NICTのサイバーセキュリティ研究所長が語る、不足が深刻な「セキュリティ人材」育成の有効策とは?
新たに雇用か、内部で育成か? それぞれのアプローチで留意すべき点 NICTが展開する独自のプログラム

強靭なセキュリティ対策の実現には、それにふさわしい組織と人材が必要だ。情報通信研究機構(NICT)でサイバーセキュリティ研究所 研究所長を務める井上大介氏は、2024年9月25日、26日の2日間にわたり開催された「Security Online Day 2024 秋の陣」の基調講演に登壇し、セキュリティ組織づくりと人材育成のポイント、さらには実際にNICTで実践している施策と、日本全体のセキュリティレベルを高めるための取り組みについて語った。
セキュリティ組織づくりが急務、カギを握る「経営層の意識改革」
CISSP/CCSP/SSCP/CSSLP認定資格の試験運営などを行うISC2(International Information System Security Certification Consortium)が2023年11月に公開した『ISC2 Cybersecurity Workforce Study(2023年版)』によれば、日本のサイバーセキュリティ人材は約48万人。前年比で23.8%増と、その数は増え続けている。しかし一方で、「足りない人材の数」も約11万人に達しており、しかも前年比97.6%増とほぼ倍増している。
井上大介氏は、こうした状況について以下のように警鐘を鳴らす。
「セキュリティ人材の数は確実に増えているものの、足りない数はそれ以上の勢いで膨れ上がっており、需要に供給がまったく追いついていない状況です。そうしている間にも、サイバー攻撃はひっきりなしに行われています。インシデントが発生した企業のトップが記者会見で頭を下げる様子が連日ニュースを賑わせていますが、その際に『人手が足りなかったから』という言い訳は、残念ながら一切通用しません」(井上氏)

井上大介氏
井上氏は、2022年に発生した小島プレス工業へのランサムウェア攻撃に端を発するトヨタの国内工場全停止のインシデントや、2024年6月に発生したKADOKAWAに対するランサムウェア攻撃とその甚大な被害を例に挙げ、ランサムウェアが企業の経営に与えるインパクトの大きさを強調する。
今後も攻撃者の勢いが止まることはないだろう。日本の組織も、セキュリティ対策強化に向けた組織づくりに本腰を入れなければならない。同氏は組織づくりの最も重要なポイントとして、「トップマネジメント層の意識改革」を挙げる。
「たとえ為替差損で100億円の損害を出したとしても、社長が謝罪会見を開くことはないでしょう。しかしサイバー攻撃を受けた場合、個人情報が数十件漏えいするだけでも、社長は記者会見で頭を下げなければなりません。場合によっては、株価が暴落することもあります。つまり、サイバー攻撃は今や経営リスクの“一丁目一番地”であり、トップマネジメントが負うべき重大な責任だといえるのです」(井上氏)
ところが経営層は、経営資源の最適配置の観点から、セキュリティ対策のコストをなるべく低く抑えようと考える。セキュリティとコストを上手く両立する方法はないものか……。そこで重要となるのが、セキュリティ人材の育成だと井上氏。組織の中にセキュリティ専門家を置くことで、対策コストを下げることができると話す。
「セキュリティ対策をすべて外部ベンダーに依存すれば、当然コストは青天井になってしまいます。組織の中にセキュリティ専門家を置けば、対策コストを下げられるでしょう」(井上氏)
ただし、IT部門にあらゆる仕事や責任を丸投げしたり、セキュリティ担当者を“便利屋”扱いしたりするような『セキュリティ根性論』は、優秀な人材の流出を招いてしまう。そこで、セキュリティ人材に対する適切な待遇と体制の構築が必要となる。
この記事は参考になりましたか?
- Security Online Day 2024 秋の陣レポート連載記事一覧
-
- 生成AIで脅威ハンティングも対話型に──SentinelOneが考える「防御者のためのAI...
- NICTのサイバーセキュリティ研究所長が語る、不足が深刻な「セキュリティ人材」育成の有効策...
- AIは敵か?味方か?「Kopeechka」によるディープフェイク被害、生成AIの悪用事例か...
- この記事の著者
-
吉村 哲樹(ヨシムラ テツキ)
早稲田大学政治経済学部卒業後、メーカー系システムインテグレーターにてソフトウェア開発に従事。その後、外資系ソフトウェアベンダーでコンサルタント、IT系Webメディアで編集者を務めた後、現在はフリーライターとして活動中。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア