日本国のサイバーセキュリティの危機的実体（13）

　日本国内においては、 #情報システム部門 や #社内SE （ #システムエンジニア ）の定義が明確でなく『 #情シス 』という総称で呼ばれることがあります。いわゆる『情シス』の業務内容や求められるスキルやレベルは、企業や業種により大きく異なりますが、平均的な『情シス』の年収は一般社員と大差ないことから、転職が頻繁に行われる職種という印象があります。

【2023年最新版】情シス（社内SE）の平均年収は？年収アップの方法も！ 

IT人材の最新動向と将来推計に関する調査結果
～ 報告書概要版 ～
平成26年度補正先端課題に対応したベンチャー事業化支援等事業
（ITベンチャー等によるイノベーション促進のための人材育成・確保モデル事業）

商務情報政策局 情報処理振興課（委託先：みずほ情報総研株式会社）

　海外においては、企業機密を含んだ重要な情報管理と、システムセキュリティと、社内システム管理担当者は明確に分かれていることが多いです。一方で、日本国内においては、『情シス』の業務の一環として、社内システムセキュリティ業務が兼務されることが多い傾向があります。そのため、彼らの業務範囲はシステムセキュリティに特化されておらず、社内サーバーの管理から、従業員が使用するコンピュータの修理、さらには情報機器の操作サポートまで幅広く、忙しい日々を過ごしているにも関わらず、年収が低いという問題があり、深刻な人材不足とサイバーセキュリティ技術力不足問題が発生しています。

　一般的に人材の需給バランスが崩れれて人材不足になったり、サイバーセキュリティのような重要な仕事には重責が伴うため年収が著しく上昇するものです。しかし、日本国内においては、システムセキュリティや #CISO （ #最高情報セキュリティ責任者 ）の重要性を十分に理解していない経営陣が多いため、この経済原理が適用されにくいです。

　ちなみに、日本の企業のうち専任のSISOを持つところは10％未満であり、 #CSIRT （Computer Security Incident Response Team）に専任メンバーを1名以上配置している企業も、30％程度にとどまっています。

日本のサイバーセキュリティが脆弱とされる根本的な原因

　日本のサイバーセキュリティが脆弱であるとの認識は、私の主観も含まれますが、経産省や海外からもこの問題は数多く指摘されています。首相官邸・公邸、防衛省などのセキュリティ問題については、これまで内閣サイバーセキュリティセンターが同盟国から信用されない理由（１）～（12）で様々な事例を紹介してきました。海外の諜報機関も、日本との重要な情報共有は困難だということは、もはや常識です。

　それでは、何故このような情報セキュリティの脆弱性が数十年経っても改善されないのでしょうか？　その原因として指摘されている事項を、経済産業省や総務省の報告書などの内容を整理して、以下に簡潔にまとめます。

セキュリティ人材不足：経産省の調査によれば、IT人材の数は徐々に減少しており、2030年には約40～80万人の不足が予想されています。この中で、サイバーセキュリティ人材の不足が最も深刻です。公的な資料の大部分が『2030年におおよそ40～80万人の不足』というデータを引用していますが、これは最低レベルのIT人材を指しています。

サイバーセキュリティ経営ガイドライン Ver2.0 付録F
サイバーセキュリティ体制構築・人材確保の手引き
～ 変化するサイバーセキュリティリスクに対処するための
組織の在り方と従事する人材の配置・役割分担 ～
第２版
経済産業省 商務情報政策局 サイバーセキュリティ課
独立行政法人 情報処理推進機構（IPA）
（7頁）
体制構築に関するよくある勘違い
① サイバーセキュリティ対策は専門事業者や実務者におまかせ。
→ NO! サイバーセキュリティ体制不備による重要情報の漏えいや事業停止は経営者の責任です。会社法は取締役に内部統制システムの構築義務を課しており、経営者は自社のリスクマネジメントの一環として、事業環境を守るサイバーセキュリティ体制を構築するとともに、委託先を監督する責任を負います。
（中略）
③ 外からの攻撃に対する防御技術を導入すれば大丈夫。
→ NO! 従業員による操作ミスや内部不正、取引先等の不正・過失、クラウドサービスの仕様変更による影響の確認不足など、脅威は内外に存在します（参考：経営ガイドライン指示４）。技術のみに頼らず、組織として備えるための管理体制が必要です。

独立行政法人 情報処理推進機構（IPA）

　上記は経産省から一般企業向けの指導内容となっています。しかし、『サイバーセキュリティ対策は専門事業者や実務者にお任せ』や『外部攻撃に対する防御技術の導入で安全が確保される』という考え方に関して、経産省は民間企業で採用してはいけないと指摘しています。ところが、民間企業よりも遥かに重要な情報を取り扱っている防衛省では、民間企業でさえやってはいけないことを、『サイバー人材の確保及び育成』目標として掲げています。さらに防衛省では『官民におけるサイバー人材の相互交流』の推進を目指していますが、民間企業でもサイバー人材の不足が問題となっているため、この目標は実現が難しいと言えます。

