人材不足の現状に企業はどう向き合うべきか全社横断で取り組む新しい時代のセキュリティ対策

金井

「SKYSEA Client View」はセキュリティ強化につながる機能を多数搭載しており、それをユーザーの皆さまに最大限活用していただきたいと考えています。しかし、多くの企業でセキュリティに携わる人材が不足している上に、情報システム部門は通常業務に追われてセキュリティ対策まで手が回らないのが現状です。

中西氏

ソフトウェアを導入してセキュリティを強化するなら、設定や運用を担う人材が必要ですよね。DXの流れもあって民間企業の「情報化投資」は年々増加していますが、お金をかけて製品を導入しても、適切な運用がされていなければ投資した分の効果は実感できないでしょう。それどころか、担当者不在により脆弱性が放置されるような事態に陥れば、サイバー攻撃の被害に遭いやすくなる“弱点”を増やすことにつながりかねません。

金井

デジタル化の急進で需要が高まるなか、セキュリティ人材が増えない原因の一つは、正当なポストが用意されていないことではないでしょうか。採用しようと求人を出しても応募がない、社内で育成するにも育てる人がいない。そうした現状の背景として「セキュリティに関する知識やスキルを身につけても、十分な評価が得られにくい」という声がシンポジウムでも多く聞かれました。

中西氏

そもそも情報システム部門の業務が経営層や他部門の従業員から見えにくく、評価につながっていないのではないかと思います。トラブルなくシステムが稼働している状態が“当たり前”と捉えられがちですが、実はそうではありません。

今はあらゆる業務がIT化されているといっても過言ではありませんから、サイバー攻撃などでシステムが止まれば、事業の存続が危ぶまれる可能性もあります。セキュリティ対応を含め、情報システム部門の技術は今後もっと評価されるべきです。

金井

経営層がセキュリティ人材の必要性を理解し、採用や育成に取り組もうとしても、絶対数が少ないために人材の取り合いになってしまいます。解決するには人材の発掘や育成以外にできることを探さなければなりません。

中西氏

私は、NISC（内閣サイバーセキュリティセンター）が推奨している「プラス・セキュリティ」を取り入れるのが効果的だと考えています。これは、事業部門や管理部門の従業員にもセキュリティの知識を習得してもらい、情報システム部門と協働できるようにするという施策です。セキュリティ専門の人材を一から育てるのではなく、実際にシステムを利用している従業員にセキュリティの知識やスキルを学んでもらいます。

金井

情報システム部門が業務過多で逼迫している企業も多いと聞きますから、その負担を減らすという意味でも効果がありそうですね。例えば、SaaSの導入時は「SaaS向けSLAガイドライン」（経済産業省）を参考に自分たちでも安全性をチェックするなど、すべてが情シス任せにならないようにしてほしいと思います。

中西氏

特に重要なのは、自分たちの業務において、どこにどんな脅威があるかを知っておくことです。ランサムウェアなどによる被害を他人事にせず「システムが止まったらどう対応するか」「システムのバージョンは誰が管理するか」と具体的に対策をイメージしてもらいましょう。

金井

セキュリティ対策にいくらお金をかけても、運用できる人が足りなければいざというときに機能しない可能性があります。実際に事業を動かしている部門の従業員がセキュリティ知識を学び、有事の際もスムーズに対応できるような体制を築いておくことが大切ですね。

中西氏

サイバーセキュリティお助け隊（IPA：独立行政法人情報処理推進機構）や地域の商工会議所、日本シーサート協議会など、いざというときの相談窓口を確保しておくことも有効です。

中西氏

「プラス・セキュリティ」を取り入れると有効なポイントがもう一つあります。それが、サービスにおける仕様上の脆弱性を見つけやすくなること。仕様上の脆弱性とは、例えば同一人物が大量にアカウントを発行し、初回登録クーポンを何度も窃取する行為や、返品時にポイントが減算されない仕組みを利用したポイント窃取などです。

