サイバーセキュリティ対策は、企業にとって重要な経営課題である。しかし、一言に課題といっても、様々な側面がある。例えば、サイバー攻撃の悪質化、巧妙化は、当然、憂慮すべき状況であり、対応しなければならない課題である。また、データをはじめ、保護しなければならないデジタル資産が増加し続けていることも体制構築やセキュリティガバナンスにおける大きな課題となろう。
人材不足もサイバーセキュリティ領域で企業が直面している大きな課題である。
サイバーセキュリティの専門家向けのトレーニングと認定を行っている国際的な非営利会員団体ISC2( International Information System Security Certification Consortium)がサイバーセキュリティ人材について調査を行い発表した「ISC2 Cybersecurity Workforce Study」の2023年版によると、日本のサイバーセキュリティ人材は48万659人で前年から23.8%増加してはいるが、依然として需要が供給を上回っていると指摘。日本のデジタル資産を適切に保護するためには、さらに11万254人の専門家が必要であると試算している。
もはやサイバーセキュリティ人材の不足は、社会全体の課題と考えるべき。実際、総務省およびNICT(情報通信研究機構)は「ナショナルサイバートレーニングセンター」を設置し、国をあげてサイバーセキュリティ人材の育成に取り組んでいる。
しかし、セキュリティ人材の需給ギャップを埋めるには、それだけでは十分ではない。民間企業による人材育成も必要不可欠である。NECは「2025中期経営計画」において「社会インフラを担う高度なセキュリティ人材の育成」を明確に示している。さらに、全社規程である「サイバーセキュリティ管理規程」には、お客様に提供する製品・システム・サービスのセキュリティ実装に関わる全社員に対して果たすべき責任と役割を定義し、実践できる人材の育成に注力しているという。
サイバー攻撃による被害が拡大し続ける中、Purposeに掲げる社会価値の創造を実現するには、サイバーセキュリティの視点が欠かせない。背景には、そうした思いがある。このような経営層の強力なコミットメントのもと、お客様のDXを支援する社員に対して系統的な人材育成を推進していることが評価され、DXを支えるセキュリティのベストプラクティスを表彰する
。受賞理由の中では、CISSP(Certified Information Systems Security Professional)プロフェッショナル450名(2020年比3倍)達成の実績も高く評価された。これは、システムのライフサイクルすべてでセキュリティ実装プロセスを推進するための広範な知識が求められるCISSPの取得を、各組織でセキュリティ実装を推進する立場にある人材へ進めている取り組みの成果である。社外の認定資格により、スキルの高さの裏付けをすることで、お客さまに安心してもらうことも狙いのひとつになっている。
このようなセキュリティ人材の育成をリードしているチームのメンバーに、育成プログラムや拡充策の概要と理由、モチベーション喚起のための工夫などを聞いた。
AIなどの新技術の価値を享受するためにもセキュリティが重要
NECは各セキュリティ専門組織が連携し、情報セキュリティ推進体制を構築している。専門組織の1つがサイバーセキュリティ戦略統括部である。NECがお客さまへ提供する製品・システム・サービスのセキュリティ確保を担っており、インシデントを未然に防ぐためのセキュア開発の推進と、お客さまがインシデントに遭った際のサポートを通じて、お客さまをサイバー攻撃から守っている。
その中心には、セキュリティ技術センターというセキュリティエンジニア集団がある(精鋭の力を結集してお客さまをセキュリティリスクから守る。磨き上げた6つの専門性と個性を束ねるチーム作りとは)。
同センターは6つの専門チームで構成されているが、「タレントマネジメント」というセキュリティ人材の育成とマネジメントに特化したグループもある。セキュリティ人材の育成は緊急度の高い課題。確実に育成を前進させるには兼任ではなく専任が適切だ。タレントマネジメントグループの存在は、セキュリティ人材育成に対するNECのスタンスや考え方をはっきりと示している。
