外資コンサル企画書デロイトトーマツ④『サイバーセキュリティ対策に係るエコシステム構築に向けたセキュリティ人材の海外実態調査報告書』から学ぶ

サイバーセキュリティのニーズが、近年急速に高まっています。2019年5月5日、イスラエル国防軍は「ハマスのサイバー拠点を空爆した」と発表しました。敵対する武装組織ハマスがイスラエルの社会インフラにサイバー攻撃を行ったことに対し、無人機が上空からパレスチナ自治政府のガザ地区にあるハマスのサイバー攻撃拠点にミサイルを打ち込み、破壊したのです。

また2018年1月に発生した仮想通貨交換会社コインチェックから、約590億円分の仮想通貨「NEM(ネム)」が流出した事件に関しては、北朝鮮のハッカー集団「ラザルス」の関与を国連の北朝鮮制裁委員会が指摘しています。ちなみに米国の情報セキュリティ会社マンディアントによると、中国サイバー軍には英語の堪能な人員が数千人活動しているそうです。

投資の世界においてもサイバーセキュリティは関心が高く、2018年にみんなの株式が集計した「人気テーマランキング」では、1位キャッシュレス決済、2位人工知能、3位5G、4位サイバーセキュリティ、5位QRコード、6位セルフレジ、7位バイオテクノロジー、8位TOPIXコア30、9位半導体製造装置、10位JPX日経400と、4位に入るほど関心は高まっています。サイバー犯罪の被害額は、2021年には世界で総額6兆ドル(約720兆円)規模に達するという試算もあります。

今や国家間の戦争行為から、情報やお金を盗む行為まで、インターネットはリアル社会以上の戦争および犯罪の攻防主戦場になりつつあります。そういった社会情勢に対応するため、急務とされているのがサイバーセキュリティの専門家の育成です。今回御紹介する企画書は、そんな海外のセキュリティ人材の実態についての興味深いレポートです。

 

【目次】
1. 今回の企画書の特徴
2. 『サイバーセキュリティ対策に係るエコシステム構築に向けたセキュリティ人材の海外実態調査報告書』から学ぶ
0. 表紙
0‐1.目次
1. 背景および目的
2. 調査目的
3. 調査結果
4. 調査結果の分析と考察
5. 企業における保有すべきサイバーセキュリティ人材と投資

 

1. 今回の企画書の特徴

今回の企画書のポイントを、以下に記します。

・昨今、サイバー攻撃により情報漏洩やサービスの停止、攻撃の踏み台にされて外部への攻撃を媒介してしまったりして、大きな被害が発生する場合がある
・経営者が十分なセキュリティ投資を行わずに社会に損害を与えた場合、法的な責任を問われる恐れがある
・レピュテーションの毀損による顧客離れや、インシデント対応に費やしたコストによって、財務的悪影響を与える可能性がある
・サイバーセキュリティ対策を「コスト」ではなく、事業の成長に必要な「投資」と捉えることが重要である
・多くの企業がサイバーセキュリティへの投資意欲が十分ではない要因の一つとして、サイバーセキュリティ対策に積極的に取り組んでいる企業が高く評価されるエコシステムが形成されていないことが挙げられる
・海外の各企業におけるサイバーセキュリティ人材の保有状況を取り上げ、企業のサイバーセキュリティ対策の成熟度との関係について検討する

 

リアルタイムでハッカーが攻撃している様子がわかる米セキュリティ会社North社の世界地図

この分野の第一人者の一人が、以前NHK『プロフェッショナル仕事の流儀』にも登場した名和利男氏です。名和氏は、日立製作所やDeNA、サイボウズなどをクライアントに持つ株式会社サイバーディフェンス研究所で活躍しています。

26万人いる技術者で、最も優秀だという評価が高いセキュリティ技術者名和年男氏


セキュリティのプロフェッショナルが語る~サイバー攻撃の深層・現状に迫る そしてとるべきアクションは 名和利男~

 

2. デロイトトーマツ作成『サイバーセキュリティ対策に係るエコシステム構築に向けたセキュリティ人材の海外実態調査報告書』から学ぶ

では、実際にデロイトトーマツが作成した企画書を見ていきましょう。

0. 表紙/『サイバーセキュリティ対策に係るエコシステム構築に向けたセキュリティ人材の海外実態調査報告書』

0‐1. 目次

1. 背景および目的

【背景および目的】

近年、企業によるITと情報の利活用は、業務効率化による収益向上だけでなく、グローバル競争を勝ち抜く上で必須の条件になっている。しかし一方でサイバー攻撃により情報漏洩やサービスの停止が発生したり、攻撃の踏み台にされて外部への攻撃を媒介してしまったりするなど、大きな被害が発生する場合がある。これらは企業が営む事業にとっての大きな脅威であるだけでなく、重要インフラの停止等、社会全体に対する脅威でもあり、それらは年々増大している。

