日本におけるセキュリティ人材の現状と分類

      

概要

ここでは、日本におけるセキュリティ人材の現状と分類について調査した内容を解説する。

現在、日本においてセキュリティ人材が不足していると各所で叫ばれており、さらにセキュリティ人材という言葉で一括りに出来ないほどその役割は多様化している。

本記事では、セキュリティ人材が不足していると言われているこれまでの背景について述べた後、各組織が定義したセキュリティ人材の分類(モデル)について説明する。

本記事を読んでいる読者がセキュリティ人材を確保したいと思っている場合、確保したい人材がどのセキュリティ人材に分類であるかをより明確化することで、セキュリティ人材不足と叫ばれている現状に対処することができるかもしれない。

      

過去に実施したセキュリティ人材の調査内容

ここでは、過去に国家や民間機関がセキュリティ人材を調査した内容について調査した内容を踏まえ、セキュリティ人材が不足していると言われている現状について説明する。

      

IPA の調査(2012年公開)

2012年に IPA がセキュリティ人材の不足状況について調査 [1] を公開して以来、セキュリティ人材不足について取り上げられることが多くなった。

IPA の調査では、国内の企業を21業に絞り、約5.2万社を対象として Webアンケート(2011/12/20~28の期間で実施)を中心にセキュリティ人材について調査している。

本調査結果によると、調査時点(2011年12月末)では、セキュリティ人材が約23万人存在、年間の新セキュリティ人材数が約2万人、年間の離職セキュリティ人材が約2.3万人、不足しているセキュリティ人材が約2.2万人という結果となっており、年間あたり約 0.3 万人の不足と潜在的な約2.2万人の不足が算出されている(すべて推定値であることに注意)。

ただし、調査時点でセキュリティ人材であった約23万人のうち、約9.3万人(約6割)しか必要なスキルを満たしておらず、残りの約13.7万人は更なるスキルの向上が必要とされている。

この計算通りにセキュリティ人材の入職・離職が進んでいるとすると、本記事を作成している2020年2月時点において、必要なセキュリティスキルを持った人材は約19万人不足(13.7万人 + 2.2万人 + 0.3万人 × 10年)していると推測される。

※参考:IPA が2014年に報告した追加調査 [2] では、セキュリティ人材を保有しない企業で必要となる人材数を含めた推定値も公開している(メインページには2014年の追加調査分は反映されていないことから、本記事では2012年の調査を主としている)。

      

経済産業省の調査(2016年公開)

続いて、2016年に経産省が実施した「IT 人材の最新動向と将来推計に関する調査」をまとめた資料 [3], [4] より、2020年において情報セキュリティ人材は約19.3万人不足すると報告されている。

これは、前項で算出した不足人数とほぼ一致しているため、恐らく同じような計算方法で算出したと思われる。

この調査方法も IPA と同じく Web アンケートを実施してセキュリティ人材の数を推計しており、実施者も IPA と同じく「みずほ情報総研株式会社」に委託し、さらに JASA(特定非営利活動法人日本ネットワークセキュリティ協会)にも委託している。

以上より、2012年の IPA の調査の後継といってもよいだろう。

この調査結果より経産省は、①ホワイトハッカーのような高度セキュリティ技術を持つ人材、②安全な情報システムを作るために必要なセキュリティ技術を身につけた人材、③ユーザー企業において、社内セキュリティ技術者と連携して企業の情報セキュリティ確保を管理する人材が必要だと提言している。

①の人材を増やすために、セキュリティ・キャンプのような若手のセキュリティ人材を発掘・育成する取り組み等を進めている。

②の人材を増やすために、情報処理安全確保支援士のような高度に分類される国家資格の取得等の取組みを進めている。

③の人材を増やすために、情報セキュリティマネジメント試験のような国家試験やIPA産業サイバーセキュリティセンター(中核人材育成プログラム、責任者向けプログラム)等の取組みを進めている。

セキュリティ人材の育成に関しては、経産省だけでなく、その他の省庁でも取組みが盛んにされているため、詳細は NISC が公開している資料 [5] を参考にしていただければと思う。

      

企業側の調査や取組み

続いて、企業側のセキュリティ人材の育成・確保についてまとめる。

NRIセキュアテクノロジーズが 2019年に実施した調査 [6] によると、2019年においても日本はセキュリティ人材不足が他国と比べて圧倒的に不足しているという結果が出ている。

国の政策でのセキュリティ人材の育成・確保と同じく、企業側でのセキュリティ人材の育成・確保の必要性も非常に高まってきていることより、企業独自のセキュリティ人材育成や資格制度を設けている企業も増えてきている。

      

セキュリティ人材モデル

セキュリティ人材モデルとは、セキュリティの業務・役割ごとに人材を分類したモデルであり、様々な組織が独自のモデルを作成している。

セキュリティ人材モデルを活用することで、自組織におけるセキュリティ人材の役割分担の明確化、不足しているセキュリティ人材の把握、およびセキュリティ人材のスキルマップの作成等を効果的に実施できる。

