340万人のサイバーセキュリティー人材不足、現場から得た3つの原因とは？

◼️グローバルと国内のサイバーセキュリティー人材不足の実態

「最新サイバーセキュリティーを導入したのにオペレーションがうまく行かない」、「採用したサイバーセキュリティー人材が離職してしまう」、このような課題はありませんか。グローバルのサイバーセキュリティー人材不足は340万人に及び*1、国内においては2022年時点で約5万6千人にのぼると言われ、問題は顕著と言えます。サイバーセキュリティーを導入したすべての組織は最終的に、専門知識を持つセキュリティー人材が巧妙化するインシデントに対して戦略的に正しくツールやシステムを操作管理し処置する必要に迫られます。自社の資産を保護するため、適切に訓練されたサイバーセキュリティー専門チームの人材確保はどのようにすればよいのでしょうか。グローバルとは異なる日本の現場から見た人材不足の原因と解決策をクラロティが提案します。

◼️日本の現場から得たセキュリティー人材が定着しない理由

1. サイバーセキュリティーチームの組織編成がなく、キャリアパスが見えず転職してしまう

御社には、CISO（最高情報セキュリティー責任者）やCTO（最高技術責任者）はいますか？

企業におけるコンピュータシステムやネットワークの安全管理、コンピュータで管理しない機密情報管理等、情報管理と運用の最高責任者。

経営戦略に基づき、製造技術や化学技術、研究開発技術など、技術方針の策定と投資の意思決定などを統括する最高責任者。

こうした上層部やマネージャーレベルの不足により、サイバーセキュリティー人材のキャリアパスが描けず、突如としてそのキャリアを諦め、転職してしまうケースが多くあります。最新のサイバーセキュリティーを導入する以前に、ITチームとサイバーセキュリティチームの組織作り、そしてキャリアパス例案を人材へ提示することが必要と言えるでしょう。

2. 組織がないため人材が育たない

新しく人材を採用することが困難であることから派生して、教育体制が整わず、社内の専門知識の成長が加速せず、セキュリティ人員が不足することもあります。サイバーセキュリティー人材育成には時間がかかり、専門知識を習得し実行するためには中長期でみた教育と実務経験が必要です。人材を育てる組織が固まっていないことで人材の育成が滞り、結果人材不足の悪循環が続いてしまいます。

3. ITチームとサイバーセキュリティチームとの業務定義のずれ

ITチームとセキュリティチームの役割分担がなされていない。従来ではITチームでサイバーセキュリティー業務も兼任することが事例が多く見られましたが、サイバーセキュリティーの業務は多岐に渡ります。ガイドラインと照らし合わせて具体的な業務の整理と明確化から管理体制を作成できます。

参考資料：経済産業省「サイバーセキュリティ体制構築・人材確保の手引き」～変化するサイバーセキュリティリスクに対処するための組織の在り方と従事する人材の配置・役割分担～（第2版）

◼️資産保護のため、最新技術の前にやるべきは組織編成

最後に、セキュリティーインシデントで発生する多大なリスクとコストを考えると、戦略的なセキュリティー対策の手順として、まずサイバーセキュリティーチームを組み込んだ組織作りを整えること、次にその組織に基づく効率的な業務系統の策定、最後に最新のサイバーセキュリティー技術の導入と考えるのがよいでしょう。セキュリティガイドラインに沿って正しく対策をすることとは、自社の資産を保護し、インシデントへ対応するための重要な要素となります。

詳細やさらに具体的な解決方法をご希望の方はこちらからお問い合わせください。

*1 : 「(ISC)² Cybersecurity Workforce Study」

この記事を書いたのは、

加藤俊介

クラロティ　アジア太平洋・日本地区 営業部　ソリューションエンジニア

IEC62443 Cybersecurity Expert / TUV FS Engineer (#19213/19)

2022年5月Claroty入社。化学メーカーのエンジニアリング部門にて、

計装・制御システムエンジニアとしてキャリアをスタート。圧力計や、調節弁などの計装機器選定や、DCS、 PLCの設計・開発、工事監理、試運転立会などに携わる。産業制御システム、SISシステムをバックグラウンドとして、セーフティ×セキュリティによるDX推進をミッションとしている。

◾️クラロティ公式製品ページ◾️

クラロティ　ニュースレタートップページに戻る