DX時代「セキュリティ人材」を持たない企業は死滅する

DX時代「セキュリティ人材」を持たない企業は死滅する

  • 現代ビジネス
  • 更新日:2019/11/20
No image

もはや他人事ではない

「セキュリティが分かる人が足りない」と言われて久しい。そして、様々な組織のITシステムやサービスで、サイバー攻撃による被害が発生したとの報道は後を絶たない。

No image

photo by gettyimages

例えば、7Payが、サービスを開始した翌日から大規模なサイバー攻撃を受け、合計で約4000万円もの金額が不正利用されたことは、まだ記憶に新しいところだろう。また今年7月には、米国の金融サービス大手であるキャピタル・ワンが、約1億人分の個人情報が外部からの不正アクセスにより侵害されたと発表している。これは金融機関における情報漏洩としては過去最大規模だ。

今や、サイバー攻撃は大企業や政府機関、特定の組織のみがターゲットとなるわけではなく、あらゆる組織、そして個人が狙われる時代である。例えば、感染したコンピュータ上のあらゆるデータを暗号化して使用できなくした上で、利用者に対して解除するための身代金を要求する攻撃では、より多くの身代金を得るために、攻撃者は不特定多数を対象として、より多くの攻撃を仕掛けている。

また、注目されている攻撃の一つに、企業のサプライチェーンを狙った攻撃がある。これまでのサイバー攻撃では、ターゲットとなる組織が直接攻撃されていた。しかし、大企業や政府機関などではセキュリティ対策への取り組みが進んだことから、攻撃者は対策が手薄でセキュリティが甘い取引先や子会社、関連会社などを突破口としてサプライチェーンを経由し、本来のターゲットである組織に攻撃を行うのである。

つまり、自組織のセキュリティ対策が不十分であると、自身が被害に遭うだけでなく、複数の重要な顧客にまで被害を波及させてしまうこととなり、そのダメージは計り知れない。

「DX」って何?

さらに、これからはデジタルトランスフォーメーション(DX:デジタルテクノロジーを使い、人々の生活をより良く進化させること)がより一層浸透することにより、高度なデジタル技術を活用した、新たなビジネスモデルによるサービスが多数実現されることになる。従来の効率化・省力化・高速化などを主な目的としたシステムやサービスとは異なり、これからのデジタルサービスは、自社のビジネスの成否に直結していくため、万が一、セキュリティ侵害を受けた場合には、その影響はこれまで以上に大きなものになる。

だが一方で、従来のセキュリティ人材のスキルや知識では、DX時代のサイバー攻撃には十分に対応しきれないのではないかと懸念されている。なぜなら、どのようにシステムを守るかといった視点だけではなく、活用することを前提として、データやビジネスモデルまでを含めてどのように守るかといった視点も必要となってくるからである。

つまり、セキュリティ人材の不足は、今後DXを推進する上での喫緊の課題であり、すぐに手を打つべき問題なのである。セキュリティ人材が見つからないからとサイバー攻撃の脅威を前にDXの実現を遅らせれば、市場における競争力の低下は必至で、自社のビジネスに多大な悪影響を与えかねない。

20万人足りない

ではセキュリティ人材は現状どのくらい足りていないのであろうか。2016年の経済産業省による調査結果※1においては、セキュリティ人材の数は2016年の時点で28万人と推定され、その当時で13.2万人と大幅に不足していると報告されている。さらに、これは一過性のものではなく、2020年には不足人数が20万人まで拡大すると言われている。

No image

photo by iStock

次に、不足しているセキュリティ人材の内訳を見てみよう。先程の調査結果では、IT企業に所属している人材で5000人、ユーザ企業の情報システム部門に所属している人材で4000人、それぞれ不足していると示されている。つまり、IT企業やユーザ企業において、セキュリティ業務を専門に実施している人材はそれほど不足している感じはない。

ユーザ企業の情報システム部門以外の事業部門においてはどうだろうか。事業を行うためにITを利用する中でセキュリティを確保できる人材については、31.7万人必要とされているが実際にはその内の19.3万人しか存在しておらず、12.4万人不足しており、これは必要数の6割しか満たせていないことになる。

こういった、必ずしもセキュリティ業務を専門としていないが、日々の業務の中でセキュリティの管理や対策を行う人材は、プラスセキュリティ人材と呼ばれている。DX全盛時代においては、情報システム部門だけでなく、事業部門が自らのビジネスに直結したサービスやシステムの開発や運用に関わることになることから、組織にとって獲得がより重要かつ急務なのは、このプラスセキュリティ人材なのだ。

※1 経済産業省「IT人材の最新動向と将来推計に関する調査結果」(平成28年6月)

