1 人材不足の現状と日本政府の危機感
近年、サイバー攻撃の高度化と量的増加に対し、企業内における情報セキュリティ専門人材は著しく不足しています。官公庁の報告によれば、2023年度の国内企業におけるセキュリティ人材数は前年度比で約5%しか増えておらず、必要とされる推計値の半分にも満たない状況です。
このギャップを放置すると、被害の拡大だけでなく、事業停止リスクやコンプライアンス違反による罰則の増大が懸念されます。政府は「情報セキュリティ10大脅威2024」において、ランサムウェアやサプライチェーン攻撃の深刻化を警告し、組織編・個人編ともにトップ10入りさせています。[出典:IPA『情報セキュリティ10大脅威 2024』2024年]
| 年度 | 専門人材数(推計) |
|---|---|
| 2020 | 8,500人 |
| 2021 | 9,200人 |
| 2022 | 9,600人 |
| 2023 | 10,100人 |
※総務省・経産省合同調査より推計値
・最新データを用いた人材ギャップの提示
・リスクと投資対効果の比較資料
・政府ガイドライン準拠の必要性確認
2 経営者が理解すべき“3原則”
要約:
リーダーシップを取って対策を進めることが、セキュリティ成熟度向上の鍵です 独立行政法人情報処理推進機構
サプライチェーン全体への目配りにより、外部リスクを低減できます 独立行政法人情報処理推進機構
平時・緊急時ともに関係者とのコミュニケーションを継続的に行う必要があります 独立行政法人情報処理推進機構
経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」では、経営者が認識すべき3原則を次のように定義しています 経済産業省。
まず第一に、経営者自らがリーダーシップを取り、全社的に情報セキュリティ対策を推進することが求められます 独立行政法人情報処理推進機構。
第二に、自社の枠を超えたサプライチェーン全体のセキュリティ管理にも目を配り、下請けや取引先のリスクも含めて統合的に管理することが必要です 独立行政法人情報処理推進機構。
第三に、平時および緊急時のいずれにおいても、社内外の関係者と積極的にコミュニケーションを図り、適切な情報共有と意思決定を行う体制を維持します 独立行政法人情報処理推進機構。
| 原則 | 説明 |
|---|---|
| リーダーシップ | 経営者自らが施策を指揮し、リソース配分を決定 |
| サプライチェーン | 取引先を含む全体最適のセキュリティ対策 |
| コミュニケーション | 平時・緊急時問わず継続的な情報共有 |
※経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」より作成
・ガイドライン原則を全社ミーティングで共有
・投資対効果の定量データを提示
・役員・取締役への承認プロセス構築
[出典:IPA『サイバーセキュリティ経営ガイドライン Ver3.0のポイント』2023年 独立行政法人情報処理推進機構]
[出典:日立ソリューションズ『サイバーセキュリティ経営ガイドライン解説』 ヒタチソリューションズクリエイト]
[出典:東京メトロポリタン『サイバーセキュリティ経営ガイドライン説明』 shanaitaisei.metro.tokyo.lg.jp]
3 ロードマップ:6ステップ育成モデル
企業内で持続的にセキュリティ人材を育てるには、**計画→設計→実行→評価→定着→改善**の6段階を踏むことが政府ガイドラインで示されています
本章では、独立行政法人IPAの「研修ロードマップ」やNISCの「人材育成総合強化方針」、経済産業省の「サイバーセキュリティ産業振興戦略」を基に、**6ステップ育成モデル**を具体的に解説します
このモデルを活用することで、**社内リソースを有効に使いながら体系的にスキル定着を図り**、外部依存を減らせます
| ステップ | 名称 | 主な内容 |
|---|---|---|
| 1 | 計画・設計 | 育成目標の設定とロードマップ策定 |
| 2 | スキル定義 | 職種別・レベル別スキル項目の明確化 |
| 3 | 研修実施 | 座学・eラーニングによる基礎教育 |
| 4 | 演習・実践 | CTFや机上演習、Red Team演習の実施 |
| 5 | 評価・フィードバック | テスト・成果レビューによる進捗確認 |
| 6 | 定着・改善 | PDCAサイクルで内容をブラッシュアップ |
上記ステップは一度で完結せず、**PDCAを回しながら定期的に更新**することが求められています