経営者が必要十分なセキュリティ投資を行わずに顧客や社会に損害を与えた場合、リスク管理の是非にとどまらず、法的な責任に問われるおそれがある。またレビュテーションの毀損による顧客離れや、インシデント(※事故が発生する恐れのある事態)対応のために費やしたコストによって特別損失等が発生し、財務諸表に悪影響を与える場合もある。

またセキュリティ投資は、サイバー攻撃等を防止する能力の向上だけでなく、ITと情報の利活用により事業の収益を生み出す上でも重要な要素となる。企業が持続的に成長していくためには事業、サービスなどにおいて新たな施策(チャレンジ)が必要であり、そのために各種の投資を行っている。

一方で新たな施策には、新たなリスクが伴う。現在ではいかなる事業もITシステムでは成り立たないことから、新たな施策には新たなIT投資が必要となり、同時に新たなサイバーセキュリティ関連リスクが生まれるのである。したがって、インシデントによって事業の成長を減速させることのないよう、サイバーセキュリティ対策を「コスト」ではなく、事業の成長に資するものと位置付けて「投資」と捉えることが重要なポイントである。しかしながら、我が国においてはサイバーセキュリティ対策への費用を単なるコストとして捉える企業が多い状況であり、米国等と比較してその投資は小さな規模にとどまっている。

平成29年11月16日に、経済産業省は「サイバーセキュリティ経営ガイドライン」を改訂した。改訂内容は、このようなサイバーセキュリティ対策に係る遅れを米国等の水準に引き上げるための方向性を示すものである。

我が国にも金融機関、通信事業者等、他の業界と比してサイバーセキュリティに大きな投資をしている業種・業界はある。それらの業界等において大きな投資を行っている理由として、サイバーセキュリティインシデントの発生による社会的影響が特に大きいことや、政府によるサイバーセキュリティ対策の促進が行われていることが考えられる。この状況は、経営者に対してサイバーセキュリティ対策を行わないことによる社会的なリスク、事業としてのリスクの大きさを適切に認識するように促している。

一方で、多くの企業のサイバーセキュリティへの投資意欲が十分でない要因の一つとして、サイバーセキュリティ対策に積極的に取り組んでいる企業がより高く評価されるエコシステムが形成されていないことが挙げられる。サイバーセキュリティ対策への取り組みが適切に企業価値の評価に結びつく仕組みがあれば、企業がより多くの経営資源をサイバーセキュリティに投資することを期待できる。

こうした状況を踏まえて、本事業ではサイバーセキュリティへの投資促進を目的に、各企業におけるサイバーセキュリティ対策の実施状況を示す一つの指標として、セキュリティ人材の保有状況を取り上げ、企業のサイバーセキュリティ対策の成熟度との関係について検討する。具体的には、ユーザー企業の規模や特性に応じた雇用すべき人材の数・役割と企業のサイバーセキュリティ対策の成熟度との関係について、一定の指標を示すことで、各ユーザー企業の経営者が雇用すべきセキュリティ人材の数・役割を理解し、必要な人材を雇用できるようにする。これにより、投資家や(企業の顧客としての)ユーザーは企業のサイバーセキュリティ人材保有状況を適切に評価できるようになり、企業価値が向上することが期待される。更に、企業における事業リスクのコントロールを通じ、我が国全体のサイバーセキュリティ対策の向上を目指す。

2. 調査方法 2-1.調査のアプローチ 2-2.アンケート調査の実施内容

2. 調査方法 2-3.ヒアリング調査の実施内容

3. 調査結果 3-1.アンケート結果 3-1-1.回答者の属性①

3. 調査結果 3-1.アンケート結果 3-1-1.回答者の属性②

3. 調査結果 3-1-2.セキュリティ人員数の割合① (1)英国・米国企業におけるサイバーセキュリティ人員の割合①

3. 調査結果 3-1-2.セキュリティ人員数の割合② (2)英国企業におけるサイバーセキュリティ人員数の割合 (3)米国企業におけるサイバーセキュリティ人員数の割合

3. 調査結果 3-1-2.セキュリティ人員数の割合③ (4)英国・米国企業におけるサイバーセキュリティ管理者数と全従業員数の割合 (5)英国企業におけるサイバーセキュリティ管理者数と全従業員数の割合

