セキュリティ人材 新たに雇用か、内部で育成か?
セキュリティ体制を構築していく際には、国が公表している各種ガイドラインが参考になるという。たとえば、民間企業向けには経済産業省が『サイバーセキュリティ体制構築・人材確保の手引き』を公開しており、公的機関向けには内閣サイバーセキュリティセンター(NISC)が『政府機関等のサイバーセキュリティ対策のための統一基準群』を公開している。
NICTも、この統一基準群に準拠してセキュリティ体制を構築しており、現場レベルから中間マネジメントレベル、さらには経営レベルまでの各レイヤーにセキュリティ責任者を置き、CISOを補佐するアドバイザーや監査責任者も配置している。また、全体のセキュリティ対策運用を担う組織として「情報セキュリティ委員会」と、インシデント対応を担う「NICT-CSIRT」も設けている。
とはいえ、どれほど強固な体制を構築しても、その運営を担う人材がいなければ実際の対策は回らない。しかし、優秀なセキュリティエンジニアは人材市場において希少な存在であり、なかなか確保できないのが実情だ。
「セキュリティエンジニアには極めて広範なスキルやナレッジが求められるため、それらを兼ね備える人材は極めて価値が高く、給与水準も高額です。どの企業も、高い報酬を支払ってでも優秀なセキュリティ人材を欲しており、人材側もより良い待遇を求めて転職を積極的に行う傾向があります。そのため人材流動性が高く、一度確保・育成した人材を組織内に留めておくことも、だんだん難しくなってきています」(井上氏)
つまり、外部から人材を雇用するためには、苛烈な人材獲得競争を勝ち抜けるだけの好待遇を用意しなければならない。
一方、組織内部の人材を育成する場合はそこまでのコストは掛からないが、十分な戦力となるまでに時間がかかる。また、せっかく高いスキルを身につけたにもかかわらず処遇を据え置きのままにしていると、より良い待遇を求めて外部に流出してしまう恐れがある。
「内部の人材を育成する場合は、セキュリティの専門性レベルやスキルの向上に合わせて待遇も上げていくことが、防衛力の強化・維持につながります。また、組織のコアにセキュリティへの理解がある人間を置くことで、その配下にいるセキュリティ人材が働きやすくなるうえ、さらにその人材が他の優秀な人材を呼び込むようになるため、自然と組織全体のセキュリティレベルが向上していくでしょう」(井上氏)