育成方法がわからない…

では、セキュリティ人材、とりわけプラスセキュリティ人材を育成するにはどうすれば良いだろうか。それにはまず課題が大きく2つある。

1つ目の課題は、セキュリティ人材に必要なスキルセットが多様なことである。セキュリティ人材が関与する分野は益々広がっている。今から20年ほど前までは、セキュリティと言えばコンピュータのOSやネットワーク、いわゆるIT基盤において考慮すべきものが中心であった。その後、Web技術の発展とともに、アプリケーションプログラムの部分においてもセキュリティを考慮しなければならなくなった。

2005年頃、SQLインジェクションと呼ばれる攻撃方法が流行し、多数のWebサイトにおいてサイトの改ざんや情報漏洩が発生した。この様に、アプリケーションをどの様に実装すれば安全なのかといった点についてもセキュリティ人材は理解する必要がある。そして今では、これらに加えてデータやビジネスロジックなどの部分においても、セキュリティを考慮する必要が出てきている。例えば個人の購買履歴を分析し、マーケティングや商品開発等に活用するためには、個人情報の適切な取り扱い方に関する知識が不可欠である。

実際に対応できるか

2つ目の課題は、これが最大の課題なのだが、実際のサービス開発や運用の現場で本当に役に立つセキュリティ知識やスキルをどのように身に付けるかである。サイバー攻撃とは具体的にどの様なものなのか、目の前で発生したサイバー攻撃にどの様に対処すれば良いのか、知識として頭で理解するだけでなく、実際にインシデント対応などの現場を経験することによる実感として得られる経験値は非常に大きい。

攻撃者も常に自らの攻撃技術に磨きをかけているから、当初の想定とは全く異なることも起こる。過去の知識や経験だけでは不十分であり、対応する側も常に自らの知識や経験をアップデートしていく必要がある。しかし当然のことながら、いくら経験蓄積に繋がるといっても実際にサイバー攻撃など受けないに越したことはないし、また、なにより被害も受けずにOJTとなるような条件の整った都合の良いサイバー攻撃など、期待する方が無理というものである。

以上の課題を考慮すると、セキュリティ人材、特にプラスセキュリティ人材を育成するためのポイントは、(1)スキルの見える化と、(2)実体験による経験蓄積にあると言えるだろう。DX全盛時代においては、ユーザ企業のプラスセキュリティ人材が、IT企業のセキュリティ専門人材の力を借りながらも、自社のビジネスやサービスを「自ら守る」ことができるように、人材を育成し、配置することが重要ではないだろうか。

2つの視点が必要

具体的にどのように施策化すれば良いのだろうか。

まず、(1)スキルの見える化であるが、例えばNTTデータグループでは、様々な人材タイプに応じた独自の認定資格制度にセキュリティ人材を設定し、4段階のレベルと、各レベルを達成するための基準を定義している。これにより、自身の力量レベルと不足要件を把握でき、効果的に育成が図られている。

もう一つのポイント、(2)実体験による経験蓄積を実現するために、今後期待できる有望な方法として注目を集めているのがTLPT(Threat-Led Penetration Test)だ。これまでは米国などを中心に主に大手金融機関において活用されてきた手法で、日本語では「脅威ベースのペネトレーションテスト」と呼ばれる。簡単に言うと、攻撃担当と防御担当にチーム分けして疑似攻撃を実施する、従来よりも高度なセキュリティ診断方法である。

これまでのセキュリティ診断は、主にシステムの基盤部分やアプリケーション部分についてセキュリティ上の不備や脆弱な点がないかを網羅的に確認するものであったのに対し、TLPTは、網羅的に不備を確認することが目的ではなく、組織として「最も避けたいリスク」に対してどの程度の耐性があるかを確認することを目的としている。

また、組織全体としてセキュリティ対応状況に不備がないかを確認できる点についても違いがある。レッドチームと呼ばれる高度な技術をもった技術者が行う擬似攻撃に対して、ブルーチームと呼ばれる攻撃の検知・対応を行うチームのメンバとしてプラスセキュリティ人材(の候補者)が参加すると、擬似的とはいえ最新の脅威シナリオに基づいた現実に近い攻撃を経験することになる。

使えるセキュリティ人材は、今や机上の学習だけでは育たない。力量の厳しい客観的評価と生々しい攻撃者目線を経験することで、実践スキルを向上させ、知識と経験に基づいた判断力を養う必要があると考える。

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

IT総合カテゴリの人気記事

グノシーで話題の記事を読もう!
12月のAndroidセキュリティアップデートがはじまりました!
冷蔵庫なら20時間、大画面テレビなら15時間以上動かせる!災害時に大活躍間違いなしの大容量126万mWhポータブル電源「EFDELTA」
世界初 魚雷迎撃魚雷「シースパイダー」あらわる 潜水艦と水上艦の戦い 変わるのか?
2.5インチ?3.5インチ?ハードディスクを購入する際のポイントとは?
距離や傾斜を測定できるデジタルツール「PANFEE V1 Pro」は水平器機能も搭載!
  • このエントリーをはてなブックマークに追加