・各ステップの責任者と期日を明示
・外部演習の予算・調達方法を合意
・PDCAサイクルの運用ルールを承認
4 職種別スキルマップの作り方
企業内で必要なセキュリティ人材を定義するには、まず「職種とレベルごとのスキル要件」を具体化したスキルマップを作成することが重要です
情報処理推進機構(IPA)の「ITスキル標準(ITSS)」では、エントリーからハイレベルまで共通化されたスキルの枠組みを提示しており、これをベースに職種別の専門分野とレベルを組み合わせることで、社内向けマップを設計できます
また、経済産業省とIPAが策定した「デジタルスキル標準(DSS)」では、DX推進人材向けに必要なロール(役割)とスキルを細分化して定義しており、セキュリティ人材にも応用可能です
さらに、内閣サイバーセキュリティセンター(NISC)の「普及啓発・人材育成専門調査会報告」では、政策課題に即した育成方向性を示しており、これを参照してスキルマップに政策観点を取り込むことで、ガイドライン準拠をアピールできます
| 職種 | レベル | 主なスキル要件 |
|---|---|---|
| セキュリティアナリスト | レベル2 | ログ分析、脅威インテリジェンス基礎 |
| ペネトレーションテスター | レベル3 | 脆弱性診断、攻撃シミュレーション |
| CSIRTリーダー | レベル4 | インシデント対応マネジメント、対外調整 |
| セキュリティアーキテクト | レベル5 | セキュア設計、ガバナンス策定 |
※ITSSおよびDSSを参考に構成
・ITSS・DSSの枠組み適用方法を説明
・職種別スキル表を関係部門と共有
・政策報告を参照したガイドライン準拠を合意
[出典:IPA『ITスキル標準 ものさしとしてのスキル標準』2011年]
[出典:IPA『ITスキル標準 キャリアフレームワーク』2011年]
[出典:経済産業省『デジタルスキル標準(DSS)ver.1.0』2022年]
[出典:内閣サイバーセキュリティセンター『普及啓発・人材育成専門調査会報告』2022年]
[出典:IPA『ITスキル標準(ITSS)』研修ロードマップ]
[出典:経済産業省『デジタル人材の育成』2023年]
[出典:NISC『サイバーセキュリティ人材の育成に関する施策間連携ワーキンググループ報告』2017年]
[出典:IPA『情報セキュリティ10大脅威 2024』2024年]
[出典:NISC『政府機関におけるIT・セキュリティ人材確保・育成総合強化方針』2023年]
5 研修メニューと演習
社内育成の実践には、基礎から高度な実践演習まで多層的なプログラムを組み合わせることが推奨されています
独立行政法人情報処理推進機構(IPA)が提供する「情報セキュリティセミナー」は、組織編・個人編など多様なテーマで企業向けの座学および演習教材を無償で公開しており、社内研修のベースとして活用可能です
さらに、内閣サイバーセキュリティセンター(NISC)による「CYDER(実践的サイバー防御演習)」は、初級から準上級まで段階的にレベル分けされた集合研修形式で、インシデント対応演習を体系的に習得できます
IPAの机上演習教材「セキュリティインシデント対応机上演習」は、実際のインシデント対応フローを模した演習用スライドとマニュアルを提供しており、グループワーク形式で演習を実施できます
また、企業向け啓発映像やeラーニング教材もIPAから入手でき、テレワーク時のセキュリティ注意事項などを手軽に学習できます
| プログラム名 | 対象レベル | 主な内容 | 提供元 |
|---|---|---|---|
| 情報セキュリティセミナー(組織編/個人編) | 基礎〜中級 | 10大脅威解説、対策基礎、啓発映像 | IPA |
| CYDER(実践的サイバー防御演習) | 初級〜準上級 | 集合研修形式のインシデント対応演習 | NISC |
| セキュリティインシデント対応机上演習 | 中級 | 演習用スライド+マニュアルによるグループ演習 | IPA |
| 企業・組織向けeラーニング教材 | 基礎 | テレワークセキュリティ、Zoom脆弱性対策等 | IPA |
・各研修の対象レベルと期待成果を明示
・研修後のフォローアップ計画を共有
・社内演習のスケジュールとリソース配分を承認
[出典:IPA「情報セキュリティセミナー」 独立行政法人情報処理推進機構]
[出典:NISC「実践的サイバー防御演習(CYDER)」 NISC – サイバーセキュリティ普及啓発・人材育成ポータルサイト]
[出典:IPA「教育・学習(企業・組織向け)」 独立行政法人情報処理推進機構]