代表的なセキュリティ人材モデルとして、ITSS+(IPAが作成)[7]、SecBok(JNSAが作成)[8]、統合セキュリティ人材モデル(NEC、日立、富士通が共同で作成)[9]、CSIRTの役割(日本シーサート協議会が作成)[10] 等が存在する。

この4種類のセキュリティ人材モデルを同一の役割ごとにマッピングすると、表1の通りとなる。

表1から分かる通り、それぞれのモデルに差異があるため、自組織でセキュリティ人材モデルを活用する機会があった際には、どのモデルを活用するか十分に検討していただければと思う。
また、これらのモデルを参考に、独自のモデルを定義してみてもよいかもしれない。
      

                表1:4種類のセキュリティ人材モデルのマッピングと概要

      
      

     

おわりに

本記事では、日本におけるセキュリティ人材の現状と分類について調査した内容を解説した。

過去の実態調査よりセキュリティ人材不足について指摘され続けてきているが、人口減少やセキュリティ投資への現状から今後も必要なスキルを保有したセキュリティ人材が充足することはないだろう。

そもそも、セキュリティ人材が不足していると言われていること自体が本当に問題であるのかと疑問に思う節もある。
セキュリティという分野は、コンピュータの幅広い知識と深い造詣が必要な専門的な分野であるが、切り詰めれば良いか悪いかを判断する作業である。

良いか悪いかを判断するのは、人よりもコンピュータの方が圧倒的に高速で正確であり、すでに他の分野では人の介入を削減してコンピュータにすべて処理を任せるといったことが増えてきている。

インシデント時においても、最適解を求める条件を選択し続ければよい。
これも発展が著しい人工知能分野の技術を応用すれば、実現は可能であると考える。

コンピュータの判断だけでよい個所を人が中途半端に干渉することで、セキュリティという分野を難しく、複雑化しているのではないか。
セキュリティ対策を人手で頑張って補うという発想自体が誤っているのではないか。

セキュリティ対策を本気で考えているならば、セキュリティ人材の確保に精を出すより、国家や組織はより精度の高いセキュリティ製品を開発し、広く普及すべきなのではないだろうか。

2016年に開催された DARPA 主催の初の人工知能同士でのサイバーセキュリティコンペである CGC(Cyber Grand Challenge)[11] が有名であるが、本コンペから既に3年以上が経っており、海外でのセキュリティの自動化技術は水面下で着実に進んでいるのかもしれない。

話が脱線してきているので、この話題については別記事にて解説しようと思う。

さて、別の寺子屋コンテンツになるが、ヒポポスが独自で作成した志向別にセキュリティ人材を分類したモデルがある(2020年3月初旬公開予定)。
この記事も参考に、自分自身や自組織においてのセキュリティ人材について改めて見直してみてはいかがだろうか。

     

参考文献

[1] IPA, 情報セキュリティ人材の育成に関する基礎調査- 調査報告書 -, https://www.ipa.go.jp/files/000014184.pdf
[2] IPA, 情報セキュリティ人材不足数等に関する追加分析について(概要), https://www.ipa.go.jp/files/000040646.pdf
[3] 経済産業省, IT人材の最新動向と将来推計に関する調査結果を取りまとめました, https://www.meti.go.jp/press/2016/06/20160610002/20160610002.html
[4] 経済産業省, 27年度調査研究レポート, https://www.meti.go.jp/policy/it_policy/jinzai/27FY_report.html
[5] NISC, 第10回会合(平成30年12月19日)資料2-1 サイバーセキュリティ人材育成の取組について, https://www.nisc.go.jp/conference/cs/jinzai/dai09/pdf/09shiryou0201.pdf
[6] NRIセキュアテクノロジーズ, セキュリティが経営戦略となる時代 企業における情報セキュリティ実態調査2019, https://www.nri.com/jp/knowledge/report/lst/2019/cc/mediaforum/forum278
[7] IPA, ITSS+(プラス)・ITスキル標準(ITSS)・情報システムユーザースキル標準(UISS)関連情報, https://www.ipa.go.jp/jinzai/itss/itssplus.html
[8] JNSA, セキュリティ知識分野(SecBoK2019)~スキル中心からタスク・ロールとの連携強化へ~, https://www.jnsa.org/result/2018/skillmap/
[9] 富士通, NEC・日立・富士通、サイバーセキュリティ技術者の共通人材モデル「統合セキュリティ人材モデル」を策定, https://pr.fujitsu.com/jp/news/2018/10/24-1.html
[10] 日本シーサート協議会, CSIRT人材の定義と確保(Ver.1.5), https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf
[11] DARPA, Cyber Grand Challenge (CGC) (Archived), https://www.darpa.mil/program/cyber-grand-challenge
[12] 平山 敏弘, 2020年を超えて生き抜く情報セキュリティ人材の育成と多様性への対応─必要とされる情報セキュリティ人材の変化と育成方法の視点より─, デジタルプラクティス Vol.9 No.3 (July 2018), https://www.ipsj.or.jp/dp/contents/publication/35/S0903-S08.html

      

登録日時2020-02-26 21:53:54
更新日時2020-02-26 21:53:54