「NECはPurposeに社会価値創造を掲げ、そのための様々な事業に取り組んでいます。サイバー攻撃が相次ぎ、多くの人や企業が被害に遭っている現在、社会価値の創造にサイバーセキュリティの視点は欠かせません。社会インフラを支えるシステムがサイバー攻撃を受け、停止すれば、社会全体が大きく混乱します。また、AIのような新しい技術の価値を社会が享受するためにもセキュリティは重要です。新しい技術は、それを安全に使うためのベストプラクティスをこれから確立していかなければならないからです。それを担うのがセキュリティ人材。刻々と変わる社会情勢やビジネス環境、そして、サイバー攻撃の動向を把握し、最適な対策を考え、実践するスキルを持つ人たちです。タレントマネジメントグループは、そうした人材の育成に取り組んでいます」とサイバーセキュリティ戦略統括部 プロフェッショナル 赤堀 文隆は言う。
NEC サイバーセキュリティ戦略統括部 タレントマネジメントグループ
プロフェッショナル 赤堀 文隆
認定資格を有効活用してお客さまに安心を提供
タレントマネジメントグループは「セキュリティ・バイ・デザインの実践」「適切なセキュリティ実装により、事業価値を創出できる人材の育成とマネジメント」を方針に掲げ、全社員が対象のアソシエイトレベルからトップセキュリティ人材を指すエキスパートレベルまで、4つのレベルにセキュリティ人材を定義し、多様な社内プログラムを提供している。例えば、全社員向けの基礎的な教育コンテンツや実践演習、各部門のセキュリティスペシャリストを育成するためのプログラムを提供し、NECグループ社員のスキルアップをサポートしている。
また、プログラムを充実させるだけでなく、スキルの裏付けとして社外の認定資格を有効活用している。IPA(情報処理推進機構)の情報処理安全確保支援士(RISS)に加え、近年、取得に力を入れているのがISC2のCISSPである。
「『海底から宇宙まで』と表現したりしますが、NECの幅広い事業のすべてでセキュア開発を実践するには、予算編成、企画提案、設計開発、運用を担う全社員がセキュリティに対する適切な知識、スキルを持つ必要があります。特に技術だけでなくビジネスやマネジメントの視点で情報セキュリティに対する深い理解と幅広い知識が求められるCISSPは、その土台作りに有効。取得は決して容易ではありませんが、2024年6月時点でCISSP保有者は450名以上となりました」とサイバーセキュリティ戦略統括部 タレントマネジメントグループ 主任 木村 俊介は言う(
NEC サイバーセキュリティ戦略統括部 タレントマネジメントグループ 主任
木村 俊介
さらに今年度からは、新たに4つの資格を資格取得促進のプログラムに組み入れた。各資格の特徴やNECの選定理由などは以下の通りである。
・CCSP(Certified Cloud Security Professional)
クラウドセキュリティに特化したリスク管理や設計、アーキテクチャ、運用、コンプライアンスなどのスキルを保有することを認める国際認定資格。クラウドにおけるデータ保護やインフラ管理、ID管理、リスク軽減などの方策を実践することができる。様々な形態のクラウドを活用したソリューションを提供するにあたり、クラウドセキュリティの専門知識と裏付けを持った人員による適切なセキュリティ実装を行うために組み入れた。
・CISA(Certified Information Systems Auditor)
情報システムの監査および、セキュリティ、コントロールに関するスキルを保有する監査人であることを認める国際認定資格。リスク管理やITガバナンスなどに精通し、企業の内部監査やコンプライアンス強化にも寄与できる。より高いレベルでの説明責任を果たすために、様々なシステムのリスク評価、適切なセキュリティコントロールに対する裏付けとして活用できる情報システム監査スキルを身に付けることが狙い。
・CEH(Certified Ethical Hacker)
ネットワークや情報システムの脆弱性を発見し、攻撃者の観点から保護するスキルを保有することを認める国際認定資格。攻撃者の行動を読み、先回りした防御方法を発案し実装することができる。多様な攻撃者の視点を理解し、より高いレベルでの防御を実践するために組み入れた。
・CCT(Certified Cybersecurity Technician)
