サイバーセキュリティ最前線 サイバーセキュリティ人材を効率的に戦力化する方法

日本におけるサイバーセキュリティ人材の不足については従来から課題として指摘されており、ISC2によれば、2023年における日本のサイバーセキュリティ人材の供給数は48万人で、11万人が不足していることが示されています（海外でも同様の状況が発生）。

2022年と比較しても、上図のように不足状況は拡大しており、人材不足が国内を含め世界的に深刻な状態にあると言えます。

経済産業省の「サイバーセキュリティ体制構築・人材確保の手引き」^＊2には、人材を新たに確保するための方法がいくつか示されています。

• リスクマネジメントや経営管理、ITの管理・運用に関する業務経験を有する人材の配置転換および育成
• セキュリティ対策関連の業務経験を有する人材の中途採用
• セキュリティを専門とする教育機関を修了した人材の新卒採用
• 兼業や副業で従事する人材の活用

人材確保以外にも、業務のアウトソース、既存業務の自動化、事業の精選などにより省力化を図るといったことも考えられますが、業務のアウトソースは自組織にノウハウが残らないことが多く、機微情報を取り扱ったり、組織としての説明責任を果たしたりする業務については適用すべきではない点に留意が必要です。

複数の文献を見ても、短期間で育成可能といったことは書かれていません。また「○○年間、当該業務や教育に習熟すれば十分」といった目安となる育成期間についても記述されていないことが多いです。この理由としては、次のようなことが考えられます。

• 各組織における業務の目的や育成すべき人材像が異なる。
  ・営業部門と情報システム部門では、目指す領域が異なる。
  ・情報システム部門の管理者と実務者では、求める領域が異なる。
• 個々の業務従事者がすでに保有している知識やスキルが異なる。
• 各組織で将来を見据えたキャリアパスが異なる。

以上のことから、早期に育成する最良の方法は所属する組織や各人によってさまざまであり、「現状とあるべき姿のあいだのギャップを把握し、成長させる領域を選択すること」が、費用対効果の高い最短ルートと言えそうです。

人材育成については専門家が課題を分析しており、自組織で検討するにあたっては、次の文献が参考になるでしょう。

• 一般社団法人日本シーサート協議会（NCA）：CSIRT人材の定義と確保Ver.2.1^＊3
• 特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）：セキュリティ知識分野（SecBoK）人材スキルマップ2021年版^＊4
• 米国立標準技術研究所（NIST）：NICE Workforce Framework for Cybersecurity（NICE Framework）^＊5

NICE Frameworkのキャリア開発手順のガイド^＊6を例にとると、大まかな流れは次の通りです。

1. （1）個人に適用する業務領域のカテゴリ、専門分野と職務の文書化
2. （2）各職務の習熟度をワークシートで評価
3. （3）職務において成長させる領域の把握と優先順位づけ
4. （4）職務に沿ったキャリア開発機会の特定
5. （5）サイバーセキュリティのトレーニング計画の策定

英語の文献になりますが、NICE FrameworkにCyber Career Pathways Tool^＊7というツールがあります。これは、各職務において必要な知識およびスキルの比較ができ、例えば、脆弱性診断士がインシデントハンドリングの職務を目指す場合、脆弱性診断士の経験がどれだけ活用できるかや、新たに学習しなければならない領域はどこかといったことを可視化できるようになっており、キャリアパス検討の一助になるかと思います。

成長させたい領域を特定したら、実現に向けた教育を自組織で実施するか、外部ベンダに委託するかのいずれかになりますが、外部ベンダに委託する場合にはいくつか課題があります。

• ベンダごとに教育内容・範囲に差異があり、体系的に学習するには（重複する内容を含め）複数の受講が必要になる可能性がある。
• 習得すべき知識およびスキルが高レベルになるほど、日本語化されたトレーニングが乏しく（「言語の壁」）、選択肢が限られる。

受講を検討する際は、費用対効果などを踏まえて、目的領域の成長が得られるかどうか十分な検討を行うことが望まれます。また、認定資格試験も体系的な学習のための選択肢と考えていいでしょう。無料で開催されるCTF（Capture The Flag）といったハッキングコンテストも（直接的な教育にはつながらないかもしれませんが）自身の力量を証明する場として活用できます。

情報処理技術者試験（国家試験）や各認定資格団体が、各種のセキュリティ認定資格試験を行なっており、認定資格保有者は一定水準の知識とスキルを有していることを証明できますが、一部に「業務との親和性が低い」といった声を耳にすることもあります。

認定試験は基本的にシラバス（講義概要）が定められており、団体ごとに濃淡はあるものの、習熟できる領域が明確です。体系的に知識やスキルを得るには有効な手段ですが、資格取得をゴールにするのではなく、業務への活用（応用）を念頭に置きつつ適否を判断し、人材育成の計画に組み込むようにしましょう。

サイバーセキュリティの領域においては幅広い知識とスキルが求められるうえに、テクノロジーの変化のスピードが速いことから、短期間で目的とする人材を育成することはむずかしく、理想のパフォーマンスを発揮するには常に学び続ける必要があります。その一環として、現状と目標を明確にして進むべき道を選択し、外部ベンダの講義や認定資格試験の受験などの機会を十分に活用して、人材育成活動の効率化・省力化を図っていただければと思います。

IIJセキュリティ教習所では、新たに開設した「攻撃技術理解・防御ASM基礎コース」を含め、4つのラインナップを提供しており、今後はこれらを拡充しつつ、より幅広いニーズに応えられるよう、内容を充実させていきたいと考えています。