2012年11月29日、「OGCシンポジウム2012～スマートジャパン実現に向けて」が霞が関プラザホールで開催され、OGCの分科会の一つである「IT人材育成分科会」のサブ分科会の報告が行われた。

中山尚子
株式会社豆蔵
BS事業部　コンサルタント
OGC情報セキュリティ人材育成サブ分科会所属

昨今の情報セキュリティ事故等の状況を受けて、OGCでは2012年4月に情報セキュリティ人材育成サブ分科会を設置しました。

サブ分科会の検討では、情報セキュリティに係る人材の全体像を整理することから始めました。内閣府の情報セキュリティ政策会議がとりまとめた「情報セキュリティ普及・啓発プログラム」をベースにして、分かりやすいように図として整理しました。この中から我が国の情報セキュリティ推進にとって、最も効果のある部分であり、情報セキュリティ人材が不足している部分をボリュームゾーンと捉えました。こちらに必要となる人材育成を検討の対象としています。

対象とした領域での人材育成の現状および課題を把握するため、メンバー各社との検討会やユーザー企業へのヒアリングを行いました。「情報セキュリティは積極的な投資対象とはなりにくい」「情報セキュリティの担当は専任では難しい」「攻撃を受けた後どうするかという意識が希薄」という傾向が抽出されました。この要因として「誰が何をするのか、役割が明確ではない」「ユーザー側とベンダー側が、お互いにどこまでやったらよいのか、区別と連携が明確でない」という点が問題ではないか、と考えています。何をするのかが明確でないということは、重要性も正しく認識されず、どのような人材を育てるべきかが明確にならないと言えます。

そこで、役割のフレームワークをつくり、これにあてはめて検討することで、役割と業務の区別や連携を明確にする進め方をとりました。基本的なフレームワークの考え方は、左右にユーザー企業とベンダー企業を示して、ユーザーとベンダーとの間に業務内容（仮に役割モデルと呼ぶ）を配置します。ベンダー側については業務内容に対応するものをサービスとして示します。これにより業務の区分や連携等を明らかにします。また、ユーザーとベンダー各々にロールとして職種を配置し、ロールの横に必要なスキルセットと育成手法を記述するボックスを配置しています。既存のスキルセット等をマッピングすることで、新たに追加すべき事項が整理できることになります。

フレームワークでの検討では、業務内容（役割モデル）を洗い出していくことが重要になります。情報セキュリティ関連の業務の具体的なシーンを「ユースケース」として縦軸に配置し、誰がという部分を「アクター」として横軸に配置した二次元の表を設定し、ユースケースとアクターの交差する部分の欄にアクターが行うべき業務を記述して、整理しようとしています。IPA「コンピュータセキュリティインシデント対応ガイド」、日本シーサート協議会「CSIRTスタートキッド」等も参考にしています。また、届出機関等の公的機関もアクターとして整理しているところです。

このようにして検討してきた中で重要だと感じている点は、「インシデント・レスポンス」と「調達」です。インシデント・レスポンスについては、セキュリティ事故が起こらないようにする「予防」だけではなく、起こったときにどうするかという「備え」の観点こそが重要です。ダメージコントロールでは社内・組織内に多くの関係者がいるため、アクターが広範囲に及ぶことがポイントになります。誰がやるのかも明確でないと人材育成の方針や方法はずれてしまいます。調達については、ユーザー・ベンダー共に「役割」を明確にしないままに調達を行うと、頼まれる方も頼む方も混乱してしまいます。そして頼む方にも然るべきスキルや体制がないと効果は発揮し得ません。役割モデルは人材育成だけではなく調達においても重要なものと言えます。

最後に、情報セキュリティ人材育成における今後の課題として「経営層などの意識の変革」「各役割におけるパフォーマンス目標の定義」「講師の養成」を挙げています。これらは企業・組織の育成の現場で今まさに課題になっていることであり、早急な対応が望まれています。

以上