金井

そうした悪意ある行為は、システムの抜け穴を突いて人間が行っているわけですから、自動のセキュリティ診断だけで防ぐのは困難でしょうね。また、故意ではない人的ミスによるトラブルも考慮しなければなりません。連日報道されているマイナンバー関連のトラブルでも「操作端末のログインし忘れ」で個人情報の誤登録が起きました。

中西氏

その対策として、リスクチェックを行う「DSIRT / SSIRT（Digital Service SIRT）」などの専門組織を置いている大企業もあります。しかし多くの企業ではそこまでできませんから、「プラス・セキュリティ知識」を身につけて「こういった悪用・ミスが起こりうる」とリスクベースで事業を判断する人材を育成するのが有効なんです。

事業を守るには「セキュリティの専門家を増やす」よりも、まずは「セキュリティに興味がない人を減らす」という視点が重要です。

金井

セキュリティ対策に必要な人員を自社内でまかなうのが難しい場合は、アウトソースするという手段もあります。しかし、事業に関わる判断や対応は外部に委託できませんし、結局は自社内にもセキュリティの知識を持っている人材が必要ですよね。

中西氏

おっしゃるとおりで、「何をどこまで委託するか」「委託先の提案は適切か」などは自社内で検討しなければなりません。さまざまな部署、役職にまたがる施策になるので、経営者自身がその必要性に気づき、トップダウンで進めていくことが肝要です。

金井

セキュリティを推進するにあたって、経営層や他部門の従業員からなかなか理解を得られないといったお悩みも耳にします。セキュリティ担当者が意識すべきことはありますか？

中西氏

最近よくお伝えしているのが、NIST（米国立標準技術研究所）が発表した、サイバーセキュリティ戦略にありがちな6つの落とし穴です。

中西氏

この記事では、セキュリティ担当者がユーザーである従業員から理解を得るために避けるべき姿勢や手法が示されています。例えば「ユーザーが無知であると思い込む」「罰則措置や否定的なメッセージでユーザーを従わせようとする」「ユーザー中心の効果測定ができていない」などが陥りやすいポイントとして挙げられていました。セキュリティを普及させたいなら、従業員と良好な関係を築いて協力し合う必要がありますから、この6つには気をつけたいですね。

Ｓｋｙさんでは従業員に向けたセキュリティ知識の落とし込みをどのように行っていますか？

金井

弊社では毎年、全社員を対象にセキュリティ研修を実施しています。どの職種の社員にとってもわかりやすいよう実際の事例を紹介するようにしており、それを毎年更新して同じ内容の繰り返しになるのを避けています。

中西氏

研修する側は内容を毎年使い回したくなりますが、テーマを変えたりグループワークを取り入れたりと変化をつけて参加者を飽きさせないようにするのは効果的ですね。

金井

私たちメーカーとしては、製品をより有効に活用していただくためにも、情報システム部門の皆さまの負担を減らす工夫をしていかなければなりません。

中西氏

弊社もエンドポイントセキュリティ製品「FFRI yarai」をはじめ、開発している製品の改良を重ねていく必要があると思っています。「アラートが上がっても対応できる人がいない」というような事態を避けるべく、自動で処理できる範囲を広げるなど、より手軽にセキュリティ強化に取り組める機能を提供して皆さんのサポートをしていきます。

金井

ランサムウェア被害が大きく報じられるようになり、以前よりは経営層の方にもセキュリティの重要性が認識され始めました。「セキュリティを強化したい」「サイバー攻撃から事業を守りたい」という気持ちはおそらく全員が持っていらっしゃるはずですから、組織を動かす原動力になるのではないでしょうか。

中西氏

この機会に、事業部門や管理部門、経営層の方々も巻き込んでセキュリティ対策に取り組んでいただきたいと思います。“セキュリティを高めるため”ではなく、“事業を守るため”に向き合うべき課題です。

金井

メーカー側は技術革新に努める一方、お客様にはぜひセキュリティ人材の育成に注力いただき、製品を最大限ご活用いただければと思います。