セキュリティ組織づくりが急務、カギを握る「経営層の意識改革」
CISSP/CCSP/SSCP/CSSLP認定資格の試験運営などを行うISC2(International Information System Security Certification Consortium)が2023年11月に公開した『ISC2 Cybersecurity Workforce Study(2023年版)』によれば、日本のサイバーセキュリティ人材は約48万人。前年比で23.8%増と、その数は増え続けている。しかし一方で、「足りない人材の数」も約11万人に達しており、しかも前年比97.6%増とほぼ倍増している。
井上大介氏は、こうした状況について以下のように警鐘を鳴らす。
「セキュリティ人材の数は確実に増えているものの、足りない数はそれ以上の勢いで膨れ上がっており、需要に供給がまったく追いついていない状況です。そうしている間にも、サイバー攻撃はひっきりなしに行われています。インシデントが発生した企業のトップが記者会見で頭を下げる様子が連日ニュースを賑わせていますが、その際に『人手が足りなかったから』という言い訳は、残念ながら一切通用しません」(井上氏)
井上大介氏
井上氏は、2022年に発生した小島プレス工業へのランサムウェア攻撃に端を発するトヨタの国内工場全停止のインシデントや、2024年6月に発生したKADOKAWAに対するランサムウェア攻撃とその甚大な被害を例に挙げ、ランサムウェアが企業の経営に与えるインパクトの大きさを強調する。
今後も攻撃者の勢いが止まることはないだろう。日本の組織も、セキュリティ対策強化に向けた組織づくりに本腰を入れなければならない。同氏は組織づくりの最も重要なポイントとして、「トップマネジメント層の意識改革」を挙げる。
「たとえ為替差損で100億円の損害を出したとしても、社長が謝罪会見を開くことはないでしょう。しかしサイバー攻撃を受けた場合、個人情報が数十件漏えいするだけでも、社長は記者会見で頭を下げなければなりません。場合によっては、株価が暴落することもあります。つまり、サイバー攻撃は今や経営リスクの“一丁目一番地”であり、トップマネジメントが負うべき重大な責任だといえるのです」(井上氏)
ところが経営層は、経営資源の最適配置の観点から、セキュリティ対策のコストをなるべく低く抑えようと考える。セキュリティとコストを上手く両立する方法はないものか……。そこで重要となるのが、セキュリティ人材の育成だと井上氏。組織の中にセキュリティ専門家を置くことで、対策コストを下げることができると話す。
「セキュリティ対策をすべて外部ベンダーに依存すれば、当然コストは青天井になってしまいます。組織の中にセキュリティ専門家を置けば、対策コストを下げられるでしょう」(井上氏)
ただし、IT部門にあらゆる仕事や責任を丸投げしたり、セキュリティ担当者を“便利屋”扱いしたりするような『セキュリティ根性論』は、優秀な人材の流出を招いてしまう。そこで、セキュリティ人材に対する適切な待遇と体制の構築が必要となる。
