人材は「天下の回りもの」NICT園田氏が語る、生成AI時代のセキュリティ人材育成で企業が見るべき視点

日本企業のセキュリティ人材不足が深刻化、米国企業とはある“差”が

　セキュリティ業界において、特に深刻な問題の一つが「人材の不足」だ。サイバーセキュリティに関する国際団体「ISC2（International Information Systems Security Certification Consortium）」の調査によれば、セキュリティ人材は全世界で約546万人いる一方、不足数は476万人にのぼり、そのギャップは年々拡大しているという。特にアジア地域では337万人が不足しており、日本では11万人が不足していると推計される^[4]。

　ただし、同じセキュリティ人材不足でも、その内容には地域差があるようだ。NRIセキュアテクノロジーズの調査によれば、日本では90％もの企業がセキュリティ人材不足を感じているのに対し、米国企業は9.7％、オーストラリアの企業は10.8％に留まるという結果に^[5]。園田氏はこの差の背景に「セキュリティ業務の自動化や定型化における進展度合いの違い」を挙げる。米豪の企業は、監視や検知などの業務を早くからシステム化・自動化することで、人材不足を補ってきたのだ。

　日本企業のセキュリティ人材不足について、詳しく掘り下げていこう。各種の調査で一貫して指摘されているのは、“セキュリティ戦略や企画を策定できる上位の人材の不足”だ。これはとりもなおさず、具体的な施策を企画して予算を確保するという、対策の第一歩を踏み出せていない組織が多いことを意味する。

　「結局、予算がなければ人の獲得も育成もできません。原資がなければ何もできないにもかかわらず、その原資をどれだけ確保すればよいのかを戦略的に考えられる人がいないことが、根本的な問題なのです」（園田氏）

セキュリティ人材は外注すべき？ 内製すべき？

　では、セキュリティ戦略・企画ができる人材をどう補うべきか。外部から獲得するのも一つの方法だが、ハイスキル人材を獲得するには高い報酬が必要であることから、多くの組織にとっては現実的ではない。そもそも、セキュリティ戦略・企画は経営に近い領域だが、この層の人材を外部から獲得するのは難しい。そこで、「組織内で育成する」という視点が重要になってくるという。

　セキュリティ戦略・企画人材を育成（トレーニング）する方法に関して、園田氏がセンター長を務めるナショナルサイバートレーニングセンター（以下、ナショトレ）では、様々な試みを進めている。「今までの取り組みを振り返ると、たとえばサイバーセキュリティのトレーニングでは、臨場感のあるシナリオを用意し、参加者が当事者として意思決定を行う演習が最も効果的だった」と同氏は話す。また、多忙な経営層や管理職が対象となるため、学習に割ける時間が限られているという現実的な制約も考慮しなければならない。

　これらの要件を満たすものとして、ナショトレはトレーニング教材「プレCYDER」や経営シミュレーションゲームなどを開発。プレCYDERは、サイバー攻撃を受けた際のインシデント対応について基礎から学ぶことができる教材だ。3〜4時間のオンライン独習型の演習であり、各演習が15分単位に分割されているため、スキマ時間に受講できる。

　演習では、実際に起きたインシデント事例を詳細に解説し、途中にクイズを挟むことで学習効果を高める工夫が凝らされており、受講者はインシデント発生時にどのような判断を下すべきかを具体的に学べる。また、この教材を開発する際、「難しい専門用語が出てこない設計」を意識したと園田氏は語る。前提知識を持たない人でもセキュリティについて学べるという工夫は、社内で演習を行う際にも重要な要素となる。

　また、経営シミュレーションゲームでは、限られた予算をどのように配分すればセキュリティ効果を最大化できるか、どの程度のリスクをカバーできるかといった経営的な視点を養うことができる。多忙な人材が時間的な制約の中で当事者意識を持ってセキュリティ戦略・企画を学ぶには、このようなコンテンツも有効だ。