Newsroom

ガートナージャパン株式会社 (本社：東京都港区、以下Gartner) は、新たな時代のセキュリティ人材の強化に向けて押さえておくべき3つのステップとアクションを発表しました。

サイバーセキュリティの人材不足を課題に挙げる組織は依然として多く見られます。サイバーセキュリティと一言で言っても中身は多種多様であり、さらに昨今では、サイバーセキュリティに閉じたスキルのみではなく、日々変化するテクノロジ、法規制、社会環境のトレンドに対応できる能力を持った人材が必要になっているため、大きなチャレンジとなっています。

バイス プレジデント アナリストの礒田 優一は次のように述べています。「セキュリティ／リスク・マネジメント (SRM) のリーダーは、最新トレンドを踏まえ、現在および未来においても活躍できるセキュリティ人材の強化・獲得に向けて、以下の3つのステップとアクションを押さえておく必要があります」

サイバーセキュリティの知識／スキル／タスクの一覧を基にギャップを分析し、どの領域をインソーシング (内製化)／アウトソーシングするかを判断する

第一歩としては、整理された知識／スキル／タスクの一覧を基に、現状とのギャップを識別することが挙げられます。米国国立標準技術研究所 (NIST)、あるいは国内では情報処理推進機構 (IPA) や関連する団体が、サイバーセキュリティの知識／スキル／タスクを一覧にして整理したドキュメントを既に公開しています。SRMリーダーはそうしたものを利用し、現状とのギャップを識別することができます。また、それらを、どの部分をインソーシング、あるいはアウトソーシングにするのかを決める場合の検討の土台とすることができます。

礒田は次のように述べています。「現在ではすべてのセキュリティ・オペレーションを人間が担当する必要はなくなっています。AIや自動化のトレンドも日々変化しているため、その点も踏まえて、自社における具体的なユースケースを特定し、一つ一つ有効性を確認しながら取り組みを進めることが肝要です」

2023年に入り大きな話題になっているChatGPTもそのトレンドの一つです。AIの進歩は目覚ましく、AIと自動化により、人間は単純作業や雑務から解放され、学習時間の創出やビジネス・テクノロジストとしての能力の強化など、個人の成長につながる機会を得られるというメリットもあります。

自社のデジタル戦略およびセキュリティのトレンドを踏まえてインソーシングで賄う領域を調整する

Gartnerが2023年2月に、日本国内の従業員300人以上の組織を対象に実施したユーザー調査でセキュリティ人材を強化する方法について尋ねたところ、既存の人材の育成、アウトソーシング、採用の順で多い傾向が見られました (図1参照)。

インソーシングで賄うとされている領域は、セキュリティ戦略、マネジメント、企画などで、そうした領域では、まずは社内の既存の人員を育成、強化することが検討されています。一方、一般的にインソーシングで賄うのが難しいとされることが多いのは、サイバーセキュリティの専門スキルを要する、高度なセキュリティの検知、分析、対応にかかる運用や、セキュア・プログラミング、セキュリティ・テストなど開発関連の領域であり、これらはアウトソースされることが多く見られます。

ただし近年では、新しい傾向も見られるようになっています。従来アウトソースされがちであったそうした専門領域においても、社内で賄おうとする傾向が一部では高まっています。この背景としては、サイバーセキュリティのインシデント対応の重要性の高まりとデジタル・ビジネスの取り組みの広がりが挙げられます。国内でも「内製化」と言われるトレンドが進行していることもあり、内製化に取り組んでいる組織ではセキュリティも内製化される傾向にあります。

これからのデジタル時代に必要とされるセキュリティ人材についてビジョン／戦略／フィロソフィを策定し、内発的動機を促す

これからのデジタル時代のセキュリティ人材は、サイバーセキュリティの脅威はもとより、日々変化する環境、デジタル・トレンドに合わせ、絶えず適応していく必要に迫られています。セキュリティ人材にとっては、サイバーセキュリティのみでも複雑な領域である上に、それに輪をかけて、クラウド、AI、法規制、地政学などと絡めた議論が急務になっている点が、大きなチャレンジとなっています。

SRMリーダーが実施すべきは、メンバーが学ぶべき項目の一覧の作成ではなく、「ビジョン」を描き、セキュリティ組織のあるべき姿を定義し、メンバーに示すことです。素晴らしいビジョンがあれば、優秀な人材が集まり、必要なことを自ら学びます。素晴らしいビジョンを実現するためには「戦略」が必要になります。そして、さらに複雑で高度な判断を下すには、「プロ集団」が必要になります。プロフェッショナルやプロ集団への追及が、仕事への姿勢としてのあるべき姿や、「フィロソフィ」としての定義につながります。

SRMリーダーは、素晴らしいビジョン、戦略を策定し、メンバーに示すとともに、経営者からもコンセンサスを得ることにより、セキュリティ組織の社内的なポジションを向上させ、明るいキャリア・プランを示すことが可能になります。

礒田は次のように述べています。「SRMリーダーは、人が健康的に最高のパフォーマンスを発揮し、継続的に高い成果を上げることのできる環境を醸成することが重要です。また、メンバーが自ら学び成長していくためには、まずはリーダー自身が賢くなり、最新のトレンドを踏まえた議論に広く対応できるような感度を常に養っておくことが重要です」

Gartnerのサービスをご利用のお客様は、リサーチノート「これからのセキュリティ人材：いかに強化すべきか」で詳細をご覧いただけます。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products

2023年におけるセキュリティ／リスク・マネジメントのリーダーの最優先課題については、eBook「2023年のリーダーシップ・ビジョン：セキュリティ／リスク・マネジメント」でご覧いただけます。

ガートナー セキュリティ&リスク・マネジメント サミットについて

2023年7月26～28日にANAインターコンチネンタルホテル東京にて開催するガートナー セキュリティ&リスク・マネジメント サミットでは、セキュリティ／リスク・マネジメントのリーダーおよびセキュリティの担当者が、即応性を持ってセキュリティ状況とそのためのテクノロジを評価し、その力を継続的に向上できるよう、さらなる分析や知見を提供します。コンファレンスのニュースと最新情報は、Twitterでご覧いただけます (#GartnerSEC)。

日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのTwitterやFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、こちらよりご参照ください。