米国におけるサイバーセキュリティ人材需要・供給「見える化」の参考例。(出典:アメリカ国立標準化研究所公式サイト)

内閣サイバーセキュリティセンター(NISC)は1日、サイバーセキュリティに関する経営者の意識改革や人材育成のあり方について有識者の検討結果を報告書案としてまとめ公開した。17日までパブリックコメントを募集し、今夏に策定される次期「サイバーセキュリティ戦略」に反映させる予定。

公開したのは「セキュリティマインドを持った企業経営ワーキンググループ報告書」 と「サイバーセキュリティ人材の育成に関する施策間連携ワーキンググループ報告書」の案。いずれも各テーマについて2017年から有意識者による検討会を行った結果をとりまとめたもの。

このうち「セキュリティマインドを持った企業経営ワーキンググループ報告書」の案は、2016年8月に公開した「企業経営のためのサイバーセキュリティの考え方」を基に内容を充実させたもの。国内外の企業におけるサイバーセキュリティ対策と情報開示・発信の現状を概観するとともに、今後の取り組みを進めていくための経営者層の意識向上や関与のあり方について課題や具体的方策を提示した。例えば、IoTやAIなどの技術が浸透するなかで、ものづくりがビジネスの根幹となる伝統的企業であっても、ビジネスの価値創出のためにサイバー空間との適切な関係を保ち、サイバーセキュリティを事業継続のコストという視点だけでなく、新たなビジネス創出のための投資と捉え直す考え方を提示している。また「サイバーセキュリティ人材の育成に関する施策間連携ワーキンググループ報告書」の案については、企業において育成すべき人材像の類型とそれぞれのキャリアパスを明確化。また各省庁や関連団体ですすめるサイバーセキュリティ人材育成施策について全体像を整理し、その連携策を検討している。

また経営層以外で今後サイバーセキュリティ対策に取り組む人材層として、「戦略マネジメント層」と「実務者・技術者層」の2つの層が必要と提案。「戦略マネジメント層」は事業継続と価値創造の両面からリスクマネジメントを担当。経営層の方針を踏まえた対策の立案や、実務者・技術者を指揮する。この層を担う人材には、ITやリスクマネジメントだけでなく、経営に関わる様々なマネジメントと一体でサイバーセキュリティの問題を捉えられるスキルが求められる。

さらに実務者・技術者層は、戦略マネジメント層の方針を技術・運用面で支え、必要なセキュリティ対策を企画・構築・実施する。必要に応じて外部のベンダーや業者への委託手続きも担う。この層を担う人材は、社内の情報システム部門での実地訓練や資格取得、また情報システム・情報セキュリティのベンダーで経験などのスキルが求められる。今後取り組むべき施策として報告書案では、戦略マネジメント層の育成に向けたカリキュラム・教材の開発、アメリカ国立標準技術研究所の取り組み(http://cyberseek.org)を参考に人材育成の需要と供給を見える化するためのツール開発、小中高など若年層からのIT・サイバーセキュリティ教育の充実などを挙げている。

次期サイバーセキュリティ戦略は今夏にも閣議決定する予定。前回2015年9月の閣議決定以来、3年ぶりの改定となる。

■ニュースリリースはこちら
https://www.nisc.go.jp/active/kihon/jinzai-wg2018.html

(了)

リスク対策.com:峰田 慎二