- 2021/01/14
- セキュリティ
ますます深刻化する「セキュリティ人材不足」、解決の糸口はあるのか?
Post by : Sean Mooney
ますます深刻化しつつある「セキュリティ人材不足」の問題
2020年10月12日から26日にかけて、弊社のメールマガジン購読者を対象に「セキュリティ対策に関するアンケート」と題したアンケート調査を行いました。本調査は、巧妙化するサイバー攻撃やワークスタイルの変革に伴い、従来型のセキュリティ対策からの脱却が求められる企業・組織のセキュリティ対策状況の実態を調査する目的で実施しました。
多岐に渡る質問項目を用意し、「インシデント発生時の体制」「セキュリティにおける課題」「セキュリティ対策の取り組み状況」「セキュリティ対策製品の導入状況」といったテーマごとに複数の質問項目を設け、それぞれ回答を募りました。
その結果、企業のセキュリティ対策の実態や傾向について、大変興味深い示唆が得られました。弊社のメールマガジンの読者は情報セキュリティに対する意識が高い方が多いと思われますが、それでも本アンケートでは全体の73%の組織にセキュリティ専任の部門がなく、情報システム部門など他部門が兼務しているとの結果が出ました。また54%の組織ではSCOやCSIRTが設けられておらず、60%の組織はCSOやCISO、サイバーセキュリティ先任者がいないという調査結果も得られました。
しかし本アンケート調査で最も顕著な傾向として表れたのが、セキュリティ人材不足に対する危機感でした。「あなたの組織はサイバーセキュリティの人材を十分に確保できていると思われますか?」という質問に対して、実に91%もの回答者が「いいえ」と答えています。また同様に、「あなたの組織がセキュリティ面で課題があると思われるポイントは何ですか?(複数回答可能)」という問いでも、飛びぬけて回答数が多かったのが「セキュリティ人材の不足」でした。このことから、現在多くの企業においてセキュリティ人材不足の問題が関係者の間で深刻に受け止められている、あるいは既にかなり深刻化しつつあることがうかがい知れます。
外部のアウトソーシングサービスの活用が人材不足解消の鍵
経済産業省では、「2020年時点で20万人のセキュリティ人材が不足する」と試算しています。また2021年には東京オリンピック・パラリンピックを控えているため、日本国内の企業や組織を狙ったサイバー攻撃の急増が予想されており、セキュリティ人材不足の問題がさらに深刻化する恐れがあります。
当然、国もこうした状況をただ傍観しているわけではありません。内閣府や総務省、NISC、IPAなどが中心となってセキュリティ人材の育成に力を入れており、また民間のセキュリティ機関や企業の中にも人材育成に積極的に取り組むところが増えてきました。しかしこうした努力にもかかわらず、実際には人材の需要に対してなかなか供給が追い付いていません。
そのため、企業が自社のセキュリティ対策強化のために人材を雇用しようと思っても、思うように適任者を見つけることができません。それではと、自社で独自にセキュリティ人材を育成しようと思っても育成のノウハウがなく、またセキュリティ人材にふさわしいポストやキャリアパスを新たに用意するのも現実的には困難です。その結果、前項で紹介したアンケート調査でも示された通り、多くの企業がセキュリティ人材の慢性的な不足に悩まされています。
この問題を解決するには、すべてのセキュリティ対策を自社でまかなおうとするのではなく、外部ベンダーが提供するアウトソーシングサービスをうまく利用しながら人材不足を補っていく必要があります。外部のセキュリティベンダーには高いスキルと知見を持つ人材が集まっていますから、そうしたベンダーに自社のSOC運用などを任せることで、たとえ自社でセキュリティ人材を十分揃えることができなくても高いレベルのセキュリティ対策を実現できるようになります。
EDR製品を使った監視作業を開発元が自ら代行する「MSS」
ちなみに弊社でも、お客様に代わってセキュリティ監視作業を行う「MSS(Managed Security Service)」というサービスを提供しています。これは、主に弊社のEDR製品「Cybereason EDR」を使った監視作業を代行するもので、お客様の環境内に設置されたCybereason EDRから上がってくるアラートの内容を弊社の分析官が逐次解析し、その深刻度を判定したり具体的な対策方法をお客様に提示します。
EDR製品から上がってくるアラートの内容を的確に解釈するにはある程度以上のスキルやノウハウが必要になるため、この作業を製品の開発元が自ら行うことでお客様の負担を大幅に減らし、ひいてはセキュリティ人材不足の問題解決のお手伝いができると考えています。
実際のところ、こうしたメリットが高く評価された結果、Cybereason EDRを採用されたお客様の大半が同時にMSSも導入しています。EDRのような高度なセキュリティ製品の導入効果を十分に引き出すには、やはり専門的な知見を持つ人材がある程度の手間を掛けて運用する必要があります。そのため自社で人材を確保できない場合は、後々人材不足で悩まされないよう、先ほど紹介したMSSのようなサービスが利用できるセキュリティ製品をあらかじめ選んでおくことが肝要です。
