サイバーセキュリティはいつになったら根付くのか?~終戦記念日を迎えたお盆休みの一考察~

blog

こちらの記事に目を止められた方は、お盆休みの方及び終戦記念日を過ごしつつ、巷のサイバーセキュリティはいつ達成されるのかについて、思いを馳せていた方かと思います。今回は、世の中が、平和な世界を達成するために、ちょっと違った角度から現在の状況の再確認と、その状況に対しての考察を行ってみたいと思います。

国立研究開発法人情報通信研究機構(NICT)は8月5日に「サイバーセキュリティ・トランスフォーメーション ビジネスリスクのニューノーマル」と題した資料を公開しました。

具体的には、NICTのナショナルサイバートレーニングセンターが、サイバーセキュリティ人材需要調査の一環として、海外の各種調査レポートの分析や、セキュリティ人材を多数活用している組織のエグゼクティブへのインタビューなどを通して調査を実施し、セキュリティ人材を取り巻く諸課題について考察したものだ。

同レポートの中では、サイバーセキュリティワーカーを対象にした調査「サイバーセキュリティプロフェッショナルの人生と時代 2021」(The Life and Times of Cybersecurity Professionals 2021)を取り上げているが、その中では、企業がすぐに取り組むべき施策として以下の3つを提案している。

①「組織の全レベルでセキュリティ文化を醸成し、セキュリティ重視のビジネスとして価値を高める」
②「サイバーセキュリティワーカーのキャリアアップの機会を提供し、組織全体でサイバーセキュリティトレーニングを強化することを確約する」
③「サイバーセキュリティを経営計画・戦略の一部に含める」

加えて、現在のサイバーセキュリティ対策の問題点を浮き彫りにしており、一部の調査項目と回答のは下記のようになっているそうだ。

A.サイバーセキュリティの専門家として、仕事で最もストレスになることは何ですか?
32%:他の部門が始めた、セキュリティが考慮されていないITプロジェクト、31%:無関心な経営者、31%:捌ききれない仕事量

B.サイバーセキュリティの人材不足の最大の要因は次のうちどれですか?
38%:競争力のある報酬を提供していない、29%:人事部がサイバーセキュリティに必要なスキルを理解していない、27%:サイバーセキュリティの専門家にとって魅力的ではない業界にいる

Aのセキュリティが考慮されていないITプロジェクトについては、然るべき組織や所管部があれば、すぐにでも解決できるのではないかと思われる。意思決定プロセスに必要な項目として組み込んでしまえば、そのあとは根本的なところは解決されると思われる。なぜなら、セキュリティを考慮しないとプロジェクト自体の承認が下りないため、とりあえずフックがかかり、その後の対応と案件の積み上げによって、徐々に組織に浸透していくこととなる。そのあとの二つは、セキュリティに限らずありとあらゆるリスク管理部門に存在する問題(スタッフの普遍的な愚痴ともいえる)なので省略する。

Bの人材不足の最大の要因については、人事部が業務に関する知識がなければ、当然、競争力のある報酬は提供できない(何にいくら払う必要があるか正しく理解できないので)だろうし、専門家にとって魅力的ではない業界にいるのは、前者と同様に適切な業務の理解に基づいた報酬提示と、スキルのあるスタッフの偏在に対しての是正圧力がかからないほど、人材市場における認知度や人材母数が少ないということなのかもしれない。

上記の独断と偏見による考察に基づくと、各会社の人事部およびリクルート企業が、未だサイバーセキュリティという領域についての知見や経験を積まないと、当該問題は解決することは望むらくもなく、誤解を恐れずに要約すると、サイバーセキュリティにおける平和な世界は、一にも二にも人事部門とリクルート会社の早急な知見及び経験の積み上げに係っているといっても過言ではないことになる。

エグゼクティブの重要な仕事は、手を動かして一緒に汗を垂らすことではなく、適切な人事配置を実現し、自ずと組織が好回転することだと思いますが、その人事配置を所管する人事部門の重要性を改めて認識する次第です。

また、読者の方で、ITプロジェクト承認プロセスへのセキュリティ項目の組み込みについて具体的な手法がわからない等のお悩みをお持ちの方は、当社までご一報下さい。

サイバーでもリアルでも戦争や犯罪のない世界の実現を祈りつつ…

https://www.nict.go.jp/publicity/topics/2022/08/05-2.html

blog

Posted by Tomozo