「橋渡し人材」など、求められる人材が多様化する傾向も

優秀な人材、即戦力になる人材が欲しいのはどの企業、組織でも同じでしょう。しかし、ひと口に「セキュリティー人材」と言いますが、その言葉が意味するのはどのような人材でしょうか。

「セキュリティー人材」と聞くと、高い技術を持ち、システムの脆弱性を見つける「ハッカー」のような存在を想起する人が多いかもしれませんが、それはあくまで限られた一面に過ぎません。内閣サイバーセキュリティセンター（NISC）がとりまとめた「サイバーセキュリティ人材育成総合強化方針」では、求められる人材は「実務者層」と「橋渡し人材層」など、立場ごとに異なるとし、特に「橋渡し人材」の育成を推進すべきと提言しています。

＜求められる2タイプのセキュリティー人材像＞

「橋渡し人材」とは文字通り、経営層と実務者層の間の橋渡しを行う人材です。政府は企業における「サイバーセキュリティー経営」を推し進めていますが、経営層の示す経営方針に基づくサイバーセキュリティー対策を実践するほか、組織内の関係部署間の総合調整や、実務者層との間のコミュニケーションを支援することで、実務者層をまとめてリードすることが求められます。

このような人材には、サイバーセキュリティーの「技術」に関する知識だけでなく、「経営」や「業務」、「法律」など幅広い分野の知識も有する「ハイブリッド型人材」が求められるなど、要件も異なります。

こうした課題を踏まえ、重要インフラ分野を中心とした主要企業で構成される「産業横断サイバーセキュリティ人材育成検討会」では、業界や企業の特質に即した必要な人材の定義を進め、2016年9月に第一期最終報告書とリファレンスを公開しました。

またJNSAは、セキュリティー人材が身につけるべき知識と技術を体系的に整理した「情報セキュリティスキルマップ」を作成し、最新の脅威や技術の変化に対応した「セキュリティ知識分野（SecBoK）人材スキルマップ2016年版」を提供しています。「情報セキュリティマネジメント」や「アプリケーションセキュリティ」「OSセキュリティ」など、16の分野ごとに必要な知識を参照することができます。

民間だけでなく、国も制度整備を進めています。経済産業省は、国家資格となる「情報処理安全確保支援士」制度を2016年度内に新設し、「情報処理安全確保支援士試験」を2017年度から実施することを決定しました。2016年春期からは、管理部門から一般ユーザーまで広く対象とし、情報セキュリティーに関する基本的な知識や技能を問う「情報セキュリティマネジメント試験」も開始しています。このような制度や資格試験が、企業における人材育成や人材確保に貢献しているといえるでしょう。

人材確保に不可欠な経営者のリーダーシップ

しかし、制度などの周辺環境がいくら整備されていても、自組織を守るために必要なセキュリティー対策やそれを実現していくための人材像が明確になっていなければ意味がありません。

セキュリティー対策を「経営課題である」とした「サイバーセキュリティ経営ガイドライン」が示すように、自社におけるセキュリティー上の課題を経営者が認識し、CISO（最高情報セキュリティー責任者）が中心となってどのような人材が必要なのか検討した上で、人材確保に向けた取り組みを進めていくことが、安定した企業運営を継続するための近道となります。

セキュリティーの根幹を支えるのは人材です。今後人材不足の深刻化へ対応していくには、自社が必要とする人材をいかに発掘し育成していくかを喫緊の課題と捉え、計画的に人材を確保していくことが求められているといえるでしょう。