企業が抱える問題 3

不足するセキュリティ人材

少し前の資料になりますが、2013年11月6日に内閣官房情報セキュリティセンターが「情報セキュリティ人材育成に係る現状と今後の検討課題について」という資料を発表しました。

情報セキュリティ人材育成に係る現状と今後の検討課題について

その中で、下記のように、セキュリティ人材の不足数を具体的に発表しています。

情報セキュリティ人材の不足解消に向け、積極的な取組が必要
(国内における情報セキュリティに従事する技術者約26.5万人のうち、
約16万人が質的に不足、さらに約8万人が量的に不足)

企業においてもセキュリティ人材不足は深刻で、「現状、企業等においては、情報セキュリティ人材は、量的にも質的にも強い不足感。」「情報セキュリティ技術者の人数もスキルも足りていると感じている企業等は、全体の4分の1に満たない。」と記載されています。

この当時、すでに、セキュリティ人材不足を解消するために、教育機関も様々な取り組みを始めていました。

大学によっては、セキュリティ専門課程を新設したり、MBAコースの中で選択科目として「ネットワーク時代のセキュリティとガバナンス」や「情報セキュリティ」などを開講したりしていました。

その後、2016年6月10日に、経済産業省の商務情報政策局 情報処理振興課から「IT人材の最新動向と将来推計に関する調査結果」という資料が公表されました。

IT人材の最新動向と将来推計に関する調査結果

その中では、2016年現在の情報セキュリティ人材の数は、約28万人とされ、2013年より1.5万人増えています。その一方、情報セキュリティ人材の不足数は約13万人とされ、慢性的にセキュリティ人材が不足していると述べています。

さらに、今後、セキュリティ人材は確かに増えていくものの、それを上回るスピードでセキュリティ人材のニーズが高まるので、2018年では16万人の不足、2020年には19万人の不足が見込まるとされています。

この報告の中で、セキュリティ人材不足をより詳細に把握するために、『「自社向け」の業務を担当するユーザー企業の人材』と、『「社外向け」の業務を担当するセキュリティベンダーやITベンダーの人材』に分けたアンケート結果を公表しています。

この場合の「ユーザー企業」とは、自動車会社や小売業など、セキュリティサービスやITサービスを「受ける側」の企業のことです。

『「自社向け」の業務を担当するユーザー企業の人材』とは、それら自動車会社や小売業における、社内の「部署横断、全体的な情報セキュリティ対策の統括者」や「部署内の情報セキュリティ管理者」のことを指します。

その結果によると、約50%の企業が、「自社向けのセキュリティ対策の携わる人材」の不足感があると回答して、「必要人数は確保できている」と回答した企業は約25%でした。

その一方、『「社外向け」の業務を担当するセキュリティベンダーやITベンダーの人材』については、『自社向けのセキュリティ対策の携わる人材』よりもさらに不足感が認識されています。

この場合、『「社外向け」の業務を担当するセキュリティベンダーやITベンダー』とは、セキュリティサービスやITサービス(システム開発やネットワーク構築など)を自動車会社や小売業など会社に「提供する企業」のことです。

それら『「社外向け」の業務を担当するセキュリティベンダーやITベンダー』企業でも、「検査・監査系業務」や「コンサルティング系業務」を担当する人材の不足感が強く、60%以上の企業が「多少の無理をすれば、どうにか回すことができる程度の不足」と回答しており、高度なセキュリティ対策を担える人材の不足感が浮き彫りになりました。

さらに社外向けの情報セキュリティ人材の量的な不足の原因をたずねた結果を見ると「募集をしても必要な経験やスキルを有する応募者が少ない」との回答が最も多く、企業側のニーズと応募人材の間でのミスマッチが生じていることがわかりました。

具体的に、どのようなセキュリティ事故、攻撃に対応できる人材が求められているのかを知るために、どのようなセキュリティ事故、攻撃が発生しているのかを知る必要があります。

2010年から2013年の4年間を取り出してみても、日本の名だたる企業が被害にあっています。原子力、宇宙航空、重工業など万が一事故が起これば、多数の死者が出ることが予測される分野の企業が目立ちます。

出典: 情報セキュリティ⼈材育成に係る現状と 今後の検討課題について

ただ、それぞれの事故、攻撃の内容を見ていくと、OSやアプリケーションの脆弱性をついた攻撃、標的型攻撃によるものであるとわかります。

これらは、OSやアプリケーションを継続的にアップデートして脆弱性を除去し、ウイルスが潜入した際の内部からの攻撃を想定した対策を講じておくことで、被害を大幅に低減することが可能でした。それほど高度なセキュリティ知識がなくても防げた例が多いのが特徴です。

このように、企業内で増え続けるパソコン、サーバなど、OA機器を適切に管理できるセキュリティ人材が慢性的に不足しており、それが重大事故のつながるケースが増えております。