「プラスセキュリティ」な人材を育成するポイントとは?

DX推進、サプライチェーン・マネジメントに、セキュリティをプラスした人材が求められる

DX推進は新たな価値を創製し、市場における競争優位性を高めます。その成功のためには、「データの利活用」が重要なキーとなり、市場やお客さまへのコミュニケーションを軸としたサイバー空間上での活動がより一層増える事が想定できます。反面、データ利活用の機会やボリュームが増えるということは、その分増えるであろうサイバーリスクについても十分に考慮する必要があります。

また、企業経営において重要なポイントとなるサプライチェーンの適正化についても、チェーン内のICTの活用が促され、多層化/複雑化する中でのデータの利活用が促進されることが想定されます。その為、DX推進の取り組みと同様に、サイバーリスクを考慮したマネジメントが必要とされるでしょう。

DX推進とサプライチェーン・マネジメントという2つの取り組みは、企業にとってビジネス推進の一環として行われます。すなわち、ビジネスユニット側で推進されるものですが、これらの取り組みにおけるビジネスユニット側のサイバーリスクへの配慮が、セキュリティ専任部門からみた際、不透明であり、かつビジネスユニットに対するセキュリティポリシーのガバナンスにも問題があるとすれば、むしろビジネスユニット側において自律的で適切なサイバーリスクへの対応が求められます。

これらの企業や組織が抱える課題に対しては、ビジネスをリードする(セキュリティ専任部門以外)一般事業部における「プラスセキュリティ」のスキルを持つ人材に対する行政や業界団体からの提言等がなされています。

「プラスセキュリティ」な人材を育成する中での課題

当社においても、本年度より、プラスセキュリティ人材育成の取り組みを開始しました。その活動の中で、実際のお客さまとの対話の中で気づいた事があります。それは、既に多くのお客さまが「プラスセキュリティ」な人材の必要性を感じ取り、その人材育成の検討が開始されているということです。しかしながら、その一方で育成のゴールが見出せないという以下の様な課題に直面されていることもわかりました。

  • ・プラスセキュリティな人材が得るべきスキルや知識がどういったものか不明瞭
  • ・プラスセキュリティな人材が各部門においてどの様な役割を担う事が出来るかが不明瞭

セキュリティ専任の人材育成であれば、IPAが公開するITSS(ITスキル標準)+(プラス)において、職務に応じたセキュリティ分野とその関連するタスクが明示されています。またJNSA(NPO日本ネットワークセキュリティ協会)が公開するSecBok2021においては、セキュリティ分野の役割に応じて必要となる知識とスキルが明示されています。

ビジネス部門毎に考えるべき「プラスセキュリティ」な人材像

「プラスセキュリティ」な人材育成は、DX推進やサプライチェーンの運営が如何にセキュアな環境でビジネスを推進出来るか、を目的にします。その為には、実行を担うビジネスユニット内の各部門が、戦略、業務、プロセスに基づき「プラスセキュリティ」な人材を育成すべきと考えられます。以下に、部門ごとの人材育成のポイントと人材像を整理しました。

  • 営業・マーケティング部門

    • サイバーセキュリティとして注視すべきポイント

      DX推進で必要不可欠となるデータの利活用から、社内システム/社外クラウドサービス等の利活用。

    • 「プラスセキュリティ」な人材像

      ビジネスプロセスにおいて影響のあるサイバーリスクの洗い出しからその評価までを行う。

  • システム企画、開発、運用部門

    • サイバーセキュリティとして注視すべきポイント

      DX推進を問わないシステム構築の企画、開発から実装、運用の各段階におけるサイバーリスク。

    • 「プラスセキュリティ」な人材像

      セキュリティバイデザインによる企画・開発段階におけるサイバーリスクの洗い出しからその評価、セキュリティ機能の実装とインシデント発生の対応までを行う。

  • 生産・製造部門

    • サイバーセキュリティとして注視すべきポイント

      スマートファクトリー等オープン化されるサプライチェーンのプロセスにおけるサイバーリスク。

    • 「プラスセキュリティ」な人材像

      サプライチェーン全体の運用に向けたサーバーリスクの洗い出しと評価までのセキュリティ管理。

  • リスク管理・監査部門

    • サイバーセキュリティとして注視すべきポイント

      全社的に組織を横断した資産、業務プロセス上のサイバーリスク。

    • 「プラスセキュリティ」な人材像

      リスク管理施策、BCM/BCPに対するサイバーエリアのリスクの洗い出しから評価・管理施策の実行、及びビジネスユニットにおけるサイバーセキュリティ実施の支援を行う。

総じて言える事は、部門毎の戦略から方針、業務とプロセスの中でサイバーリスクを洗い出し、それらリスクに対するセキュリティ管理業務を行う事が、「プラスセキュリティ」な人材のビジネスをリードする部門内における立ち位置であると考えられます。

また、そのようなセキュリティ管理業務は、セキュリティ選任部隊が担うことなく、あくまでもビジネスユニット側でビジネスを熟知する人材が担う事で、DX推進やサプライチェーン・マネジメントの本来の目的であるビジネス推進に繋がる事と考えられます。

執筆者
安元正和 Yasumoto Masakazu
トレンドマイクロサイバーセキュリティ・イノベーション研究所
セキュリティナレッジ&エデュケーション・センター
センター長