当社で実施した「企業における情報セキュリティ実態調査2019」の結果を、先月よりテーマ毎に公開しています。本調査は、NRIセキュアが2018年12月から2019年3月にかけて、日本を含む3カ国を対象に実施したものです。その中で、今回は「セキュリティ人材」に関連した調査結果をまとめました。
- <調査概要>
対象:日本、米国、シンガポール、企業の情報システム・情報セキュリティ担当者
回答企業数:計2,807 社 ( 日本:1,794 社、米国:509 社、シンガポール:504 社)
※以降、米:アメリカ、星:シンガポール を指す
セキュリティ人材の充足状況
本記事では、セキュリティ人材の「充足状況」および「育成」にフォーカスして、調査結果を紹介していきます。まずは、各国企業におけるセキュリティ人材の充足状況について、みていきましょう。
図:セキュリティ対策に従事する人材の充足状況
/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%BA%BA%E6%9D%90%E3%81%AE%E5%85%85%E8%B6%B3%E7%8A%B6%E6%B3%81.png?width=750&height=407&name=%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%BA%BA%E6%9D%90%E3%81%AE%E5%85%85%E8%B6%B3%E7%8A%B6%E6%B3%81.png)
「人材が充足している」と回答する企業の割合が、米・星では約80%であったのに対し、日本ではたったの9%でした。このような、日本企業だけが圧倒的人材不足を訴える傾向は、NRIセキュアの実施した直近9年間の調査においても同様でした。
では日本企業と海外企業とで、これ程までに人材の充足状況に差が開くのは何故でしょうか?本当に、セキュリティ人材の"頭数"に圧倒的な差があるのでしょうか?日本企業と海外企業の差は、セキュリティ人材の"頭数"にあるのではなく、むしろセキュリティ業務のプロセスや実施体制にある、と筆者は考えます。
まずは、各国企業の「人材が充足していると考える理由」を確認しながら、米・星企業におけるセキュリティ業務のプロセスをみていきましょう。
なお、セキュリティ人材に関する詳細な考察記事や、全ての調査結果を確認したい方は(本記事では一部の調査結果が網掛けになっています)、是非調査レポートの本編をダウンロードしてください。
「人材が充足」と回答した企業が考える、その理由とは
図:人材が充足していると考える理由
/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%BA%BA%E6%9D%90%E3%81%8C%E5%85%85%E8%B6%B3%E3%81%97%E3%81%A6%E3%81%84%E3%82%8B%E7%90%86%E7%94%B1.png?width=750&height=662&name=%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%BA%BA%E6%9D%90%E3%81%8C%E5%85%85%E8%B6%B3%E3%81%97%E3%81%A6%E3%81%84%E3%82%8B%E7%90%86%E7%94%B1.png)
「人材が充足している」と考える理由の1位は、米が「セキュリティ業務が標準化され、役割分担が明確」、星が「セキュリティ業務が自動化・省略化されている」でした。
このように米・星企業は、セキュリティ業務を標準化・自動化することによって、より少ない人材で業務を回せるように、業務プロセスを効率化・省力化していることが分かります。人材不足に悩む日本企業も、不足している人材の補填に走るだけではなく、業務プロセスを効率化することによって、業務遂行に必要な人材の絶対数を減らすことも求められます。
(2位以下の回答結果や更なる考察については、レポート本編をご確認ください)
次に各国企業における、不足しているセキュリティ人材の種別をみてみましょう。
「人材が不足」と回答した企業が考える、不足している人材種別とは
図:不足していると考えるセキュリティ人材の種別
/%E4%B8%8D%E8%B6%B3%E3%81%97%E3%81%A6%E3%81%84%E3%82%8B%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%BA%BA%E6%9D%90%E7%A8%AE%E5%88%A5.png?width=750&height=661&name=%E4%B8%8D%E8%B6%B3%E3%81%97%E3%81%A6%E3%81%84%E3%82%8B%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%BA%BA%E6%9D%90%E7%A8%AE%E5%88%A5.png)
不足している人材種別としては、日本では「セキュリティ戦略・企画を策定する人」が、米では「ログを監視・分析する人」が、星では「経営層に現状や対策内容等を説明する人」が、1位になりました。