サイバーセキュリティの基礎スキルを保有することを認める国際認定資格。ネットワークセキュリティ、脅威の特定、攻撃の防御、リスク管理、セキュリティ対応などの概念の理解につながる、実践的なセキュリティの基礎知識の習得と認定による習得知識の裏付けを持つことができる。製品やサービスのデジタル化が世の中で進む中で、SEや技術者が、プラス・セキュリティ(自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力を身に付けること、あるいは身につけている状態)をより適切なレベルで実践できることを目指して選定し、NECではアソシエイトレベルに取得を推奨している。
CCSP、CISA、CEHは、専門性やスキルの高度化を意識した。また、世の中のセキュリティ意識が高まってきている中では、セキュリティ専門組織だけでなく、全社をあげてセキュリティに取り組む必要があると考え、セキュリティ人材の裾野を拡大できるCCTを取り入れた。
「いずれも国際認定資格ですから、日本国内だけでなく海外のお客さまの安心感にもつながります。また、資格を維持するために継続的な学習が必要とされているものを選びました。攻撃者の攻撃方法も、それに対応するための技術も刻々と変化しています。それに追随するには、資格取得後も継続的に学習し、スキルをアップデートし続けていく必要があるからです。新しくプログラムに取り入れた資格をセキュリティ関係部門に認知してもらうため、各統括部でセキュリティ提案や実装をリードするセキュリティ責任者と、その補佐を行う社員450名以上が参加する『サイバーセキュリティ事業戦略会議(隔週開催)』で説明を行いました。さらに、特にセキュリティ事業と関わり合いの深い部署に対しては、資格取得によってどのような効果が期待できるかを意識した個別説明を行ったり、資格の内容と業務の親和性を踏まえた教育パスの作成支援を行ったりしました。これらの取り組みの結果、当初の想定を上回る社員が取得に向けて学習を開始しています」と赤堀は述べる。
資格取得はもちろん、取得後の維持までをサポート
単に取得を訴えるだけでなく、タレントマネジメントグループは、様々な施策で社員の資格取得・維持までをサポートしている。
CISSP取得に向けては、CISSP主任認定講師でNEC Corporate Executive CISO 兼 サイバーセキュリティ戦略統括部長の淵上 真一が講師を務めるセミナーを定期的に開催しているが、開催前に合格者の勉強方法や学習に要した期間、注意したことなどを集めた「合格体験記」を学習者に提供している。合格のポイントやノウハウを事前に知っておくことで、セミナー受講のモチベーションを高め、自分に合わせた勉強方法や学習期間の設定に役立ててもらうためだ。「セミナー終了後もフォローアップセミナーを開催して模擬試験の問題解説を実施。さらにセミナー最終日には、挑戦を先延ばしにして、せっかくの熱が冷めてしまわないように、その場で試験の申し込みを一緒に行うようにしています」と木村は紹介する。
また、資格の維持についても支援体制を敷いている。
「ISC2の認定資格やRISSは、資格を更新し維持するために継続的に学習をしなければなりません。ISC2の認定資格はセキュリティ知識や技術を維持・向上のためのトレーニングやイベントに参加して『CPEクレジット』を取得していく必要がありますし、RISSも講習が定められています。タレントマネジメントグループは、サイバーセキュリティ戦略統括部の他チームのサポートも受けながら、社内勉強会やイベントを開催。資格の維持、そしてセキュリティ人材としてのさらなるスキルアップのための継続的な学習を支援しています。またクレジット取得のための申請が遅れている場合はアナウンスして対応を促したり、更新の申請や年会費の支払いのような事務手続きはまとめて代行したりして、セキュリティ人材が本来時間を割くべきセキュリティ業務に集中できるよう、資格維持にかかる負担を軽減しています。資格取得者が増えていますから、支援体制も強化が必要と考え、マニュアル整備などを進めています」とサイバーセキュリティ戦略統括部 タレントマネジメントグループ 神戸 亜紀子は話す。
NEC サイバーセキュリティ戦略統括部 タレントマネジメントグループ
神戸 亜紀子
幅広い職種の社員が資格取得の成果を実感
資格を取得したNECの社員たちは、どのように業務に活用しているのか。実際に資格を取得した4名に話を聞いた。
■谷 直樹:CISSPとCCSPを保有
(NEC パブリックシステム開発部門 社会公共システム開発統括部 SE職)
セキュア開発・運用推進をはじめとするセキュリティ支援業務を行う上で、体系的なセキュリティ知識を得ておきたいと考え、CISSPを取得しました。その後、お客さまのシステムをクラウドへ移行する案件が増加し、クラウドに関するセキュリティ知識も強化する必要があると考え、さらにCCSPも取得しました。
