登録セキスペとは何か(2)〜セキスペに求められている仕事〜
こんにちは。
今回は、登録セキスペに求められている仕事について調べ、考察してみました。
将来登録セキスペを目指している方等に読んでいただきたい内容です。
なおこちらの記事は、経済産業省のワーキンググループの資料を基に、自身の見解を加えて書いています。
1.ベンダーのみならず、内部にも登録セキスペを置くことが好ましい
まずは登録セキスペがどのような立場で働くべきかという点についてです。
以下にある通り、ベンダーのみならず企業の内部(つまり情シス的なポジション)にも登録セキスペがいた方がいいという話になってます。
登録セキスペは「企業等の外部から専門的なセキュリティ対策を実施できる人材」としてのみならず、
「企業等の内部に置かれるべき人材」としての役割を果たす期待が高まっているのではないか。
第2回
産業サイバーセキュリティ研究会
ワーキンググループ2(経営・人材・国際)
サイバーセキュリティ人材の育成促進に向けた検討会
事務局説明資料
2.なぜならサイバー攻撃は増加し、且つ高度化・複雑化しているから
なぜ情シスに登録セキスペがいた方がいいのか。
その答えになる部分が以下に記されています。
サイバー攻撃は今後ますます増加するとともに高度化・複雑化していくおそれがある中、一定水準規模以上の企業においては、
サイバーセキュリティ対策に外部委託を積極活用しつつも、企業におけるリスクマネジメント活動の一部として、自社のサイ
バーセキュリティリスクを把握し、必要な意思決定や管理を行い、対策を推進する立場の人材を割りあてる必要がある。
第2回
産業サイバーセキュリティ研究会
ワーキンググループ2(経営・人材・国際)
サイバーセキュリティ人材の育成促進に向けた検討会
事務局説明資料
これはつまりベンダーに任せっきりはやめなさいということかと思います。
特に違和感のない指摘だと思いますね。
私はセキュリティの実務に携わったことはありませんのでセキュリティに関することについては何も言えません。
しかし、例えば私が今まで関わってきたシステム開発において考えると、ベンダーに頼りっきりということは多かったです。
それでいいの?と思うこともたくさんありました。
おそらくITに関するあらゆることがベンダー任せになっているという会社は多いのではないかと思います。
そしてベンダー側もそれで儲けているという側面もあるのかなと思います。
最近は内製化を進めているという企業も多く(内製化を謳いつつ実態は変わっていないところも多いですが)、このビジネスモデルも変わってくるのかもしれません。
転職業界でも、ベンダーから社内SEへの転職が多いと耳にします。
すぐに大きく変わりはしない気がしますが、着実にこの流れは進むんじゃないでしょうか。
個人的には、最近少し話題に上がった解雇規制の緩和も影響すると思います。
ベンダーを頼っている一因として、自社であまり人を抱えたくないという理由があると思うからです。
もし解雇規制が緩和され、アメリカのように業績に伴って柔軟にレイオフがされるようになったら、内製化も進むと思います。
経済産業省的にも、もう少し内製化を進めるべきという意向があるのではないかと思います。
少なくともセキュリティに関してはベンダーに任せっきりじゃなくて、ちゃんと自社でリードしなさいよという意向があると私は読み取りました。
3.現状はベンダー所属の登録セキスペが多いらしい
では、登録セキスペの現状はどうなのでしょうか。
以下の通り、ベンダー所属の方(つまり社外の人間)が多いようです。
制度創設時の趣旨として、登録セキスペは、企業における安全な情報システムの企画・運用等の支援を行うことや、サイバーセ
キュリティ対策の調査・分析等を行い、その結果に基づき必要な指導・助言を行うことを想定していた。そうした趣旨に基づき、
現に提供されている特定講習の内容は、実務者・技術者層向けを想定した講座が多い。また、現状、登録者は外部企業を
支援するようなベンダー企業側に偏っている。
第2回
産業サイバーセキュリティ研究会
ワーキンググループ2(経営・人材・国際)
サイバーセキュリティ人材の育成促進に向けた検討会
事務局説明資料
これは前項で挙げた、ITに関するあらゆること(セキュリティ含む)をベンダー任せにしていることも理由の一つだと思います。
ベンダー任せにしてたら資格を取ろうと思わないですもんね。
逆にベンダーは顧客のセキュリティの仕事を広範囲で請け負っていますから、それだけ知識も必要なはずです。
また、資格は第三者からの客観的な評価を得るために有効ですので、他社との競争を優位に進めるためにも必要でしょう。
4.登録セキスペ、今後どうなる?
ですが(これも前項に挙げた通り)、企業の内製化やベンダーから社内SEへの人材の移動が起きていますので、企業内の登録セキスペ数も増えていくと思います。
そうなると、現状の登録セキスペの講習内容には課題があるようです。
制度創設時の趣旨として、登録セキスペは、企業における安全な情報システムの企画・運用等の支援を行うことや、サイバーセ
キュリティ対策の調査・分析等を行い、その結果に基づき必要な指導・助言を行うことを想定していた。そうした趣旨に基づき、
現に提供されている特定講習の内容は、実務者・技術者層向けを想定した講座が多い。また、現状、登録者は外部企業を
支援するようなベンダー企業側に偏っている。
第2回
産業サイバーセキュリティ研究会
ワーキンググループ2(経営・人材・国際)
サイバーセキュリティ人材の育成促進に向けた検討会
事務局説明資料
「企業等の内部に置かれるべき人材」と「企業等の外部から専門的なセキュリティ対策を実施できる人材」とで、必要な知
識・スキルはどのように異なるか。
第2回
産業サイバーセキュリティ研究会
ワーキンググループ2(経営・人材・国際)
サイバーセキュリティ人材の育成促進に向けた検討会
事務局説明資料
そしてこれらの課題への対策として、経営層・マネジメント層向けの講座を増やすことを、以下の資料が示唆しているように思えます。
⚫ 特定講習の該当する分野については、ITSS+(セキュリティ領域)17分野から選択。現状、「セキュリティ監
視・運用」「セキュリティ調査分析・研究開発」などの実務者・技術者層向けの講習が大半を占めており、経
営層および戦略的マネジメント層向けの講習は僅か。
第2回
産業サイバーセキュリティ研究会
ワーキンググループ2(経営・人材・国際)
サイバーセキュリティ人材の育成促進に向けた検討会
事務局説明資料
つまりセキュリティ系の情シスには、このマネジメント層の知識が求められているのではと思います。(技術者的知識が不要とは言ってない。)
現状は登録セキスペになったことにより受けられる講座が技術者向け等、どちらかというとベンダー向けのものになっていますので、講座の内容が変われば情シス所属の登録セキスペも増えそうですね。
5.続く
今回は登録セキスペに求められている仕事について、経済産業省の資料を基にまとめつつ私の見解も書いてみました。
まだSC合格もしていない私ですが、資格を取った後にどのような仕事をするかイメージすることは重要だと思っています。
登録セキスペに求められる役割が変化しつつあることは分かりましたが、次回は企業の規模によってどのように自社のセキュリティ対策を進めるべきか、という点についてまとめてみたいと思います。
最後まで読んでいただき、ありがとうございました。