AppGuard Blog

日本のサイバーセキュリティ人材不足の原因と対策

リスク管理

日本のサイバーセキュリティ人材不足の原因と対策
サイバーセキュリティ人材の不足が深刻化しているといわれています。何が人材不足の原因になっているのか、今、どのような対策をしていけば良いのか、サイバーセキュリティ人材不足について解説します。

日本はサイバーセキュリティ人材が不足している?

現在、日本ではサイバーセキュリティに携わる人材が足りないといわれています。官民問わずさまざまな調査でもそのことが指摘されており、今以上にサイバー攻撃が増加することが明らかな近い将来に向けて、早急に解決すべき重要な課題とされています。

とくに中小企業では、そもそも専任のセキュリティ担当者がいないというケースが過半数に達していることが問題視されています。そもそもIT担当者がいない企業が大半を占めているのではないでしょうか。

さらに、サイバーセキュリティに投資をしたりリソースを割いたりすることができないという問題が日常的に起きてしまっています。こうした環境下ではサイバーセキュリティに特化した人材を育てるのも難しいと言わざるを得ません。

また、日本ではとりわけサイバーセキュリティを強化するための戦略を立て、企画を立案する担当者の絶対数が足りないと指摘されています。企業においてセキュリティ対策の戦略や企画を策定するには、自社の事業戦略とそれに伴うリスクを正確に把握し分析することが求められます。そのためには専門知識やスキルだけではなく経営的視点も必要となり、そうした人材の育成が間に合っていない現状もあるようです。

サイバーセキュリティ人材不足の原因

サイバーセキュリティ人材の不足は、高まる需要に対し供給が追い付いていないことにあると言えます。サイバー攻撃を取り巻く状況や事情の変化について考えてみましょう。

まず背景として、サイバー攻撃は近年、巧妙化・複雑化の一途をたどっています。しかも次々と新しい攻撃方法が考え出され、マルウェアの亜種が生まれ、攻撃のためのツールや環境も用意されています。これに対し、セキュリティ対策も高度化していく必要があり、また今、何が脅威なのかを迅速に察知して対応することも求められます。このことが専任のサイバーセキュリティ人材が必要とされる大きな理由となっています。

一方で、専任のサイバーセキュリティ担当者を据えても、企業によってはセキュリティ業務を特定の社員が担当することで作業内容がブラックボックス化してしまうケースもあります。基幹系システムなどを長期間にわたって運用している会社などに多くみられます。属人化が進むとインシデント発生時にその人のみに頼ることになり対応が遅れる危険性が高まるだけでなく、引き継ぎや業務の分担も困難になり、人手が不足していても増員しにくい状況に陥ってしまいます。

サイバーセキュリティ人材の需要が高まる中、セキュリティ人材に求められるスキルの多様化していることは、サイバーセキュリティ人材不足の解消におけるボトルネックになっていると言えるでしょう。
セキュリティ人材には企画立案能力、攻撃の巧妙化への対応力など幅広い知識やスキルが求められます。加えて、これまでは業務で使用する情報システムや端末、サーバーなど企業内のITを対象とするのが企業におけるサイバーセキュリティの役割でしたが、現在では多くの企業で工場や倉庫、物流などにもITが活用され、守るべき対象の範囲が拡大しています。さらにサイバー攻撃の目的もかつての単なるいたずらなどから、企業が保持する重要な情報を人質にして金銭を要求することやサイバーテロなどへとシフトしてきています。セキュリティ人材について考えるときは、こうした変化への対応も勘案しなければなりません。

サイバーセキュリティ人材不足を解消するための対策

では、サイバーセキュリティに携わる人材の不足はどのようにして解消していくべきなのかを考えてみましょう。

いまだに本格的なセキュリティ対策に乗り出していない、一通りの対策はしているものの時代に合わせた改善などが進んでいない企業があったとしたら、その姿勢は一刻も早く改めなければならないということです。何らかのサイバー攻撃を受け、実際に情報インシデントが発生してからでは遅すぎます。重要データの漏えいなどは事業継続にも大きなダメージを与えかねません。

巧妙化・複雑化する攻撃、求められるセキュリティスキルの多様化などに対応するには、実際に自社にはどのようなセキュリティ対策が必要なのかをリストアップし、セキュリティ業務を切り分け、可視化していく作業が必要となります。

先にも挙げたセキュリティ対策の戦略・企画の策定をはじめとして、セキュリティリスクの評価、ログや動作情報の監視と分析・判断、関係部署間のセキュリティに関する調整、社員へのセキュリティ教育、セキュアなシステム設計、セキュリティインシデント発生時の対応・指揮など、やるべきことは多くあります。それらの業務をできる限り標準化して、誰でも実施できるようにしておくことも重要です。

もちろん、それだけ多くのセキュリティ業務に人材を割くのは難しいという企業は少なくないはずです。IT人材に兼任させることで生じる問題や、セキュリティの専門家を社内育成することの難しさも先の述べた通りです。となれば、自社で行うべきセキュリティ業務のほかにアウトソースを活用する業務も切り分けて、一部を専門会社やセキュリティツールに任せるという方法も選択肢に加えるべきでしょう。実際に海外ではセキュリティ業務を社内外のリソースに割り振ることで、サイバーセキュリティ人材の不足を補っているというケースが多く見られます。

サイバー攻撃に対する備えは、今後ますますその重要度を増していくことが確実です。今からであれば、セキュリティ強化のための環境づくりはまだ間に合うと考えるべきでしょう。サイバーセキュリティ人材不足を解消すべく、危機感を持って人材育成などの対策に取り組みましょう。

AppGuardで感染対策を!



ページトップに戻る