お客さまや社内のメンバーから、オンプレミスとクラウドでのセキュリティ対策の違いや、クラウド環境で必要となるセキュリティ対策の考慮事項などについて相談を受けた際、自信を持って回答できるようになりました。
■小南 知也:CEH とCISSPを保有
(NEC 共通SIサービス事業部門 エンタープライズビジネス基盤統括部 SE職(セキュアインテグレーション))
セキュリティ人材としての存在観を高めたいと考え、まだ社内で資格保有者が少なかったCEHの取得に挑戦しました。その中で攻撃者の手法を体系的に学ぶことができ、実務のセキュリティアセスメントの際に、攻撃者の目線で攻撃経路を具体的にイメージし、リスクを抽出することができるようになりました。
さらにCISSPも取得し、幅広いセキュリティの知識を学びました。名刺やメール署名のCISSPマークによってセキュリティの専門家であることを示すことができ、お客さまからの信頼の獲得につながっています。
■大鹿 広憲:CISSPとCCSPを保有
(NEC コンサルティングサービス事業部門 テクノロジーコンサルティング統括部 コンサルティング職)
多くのクラウドは簡単な操作で利用できるように設計されています。一方、その簡単さが、セキュリティの甘さにつながる傾向があるとも言われています。その指摘を受け、クラウドサービスのセキュリティを評価して安全に使っていく「クラウドセキュリティ」は、今後、さらに重要になると考え、CCSPを取得しました。ベンダーニュートラルなCCSPの取得を通して、クラウドセキュリティの包括的な知識を得ることができただけでなく、クラウドセキュリティに対する興味が深まり、独自に情報収集を行ったりするようになりました。
CISSPで得た体系的な知識に加え、クラウドセキュリティの知識も活かして、今後もお客さまに安全にシステムを使っていただくためのコンサルティングを行っていきます。
■川西 康仁: CCTとCEHを取得。
(NEC サイバーセキュリティ戦略統括部 リスクハンティングシステムグループ 技術開発職)
入社1年目にCCT、CEHの順で取得しました。CCT取得前にもセキュリティ技術は学んでいましたが、各知識と実務とのつながりまではあまり理解できていませんでした。しかし、CCTやCEHを取得することで、各技術が実際のセキュリティ業務の中のどのフェーズで何のために使用される技術なのを体系的に理解することができました。資格取得によって知識を活用できるようになり、現在担当しているペネトレーションテストの業務でも学んだセキュリティ技術が活きています。
このようなセキュリティ人材の現場での活躍を加速させるために、タレントマネジメントグループは、今後も様々な施策に取り組んでいく。例えば、セキュリティタレントダッシュボードを通じて育成状況を可視化し、それを今後活用することを検討している。
「NECグループ内のセキュリティ人材の状況をより詳しく把握すれば、どのような専門性を持つセキュリティ人材を、どれくらい育成しなければならないか正確に判断できるようになります。事業規模に対してセキュリティ人材が不足気味の統括部があればプログラムへの参加を促したり、事業の特性に応じたスキルや資格の取得を提案したり、質と量の両面からセキュリティ人材育成に向けた取り組みを高度化させたいと考えています」と木村は展望を述べる。
社会課題であるセキュリティ人材の育成に取り組み、着実に成果を上げているNEC。育成したセキュリティ人材は、今後、企業や社会のDXを根底で支える重要な力となっていくはずだ。
NECはDXに関して、ビジネスモデル、テクノロジー、組織・人材の3軸で、戦略構想コンサルティングから実装に導くオファリングなど、End to Endのサービスを提供しています。さらに、従来型のSIerから「Value Driver」への進化を目指し、その価値提供モデルを「BluStellar(ブルーステラ)」(注)として体系整理しました。業種横断の先進的な知見と研ぎ澄まされた最先端テクノロジーによりビジネスモデルを変革し、社会課題とお客さまの経営課題を解決に導きます。
(注) 「BluStellar(ブルーステラ)」は実績に裏打ちされた業種横断の先進的な知見と長年の開発・運用で研ぎ澄まされたNECの最先端テクノロジーにより、ビジネスモデルの変革を実現し、社会課題とお客様の経営課題を解決に導き、お客様を未来へ導く価値創造モデルです。