　さらに『官民連携を通じたサイバー対策』を目標として掲げている省庁には、警察庁、総務省、経産省、デジタル省、内閣府、外務省など、サイバーセキュリティに関連する全省庁が含まれます。しかし、既に民間企業でも人材が不足している状況で、さらに劣悪な労働条件下で、官公庁がサイバー人材を確保しようとする政策が実現できるとは、まず考えられないことです。

セキュリティ意識の低さ：日本では、セキュリティ意識の低さに比例してサイバーセキュリティ人材も不足しています。人材不足が続けば、日々進化するサイバー攻撃を防ぐことは困難になるでしょう。

商習慣：脆弱性が未対応のまま放置される原因はさまざま考えられますが、その1つとして日本の商習慣が深く関係していることが挙げられます。

平和国家体制：『日本には平和憲法があるので平和と水と情報はタダ』だと勘違いしている人が、いまだに大勢います。一方で何の価値もない #インチキ情報商材 や #自己啓発セミナー に大金を支払う人が多いのは、情報の価値が理解できていないからです。

情報商材（各種相談の件数や傾向）_国民生活センター

文化的・歴史的背景：日本は長い間、比較的低い犯罪率と安全な国として知られていました。このような環境が、サイバーセキュリティに対する認識や緊急性を低く保ってしまったと考えられます。

教育・トレーニングの不足：サイバーセキュリティの専門家が不足していると指摘されており、教育やトレーニングのプログラムも十分に整備されていない場面があります。

既存のITインフラの古さ：一部の公的機関や企業は古いシステムを維持しており、これがセキュリティの脆弱性を生む原因となっています。

法制度の遅れ：サイバー犯罪に関する法律や規制が他の国に比べて遅れているとの指摘があります。これにより、サイバー犯罪への対応や予防策が不十分となる場合があります。

企業文化：一部の企業では、サイバーセキュリティの重要性を理解しつつも、コストや業務の効率を優先して対策を後回しにしてしまう傾向があると指摘されています。

国際的な連携の不足：サイバーセキュリティは国境を超えた問題であり、国際的な連携や情報共有が必要です。しかし、日本はその点で他の国との連携が不足しているとの指摘も多いです。現実問題としては、日本が情報共有したくても、他国のサイバーセキュリティ基準を満たしていないため情報共有ができないという問題もあります。

認識の問題：一般の人々や経営者、政策担当者の中にも、サイバーセキュリティのリスクを十分に理解していないという問題が指摘されています。

　前述のような理由から、日本のサイバーセキュリティは脆弱とされています。これらの問題を解決するためには、セキュリティ人材の育成と確保、セキュリティ意識の向上、商習慣の見直し、そして適切なサイバーセキュリティ戦略の策定と実行が必要です。

総務省 学術雑誌『情報通信政策研究』 第５巻第２号
Journal of Information and Communications Policy Vol.5 No.2
Ⅲ－1－P. 73
調査研究ノート（査読付）
我が国のサイバーセキュリティ戦略の欠点と展望
―『平和国家』体制の桎梏への対応を考える
松村昌廣
（掲載決定日：令和３年 12 月 27 日／オンライン掲載日：令和４年１月 13 日）

総務省 学術雑誌『情報通信政策研究』 第５巻第２号

CISO（最高情報セキュリティ責任者）の重要性

　欧米の大手企業や公的機関では、CISO（Chief Information Security Officer）の役割が非常に重要視されています。 #デジタルトランスフォーメーション の進展と共に、サイバーセキュリティの脅威が増大しており、企業のビジネスや国家のセキュリティへの影響のリスクも高まっています。このような背景から、先進国の多くの組織はCISOを経営陣の一員として位置づけ、戦略的な意思決定に関与させるなど、その役割を強化しています。

　一方、日本では『 #DX 』という、日本以外ではあまり使われない情報化推進の目標を掲げていますが、DXによってサイバーセキュリティの問題が深刻化することを十分に認識せず、逆にDXが自動的にセキュリティを向上させるとの誤った認識を持つ人が多いことも問題です。

　具体的には、多くの先進国の大手企業では、CISOの年収や報酬が高額であることが一般的であり、その意見や判断が経営方針に大きく影響することが認められています。このため、優秀なCISOの確保は競争が激しく、その結果は組織の競争力やセキュリティレベルの維持・向上に直結しています。

　日本の現状に目を向けると、サイバーセキュリティの重要性は認識されつつあるものの、CISOの役割や重要性が完全には理解されていない場合が多いです。日本の多くの企業で、CISOの地位は他国の先進国に比べて低く、経営陣としての発言権も限定的となっています。然しながら、グローバルに展開する企業や、デジタル化が進む中でのセキュリティ対策の必要性を考慮すると、日本もCISOの役割の重要性を再評価し、彼らを経営の中心に据えるべきです。

　インターネットに国境を跨いで繋がっているため、日本でもCISOの重要性を理解し、その地位や役割を強化することで、サイバーセキュリティの向上及び組織全体の競争力を高める方向での取り組みが必要だと言えるでしょう。

つづく…