企業であればCISM→情報安全確保支援士と難易度順で取得していくのがスタンダートと言えるでしょう。
グローバルな企業であればSSCP→CISSP（日本国内での業務もあるのであれば支援士も）となります。
これらの資格を取得することで次の地位や業務につくことが可能となります。

• セキュリティエンジニア・マネージャー
• セキュリティコンサルタント
• 経済産業大臣が認定する国家資格
  情報システムや組織に対する脅威や脆弱性を評価し、技術面・管理面での有効な対策を遂行する

２位の「セキュリティリスクを評価・監査する人材」になるには情報セキュリティ管理士、シスコ技術者認定を取得することが１つの目安と言えるでしょう。 これらの資格を取得することで次の地位や業務につくことが可能となります。

• ネットワークエンジニア
• セキュリティエンジニア
• セキュリティアナリスト

図6：セキュリティ資格マップ

ビックデータやIoTなどの新しい技術やサービスの登場により、今後ますますIT利活用の高度化・多様化が進展する中、今後さらなる需要増が見込まれる情報セキュリティ人材であるサイバーセキュリティのスペシャリストとして成長していく必要があります。
その結果、新たなサービス領域の通信業界など新規顧客の開拓や第三者検証が必須となる医療業界へのセキュリティ診断サービス、法規が整備される自動車業界の教育支援の推進など、高付加価値サービスを提供できる人材と成長することが可能になります。 「セキュアコーディングができるエンジニア」「セキュリティポリシー・体制策定、監査ができるマネージャー」など、自身が目指すエンジニア像への一助となれば幸いです。

※1：「IT人材の最新動向と将来推計に関する調査結果」経済産業省商務情報政策局 2016.6.10付
※2：NICT「セキュリティ人材育成の最前線」
※3：McKinsey&Company　デジタル革命の本質「日本のリーダーへのメッセージ」
※4：IPA「IT人材白書2020」
※5：NRI Secure Insight 2020