「セキュリティ戦略・企画の策定」や「経営層への説明」については、自社のビジネス戦略を理解し、経営層と密にコミュニケーションをとれるような、社内の人材を充てるのが望ましいです。
一方で「ログの監視・分析」については、非常に高度な専門性が求められるため、自社での人材確保が難しいようであれば、外部のSOCサービス等を活用するという選択肢もあります。
ログの監視に限らず、アウトソースによる外部リソースの活用は、自社の人材不足の緩和にもつながります。人材が不足している状況においては、セキュリティ業務の全てを自社で実施するという思想から脱却し、外部リソースも選択肢に加えて、セキュリティの実施体制を検討していくことが大切です。
(セキュリティ業務のアウトソース状況や2位以下の回答結果についてはレポート本編をご確認ください)
人材の充足状況については、日本企業だけが不足を訴えているという結果でしたが、人材の育成・教育についてはどのようになっているのでしょうか。日本企業における、セキュリティ人材の育成・教育の実態についてみていきましょう。
セキュリティ人材の育成・教育の実態
図:日本企業におけるセキュリティ人材教育の実施状況/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E8%82%B2%E6%88%90%E3%83%BB%E6%95%99%E8%82%B2%E3%81%AE%E5%AE%9F%E6%96%BD%E7%8A%B6%E6%B3%81.png?width=750&height=418&name=%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E8%82%B2%E6%88%90%E3%83%BB%E6%95%99%E8%82%B2%E3%81%AE%E5%AE%9F%E6%96%BD%E7%8A%B6%E6%B3%81.png)
日本企業における、セキュリティ人材の教育の実施状況については、業務に求められるスキルを整理した上で教育を実施している、と回答した企業の割合が約20%でした。
現場で活躍できる人材を少しでも早く育成するためには、効率的・効果的な教育カリキュラムの作成が不可欠です。そのようなカリキュラムを作成するためにも、自社のセキュリティ業務に必要なスキルの整理は必須といえるでしょう。
しかし日本企業における実態としては、教育は実施しているが必要なスキルを整理していない企業が約45%、そもそも教育を実施していない企業が約35%であり、理想的な教育体制を持つ企業はそこまで多くなかったと言えます。では、日本企業における人材育成の課題は何なのでしょうか。
日本企業が抱える人材育成の課題とは
図:日本企業におけるセキュリティ人材の育成・教育における課題
/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%BA%BA%E6%9D%90%E6%95%99%E8%82%B2%E3%83%BB%E8%82%B2%E6%88%90%E3%81%AE%E8%AA%B2%E9%A1%8C-1.png?width=750&height=413&name=%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%BA%BA%E6%9D%90%E6%95%99%E8%82%B2%E3%83%BB%E8%82%B2%E6%88%90%E3%81%AE%E8%AA%B2%E9%A1%8C-1.png)
育成・教育の課題としては、例年の調査と同様に「セキュリティ人材の適切なキャリアパスが不足している」が上位に来ました。
特に昨今は、DX(デジタルトランスフォーメンション)の進展により、セキュリティ人材に求められる知識や技術の幅が拡大しているため、キャリアパスの設計がより難しくなっているといえるでしょう。
まずは自社で実施するセキュリティ業務のスコープを定義し、そのうえで社員に求めるスキルを整理する。そして、必要なスキルを効率よく習得するめのキャリアパスを整備することが重要です。そして、スコープ外の業務については、ツールの導入やアウトソースを検討しましょう。
(2位以下の課題についてはレポート本編をご確認ください)
CISOの設置が人材不足解消の第一歩
ツールの導入・業務のアウトソース・キャリアパスの整備といった施策を進めるためには、経営層の理解を得て、予算や人員を獲得する必要があります。そして彼らの理解を得るためには、経営層とコミュニケーションを取れるCISO(Chef Infomation Security Officer)の設置がとても重要です。しかし現状では、日本企業は米・星企業と比較して、CISOの設置率がまだまだ低いことが分かっています。(詳細はこちらの記事)
人材不足解消の第一歩としてCISOを設置し、人材不足解消のための様々な施策を打てるような体制を作りましょう。
以下の報告書では、本ブログ記事の内容に加えて、「デジタルセキュリティ」、「セキュリティ人材」、「セキュリティ対策」、「脅威・事故」編の詳細分析結果をまとめています。ぜひダウンロードしてみてください。
企業における情報セキュリティ実態調査2019
03 セキュリティ人材編(本記事)
