セキュリティ人材における課題と効果的な解決手法
～金融業界の動向を踏まえて～

＜情報セキュリティの人材不足＞

日本情報システム・ユーザー協会の『企業IT動向調査報告書 2022』によると、情報セキュリティに関する人材は不足していないと回答した企業は1割未満であり、ほとんどの企業は人材不足に悩まされている。人材は単純にトレーニングをすればそのまま育つわけではなく、育成方法について改めて考える必要がある。日本企業特有の問題点として、採用・育成の方針が総合職・一般職の形式であることがこれまで多かったため、専門職の育成に適していない。海外企業では専門職として生きていける道があるが、日本企業は人事異動が多いことも課題だ。

海外でもセキュリティ人材は不足しており、取り合いの状況になっている。セキュリティ人材が高待遇の企業に流れていく傾向もある中で、いかに自社で維持できるかも課題だ。企業側としても人材の退職・異動はある程度覚悟しながら、セキュリティ業務を維持できるような体制の構築が求められる。

＜エンドユーザー側でのセキュリティ人材不足＞

セキュリティ人材はSIerやインテグレーターなどIT企業に集まる傾向で、エンドユーザー側になかなか人材が行かないことも課題だ。エンドユーザー側に人材がいないため、ベンダーへの依存度が高い状況となっている。ベンダーには、自身のキャリアを伸ばせるようなポジションや研修が用意されているので、セキュリティ人材もそちらを選びやすい。

事業会社ではセキュリティは自社のコアビジネスではないとして、これまでアウトソーシングで済ませる傾向が強かった。しかし現在セキュリティは自社の事業にとって必要不可欠なものと気づき、慌てて人材を集めようとしている。一方、一部の銀行の中には情報システムの子会社があり、そこはキャリアを伸ばせる場所だ。

＜セキュリティ人材の種類＞

セキュリティ人材にもさまざまな種類があり、役割も異なる。本当に専門的な人材、組織で横断的な動きをする人材、横断的な動きをするが事業部寄りの人材などがいる。これらを分けて管理するのは大変で、特にCSIRT人材は消耗しやすい。スペシャリストでもSIRTの専門家、SOCアナリスト、フォレンジックを担当する人、アクセス管理や認証を担当する人等がいる。それぞれの専門家を各企業で育成しようとするのは非常に難しい。

＜CISOによるセキュリティ課題＞

CISOによるセキュリティ課題に関する当社の調査では、プロセスとマニュアルが多すぎるとの回答が57%と最も多くを占めた。マルウェアの攻撃の見逃しや高額な費用も課題する回答が多かった。人材不足の中でも数多くの作業を行わなければならず、プロセスやマニュアルをいかに整理していくかが重要だ。

プロセスとマニュアルが多すぎる理由は2つあり、1つ目は専門家がいないことだ。素人でも分かるように落とし込むと、どうしてもプロセスを細かく決めていく必要がある。2つ目は、やたらと人間がやりすぎてしまうことだ。システムに置き換えれば済む話を、人がやろうとすると手順が増え、マニュアルも増えてしまう。場合分けも多くなるため、場合分けの数に応じてマニュアルも増える。

＜キーワードは自動化＞

マルウェアと攻撃の見逃しもそうだが、セキュリティの問題は人が介在する領域が多いことが原因で起きていると考えられる。人が介在する部分をいかに減らしていけるかが、人材不足を補うことにも繋がる。攻撃者側はボットやAI等を使って自動化を進めており、攻撃のバラエティも増加している。防御側がいちいち手作業で対応するのは現実的ではないので、自動化は必須だ。

そのためには業務を整理・標準化し、なるべくシンプルな形でできるようにする。標準化を進めればシステムに置き換える部分が増えていくため、人材をそれほど増やさなくても業務を遂行できる体制を構築できる。

＜責任者の役割＞

業務の整理や標準化においては、トップがきちんと設計しなくてはならない。現場もそれなりに創意工夫をするが、部分最適になってしまう可能性があり、コストがかかっている割にはセキュリティを高める効果に繋がらない。CISOは全体を見た上でのアーキテクトの最適化を、自分も含め他のメンバーも巻き込んで進めていくことが必要だ。セキュリティは現場での決定が多く、なかなか統制が取れない傾向もある。リーダーシップを持った責任者が、ある程度の方向性を決めて整理・統合していくことが必要だ。

明るい材料として、最近は経営とセキュリティの両方をこなせる、CISOのような人材が増えてきている。ただしCISO単独では進められないことも多いため、CEOなど他の経営者がCISOを上手にサポートし、チームワークで進めることが重要だ。

＜フォーティネットについて＞

当社は2000年に設立し、本社は米国カリフォルニア州サニーベールにある。従業員数はグロバルで13,200人以上、顧客数は66万社以上で拡大している。現在はセキュリティソリューションなど、50以上もの製品を提供している。

＜ITモダナイゼーションによるコンソリデーション＞

ITシステムの複雑化が加速し、顧客・サプライヤー・インフラ・従業員との関わり方が変化している一方、サイバー犯罪者はAPTのような戦術を採用し、これまで以上に迅速に攻撃を展開・拡大している。

先の読めない不確実の時代の中で企業が勝ち残るためには、俊敏性と弾力性を高めなくてはならない。そのために必要なのがコンソリデーションで、ITシステムの整理・統合だ。ITシステムの見直しやOTとの統合、組織体制とプロセスの見直しなど、IT全体の再定義が求められる。セキュリティ領域も複雑化によって、ITモダナイゼーションの阻害要因になるため、整理・統合が不可欠だ。

＜フォーティネットのUniversal SASE＞

ゼロトラストのセキュリティソリューションはZTNAからSASEへと進化を続けている。フォーティネットのUniversal SASEは、統合連携によってPOP領域外のLANエッジからクラウドアプリケーション間まで、IT環境全体のトラフィックを可視化し、ユーザーとサービスの全てのトランザクションを管理するセキュアネットワーキングを構築できる。

＜フォーティネットの自律型SOC＞

IT環境が分散化する中、インシデント発生個所も分散しセキュリティ運用も複雑化する。フォーティネットの自律型SOCは、サイバー脅威の進化によって深刻化する被害を最小限に抑えるために、早期検知する製品と収集したテレメトリを分析し対処する製品を統合連携することで、現場での迅速な検知と対処の自動化を支援する。

＜フォーティネットのセキュリティファブリック＞

当社の全てのセキュリティ製品は、フォーティOSを中心としたセキュリティファブリックの形でAPI連携できる仕組みだ。同時に脅威インテリジェンスも接続され、共有できる。現在は350超のベンダー・500超のソリューションを統合できる環境を構築している。セキュリティファブリックにより、全て統合・モダナイズ化の支援が可能だ。

＜NSE（Network Security Expert)トレーニング＞

NSEトレーニングにより、人材育成の領域も支援する。トレーニングには4つの段階があり、一番下のAwarenessは基本的な脅威の状況とサイバーセキュリティの進化を理解する段階だ。2番目のTechnicalでは当社デバイスの実装・運用・サポート方法を身に付ける。3番目にAdvancedとして、当社製品を設計・実装・サポート・統合するための高度なスキルを身に付けられる。最後のExpertでは、ネットワークセキュリティアーキテクチャの専門知識を身に付け、他のセキュリティ分野の経験を活用する。

◆講演企業情報
フォーティネットジャパン合同会社：https://www.fortinet.com/jp