第16回テーマ「セキュリティ人材育成」

全てを一人でやるのはもう限界…。セキュリティ人材はどう育てればいい？

アミダ社の情シス担当として、PCの設定からネットワーク構築、システム導入、さらには情報漏えいやサイバー攻撃を未然に防ぐためのセキュリティ対策までを一手に引き受ける中村和人。その奮闘もあって、社内のIT環境は見違えるように改善されてきた。しかし、セキュリティ関連の懸案事項は増加する一方だ。

標的型メール攻撃はアミダ社でも確認されているし、その件数はなかなか衰えない。モバイルワークや他社とのデータ共有が進むにつれて、新たな情報漏えいのリスクも高まりつつある。

「全部を一人でやるのはもう限界かなあ……」

PCに向かって呟いた中村の独り言を、聞き逃さなかったのは総務部の加藤彩だ。

「えっ、何が限界ですって？」

「いや、加藤さんが手伝ってくれるのはありがたいんだけれど、セキュリティ案件がこれだけ増えると、もう僕一人の情シス体制では回しきれないかなって思うんだよ」

「江窪社長に言って、外から人を採用してもらえばいいんじゃないですか」

「それができたらこんなグチは言ってないよ。IT業界の中でもセキュリティに詳しい人材は払底気味だというし、ウチのような中小企業には誰も来てくれないよ」

「じゃ、どうするんです？」

「うーん、いい手立てがなかなか思いつかないんだよ」

セキュリティ人材不足は何もアミダ社だけの問題ではない。IT業界はもちろんのこと、政府も昨年、内閣府のサイバーセキュリティ戦略本部おいて「サイバーセキュリティ人材育成プログラム」を策定し、人づくりへの本格的な取り組みを始めている。

このプログラムでは、2020年を意識し、「サイバーセキュリティ技術の専門人材の確保は引き続き重要な課題」だと指摘。人材育成にあたっては経営層のリーダーシップ、経営層と実務層との間を「橋渡し」する人材の重要性、実践的なサイバー防御トレーニングの実施、教育機関での情報セキュリティ教育の推進などを課題に挙げている。

「最近は、CSIRT（シーサート： Computer Security Incident Response Team）という言葉も耳にするようになったね。組織内の情報セキュリティ問題を専門に扱うインシデント対応チームのことだけど、ウチのような中小企業がいきなりそれを設置するのは現実的じゃない。まずは僕の片腕として、一人でもいいから実務を担う人材が必要なんだよ」

と、中村は加藤の前で、セキュリティ人材の課題を説明する。

「ウチの生産ラインには、数値制御（NC）されている工作機械とかたくさんありますよね。大学や専門学校でコンピュータを勉強してきた人もいるんじゃないですか。そういう人から、情報セキュリティにも関心のある人を探してみるってのはどうかしら」

加藤のアドバイスは目からウロコだった。

（そうか、コンピュータ制御による設計や製造に明るい人なら、基本的なスキルはあるはずだ。彼らのスキルを広げるためにも、サイバーセキュリティに関心をもってもらう、ということはありうるな）

早速、中村は生産本部長と話をして、製造現場の若手で、もっと自分のスキルを広げたいと思っているような人材を紹介してもらうことにした。優秀な人材であればあるほど、現場は手放したくはないだろう。しかし、これからのものづくりではIoTの導入なども重要になる。IoTが進めば、セキュリティ対策も必須の業務になるはず。今から、製造と情報システムの両方の知識を身につけておけば、その若手にとってもキャリア上の強みになるはずだ。

製造本部長に紹介された早田昌司君は24歳。地方の工業専門学校を卒業して、新卒入社でアミダ社に入り4年目だ。聞けば、高専時代の専攻は情報システム工学科。本当はeコマースサイトの構築のような仕事をしたかったのだが、縁があってアミダ社に入社。今は生産ラインで3次元CADやレーザー加工機を使った設計・生産に取り組んでいる。

「メカを扱うのも面白いんですが、Webシステムやモバイル、ネットワーク、データ解析なんかもやってみたいとは思っていました。僕らが学生の頃は情報セキュリティの授業はほとんどなかったんですが、今なら必須という気がしますね。会社で勉強できるのなら何だってやりますよ」

と強い意欲を語ってくれたのだった。

「いやぁ、探してみるものですね。社内にこんな人材が眠っていたとは……」と、社内面接での早田君の決意を伝え聞いた加藤は、そんな感想を漏らした。

「当面は、生産ラインと情報部門の兼任ということになるけれど、まずは社外の情報セキュリティ研修の基礎コースを受講してもらうことにしたよ。社長も生産本部長も渋々だけれど、OKしてくれた」

「これからのセキュリティ対策は、利益を生まないコストという扱いじゃなくて、積極的な投資だと考えるべきだって、政府の文書でも指摘されているぐらいですしね。社長ももっと前向きに考えてほしいですよ」と、加藤。

「あれ、加藤さん、いつのまに、政府の『サイバーセキュリティ人材育成プログラム』を読んだの？」

「へっ、へっ、私だって勉強しているんです。ところで、中村さんと早田君の役割分担はどうするんです？」

「早田君には研修を受けて、個人情報保護士とか情報セキュリティ管理士などの資格を取ってもらう。僕はこういう資格なしで仕事をしているけれど、これからの人は体系的な教育が必要だからね。その後は、僕の隣でアミダ社の現状に合わせた知識をOJTで身につけてもらうつもりだ。幸いというか不幸にもというか、アミダ社にはこれまでも情報漏えいやモバイル端末管理でぶつかった事例がたくさんあるからね。それが例題になると思うんだ」

「早田君が実務担当者で、中村さんはCISO（Chief Information Security Officer： 最高セキュリティ責任者）に昇進ってことですか」と、加藤はニヤニヤしながら言った。

「バカ言うなよ。CISOなんて無理だよ。でも、僕としても、いずれは社長を補佐しながら、経営的な観点で将来のセキュリティ対策を考える立場にはなりたいね。そこでの戦略を実践に移す役割を早田君には期待したいところだ。社内体制を整えた後は、外部のベンダー企業との戦略的な連携が重要になると思う。セキュリティ対策に強いベンダーを探し、業務委託を含めた中長期的な関係を構築し、一つの“チーム”として動けるようにしたいんだ」

アミダ社は小さいながらも、セキュリティ人材を内部で育てようとしている。最初は小さな若芽だが、いずれは大きな幹に育ってくれるはず。それを願う二人だった。

• 情報セキュリティ人材をどう育てるかは、企業規模を問わず、必須の課題
• 情報セキュリティはコストではなく、投資であるというトップの意識転換が不可欠だ
• 専門家を中途採用しにくい中小企業では、社内人材の異動・再教育などを通して、内部人材を育てることも選択の一つ
• 戦略担当者と実務担当者という役割分担も組織化のために必要になる
• 外部研修や資格取得も一つの教育プロセスとして検討すべき
• 外部セキュリティベンダーとの戦略的連携を通して、一つのチームを形成することも視野に入れたい