3. 調査結果 3-1-2.セキュリティ人員数の割合④ (6)米国企業におけるサイバーセキュリティ管理者数と全従業員数の割合 (7)英国・米国企業におけるサイバーセキュリティ実務担当者数と全従業員数の割合

3. 調査結果 3-1-2.セキュリティ人員数の割合⑤ (8)英国企業におけるサイバーセキュリティ実務担当者と全従業員数の割合 (9)米国企業におけるサイバーセキュリティ実務担当者数と全従業員数の割合

3. 調査結果 3-1-3.担当役割の網羅度① (1)英国と米国におけるサイバーセキュリティの役割網羅度の割合

◆管理職の役割
①CISO、CRO、CIO等 ②サイバーセキュリティ統括室等 ③システム部門責任者 ④システム管理者 ⑤ネットワーク管理者 ⑥CSIRT責任者 ⑦監査管理者 ⑧教育管理者 ⑨法務管理者
◆実務担当者の役割
①サイバーセキュリティ事件・事故担当②セキュリティ設計担当③構築系サイバーセキュリティ担当④運用系サイバーセキュリティ担当⑤CSIRT担当⑥SOC担当⑦ISMS担当⑧監査担当⑨教育担当⑩法務担当

3. 調査結果 3-1-3.担当役割の網羅度② (2)英国におけるサイバーセキュリティの役割網羅度の割合 (3)米国におけるサイバーセキュリティの役割網羅度の割合

3. 調査結果 3-1-3.担当役割の網羅度③ (4)英国かつ米国におけるサイバーセキュリティの役割(管理職)網羅度の割合 (5)英国におけるサイバーセキュリティの役割(管理職)網羅度の割合

3. 調査結果 3-1-3.担当役割の網羅度④ (6)米国におけるサイバーセキュリティの役割(管理職)網羅度の割合 (7)英国かつ米国におけるサイバーセキュリティの役割(実務担当職)網羅度の割合

3. 調査結果 3-1-3.担当役割の網羅度⑤ (8)英国におけるサイバーセキュリティの役割(実務担当職)網羅度の割合 (9)米国におけるサイバーセキュリティの役割(実務担当職)網羅度の割合

3. 調査結果 3-1-4.セキュリティ成熟度①

3. 調査結果 3-1-4.セキュリティ成熟度②

3-2. ヒアリング結果 3-2-1.CISOに対するヒアリング結果

3-2. ヒアリング結果 3-2-2.CEOに対するヒアリング結果

4. 調査結果の分析と考察 4-1.分析結果(クロス集計)①

4. 調査結果の分析と考察 4-1.分析結果(クロス集計)②

4. 調査結果の分析と考察 4-2.分析結果(相関係数)①

4. 調査結果の分析と考察 4-2.分析結果(相関係数)②

4. 調査結果の分析と考察 4-3.ヒアリング結果の考察 4-4.分析と考察のまとめ

5. 企業における保有すべきサイバーセキュリティ人材と投資 5-1.ますます重要になる「橋渡し人材」 5-2.我が国の民間事業者が保有すべき今後のセキュリティ人材

5. 企業における保有すべきサイバーセキュリティ人材と投資 5-2.我が国の民間事業者が保有すべき今後のセキュリティ人材②

◆経営的機能
IT企画/全体統括管理、IT戦略、システム企画、事業継続、セキュリティ対策
◆実務的機能
基幹システム構築/基幹システム実装 インフラ環境構築/インフラ構築・実装、権限管理/権限管理、ユーザーサポート/ユーザーサポート セキュリティ対応&インシデント対応/セキュリティ対策 基幹システム運用/基幹システム運用 インフラ運用/データベース管理、ネットワーク管理 ヘルプデスク/ヘルプデスク システム監査/システム監査 購買調達/購買調達

5. 企業における保有すべきサイバーセキュリティ人材と投資 5-3.民間事業者がセキュリティ人材を雇用する際の評価指標

関連記事

  1. 外資コンサル企画書A.T.カーニー① 『製造基盤技術実態調査…

  2. 外資コンサル企画書アクセンチュア① 『ブラジルへの我が国企業…

  3. NTTデータ経営研究所『平成28年度 製造基盤技術実態等調査…

  4. シンクタンク企画書野村総合研究所① 『日本の不動産投資市場 …

  5. 外資コンサル企画書デロイトトーマツ① 『我が国のイノベーショ…

  6. 外資コンサル企画書ボスコン① 『新事業創出』企画書から学ぶ

おすすめ記事一覧