情報通信研究機構 園田氏に聞く情報セキュリティBCP(3)
「セキュリティBCPの実装には人材確保と訓練が不可欠」
機能するセキュリティBCPには人材育成が不可欠
セキュリティBCPを機能させるためにはどのような組織や人材が必要になるのでしょうか。
まず、企業・組織内に横断的な体制と技術者が必要です。理想は企画開発やシステム運用担当者、監視担当者などの技術者が一通りそろっていることです。
人事担当者も重要な役割を担います。なぜなら、腕のよい技術者を採用し、能力を評価し、組織に定着させる諸施策を図るには人事担当者の「目利き」が求められるからです。私の知る限りでは、技術者は社内で課せられる使命とその評価に乖離があることに不安・不満を持つ傾向にあります。人事がこれらを払拭できれば、組織への定着向上はもちろん、万が一の際にセキュリティBCPチームもうまく機能するでしょう。
しかし、セキュリティBCPを考える上でボトルネックにもなるのがこの「人材の確保」です。現在はとにかくIT技術者そのものが世界的に不足しています。その中でも、セキュリティの技術者が一番不足しています。転職サイトの求人倍率を見たらたぶん驚くはずです。コロナ禍で求人倍率が1倍を割る業界・分野が増える中、IT技術者だけ4倍以上といった時期もありました。今は新型コロナの感染拡大防止影響もあってオンラインショップなども隆盛です。そうなると技術者が必要です。その中でさらに優秀な技術者は引く手あまたになっていく、という構造です。
こうした観点を踏まえると、外部からセキュリティに詳しい技術者の採用は、多くの企業にとって難しいでしょう。むしろ「育てる」ことに重きを置く方が現実的ではないでしょうか。企業や組織の中には、情報システムを管理する人は少なくとも1人はいてほしい。もし、そういう方がいるならその方を鍛えるのが一番早い。
経営側は、技術者をきちんと評価する仕組みづくりに注力すべきです。例えば、営業や生産に役立つシステムをつくったりメンテナンスしたりする人は利益につながるので評価されがちです。しかし、直接的に利益を上げないセキュリティの機器がコスト(経費)としか見られないように、セキュリティに関する技術者もコストとしか見られない傾向があります。そのような環境ではモチベーションが上がらないのは当然で、人材の流出・逸失にもつながります。
セキュリティをコストでなく、投資と捉える経営の意識も重要ですね。
そうですね。経営者や評価をする上長の意識も変えていく必要はあるでしょう。難しいのは普通のITトラブルも同じなのですが、セキュリティも「ちゃんと動いて当たり前」「何もないことが普通」と考えられがちで、そこが崩れると叱責されることにもつながるわけです。そうではなく、「本当だったら大変な事態になっていたのにこの程度で済んだ。そのためにこの人が活躍している」といった評価をしてほしいと思います。同時に、その人たちを鍛えることに積極的に投資してほしいと思います。
例えば、セキュリティに関する研修や講習会、カンファレンスへの参加も、現在はオンラインで受けることも可能で、参加費もオンライン化によって以前より敷居が低くなっています。海外で開催されるものにも渡航費用などをかけずに参加できますから、時差を考慮して勤務時間をシフトさせるなどの施策も可能でしょう。こうしたフォローアップをするだけでも技術者のモチベーションは全然違ってきますし、確保しにくい技術者が「この職場はよい職場だ」と思ってくれることにもつながるはずです。
機動的な組織体制の確保という観点からは、情報通信研究機構(NICT)の実践的サイバー防御演習「CYDER(サイダー)」もぜひ活用してください。セキュリティのインシデントはやはり異常事態です。その中でどう動くかを養うには訓練しかありません。
例えば、災害を想定した避難訓練は避難を円滑にするために定期的に実施します。飛行機に乗る時も搭乗後に緊急時の避難についてレクチャーがあります。何度も見ている人でもそのレクチャーを毎回見ているのと見ていないのでは万が一の際の対応のスムーズさが違う、との研究結果もあります。機動性の担保という観点からも訓練が重要です。訓練の際にも、毎回同じパターンだったら気を抜きますから、違うシチュエーションを入れながら訓練するといった工夫しながらの反復的な訓練が大事です。それが「いざというとき」の動きに影響すると思います。
どのような組織・企業であってもサイバーリスクに直面する時代
繰り返しになりますが、「体制づくり」は重要な視点ですが、体制づくりありきでは「心理的に構えてしまって取り組まない」ことにつながりかねません。少人数の組織・企業では、その時点でもう皆さんの心のシャッターが下りてしまう。最初は、「今いる人たちで訓練。緊急避難をどうするかをまずやるんだ」くらいでいいかなと思います。攻撃の手法もパターンも多様化していますので、とにかく動きながら学ぶことが大事です。
中小企業も大きなセキュリティのリンクであるサプライチェーンの一翼を担う中、ウィーケストリンク(連載第1回)になりがちな中小企業が狙われる事例も増えています。攻撃者たちは、対策の甘いであろう中小企業を経由して上流工程にある大企業を狙っています。例えば、自動車会社と部品メーカーの関係性であったとして、情報シェアとか、シナジー効果を出すために連携を強めたことを悪用して、攻撃者が中小企業を踏み台にサイバー攻撃を仕掛けるわけです。
どんな企業であっても狙われるし、対策の実施や万が一の体制がしっかりしていないと取引の停止や損害賠償をはじめとしたさまざまなリスクを被ることになります。「踏み台」になった場合はそれが証明されれば加害者として責任を追及される可能性もあります。
だからこそ、リスクは身近にあると正しく認識して、セキュリティBCPの構築をコストでなく、投資として捉えていく経営側の意識改革も大切です。
連載:情報通信研究機構 園田氏に聞く情報セキュリティBCP
- 【1】「サイバーリスクから経営を守る『セキュリティBCP』」
- 【2】「経営資源の洗い出しがセキュリティBCPの勘所」
- 【3】「セキュリティBCPの実装には人材確保と訓練が不可欠」
国立研究開発法人情報通信研究機構(NICT)
ナショナルサイバートレーニングセンター長
園田 道夫(そのだ・みちお)氏
中央大学大学院工学博士課程修了。博士(工学)。2003年よりNPO日本ネットワークセキュリティ協会(JNSA)非常勤研究員、2004年より独立行政法人情報処理推進機構(IPA)非常勤研究員、経済産業省、IPA主催セキュリティ・キャンプ実行委員・講師等として携わる。2007年4月より、サイバー大学IT総合学部准教授、2007年より白浜サイバー犯罪シンポジウム危機管理コンテスト審査委員、2012年よりSECCON実行委員(事務局長)、2014年4月サイバー大学IT総合学部教授(2017年退官)、2016年 国立研究開発法人情報通信研究機構セキュリティ人材育成研究センター長等を経て、2017年同機構ナショナルサイバートレーニングセンター長として、現在に至る。
※役職は記事公開時点のものです。
コンテンツ本部ソリューション1部
平野 優介(ひらの・ゆうすけ)
記者・編集者・防災士。中央省庁関連書籍の担当を経て、2011年3月より地方行政の総合誌「ガバナンス」の記者・編集者を担当。(公財)後藤・安田記念東京都市研究所の「東日本大震災に関する資料リスト」には、自ら企画した特集およびインタビュー記事が所蔵される。その後、税務分野の月刊「税理」副編集長に就任。2017年9月、日経BPコンサルティング入社。日本ユニシス「Club Unisys」など各種Webメディア編集、周年事業センターのコンサルタントを経験。現職に至る。