サイバーセキュリティ対策とは?海外のエコシステム人材とは?

サイバーセキュリティのニーズが、近年急速に高まっています。2019年5月5日、イスラエル国防軍は「ハマスのサイバー拠点を空爆した」と発表しました。敵対する武装組織ハマスがイスラエルの社会インフラにサイバー攻撃を行ったことに対し、無人機が上空からパレスチナ自治政府のガザ地区にあるハマスのサイバー攻撃拠点にミサイルを打ち込み、破壊したのです。

また2018年1月に発生した仮想通貨交換会社コインチェックから、約590億円分の仮想通貨「NEM(ネム)」が流出した事件に関しては、北朝鮮のハッカー集団「ラザルス」の関与を国連の北朝鮮制裁委員会が指摘しています。ちなみに米国の情報セキュリティ会社マンディアントによると、中国サイバー軍には英語の堪能な人員が数千人活動しているそうです。

投資の世界においてもサイバーセキュリティは関心が高く、2018年にみんなの株式が集計した「人気テーマランキング」では、1位キャッシュレス決済、2位人工知能、3位5G、4位サイバーセキュリティ、5位QRコード、6位セルフレジ、7位バイオテクノロジー、8位TOPIXコア30、9位半導体製造装置、10位JPX日経400と、4位に入るほど関心は高まっています。サイバー犯罪の被害額は、2021年には世界で総額6兆ドル(約720兆円)規模に達するという試算もあります。

今や国家間の戦争行為から、情報やお金を盗む行為まで、インターネットはリアル社会以上の戦争および犯罪の攻防主戦場になりつつあります。そういった社会情勢に対応するため、急務とされているのがサイバーセキュリティの専門家の育成です。今回御紹介する企画書は、そんな海外のセキュリティ人材の実態についての興味深いレポートです。

 

◆【JETRO】シリーズ「IT大国イスラエル」 ‐サイバーセキュリティ技術で日本市場へ‐

◆サーバー攻撃をリアルタイムに可視化!監視システムがカッコイイ!

 

【サイバーセキュリティとは】
サイバーセキュリティとは|FireEye
初心者でもわかる!サイバーセキュリティの現状と今後の方向性
サイバーセキュリティ―Wikipedia
サイバーセキュリティとは―コトバンク

【サイバーセキュリティ対策について】
サイバーセキュリティ対策とは?企業がやるべき防衛策
サイバーセキュリティ対策まとめ|一般的な対策・経営ガイドラインを解説
サイバーセキュリティ対策の社内事例:Vol.70 No2
サイバーセキュリティ対策情報開示の手引き(案)-総務省

 

【目次】
1. 今回の企画書の特徴
2. 『サイバーセキュリティ対策に係るエコシステム構築に向けたセキュリティ人材の海外実態調査報告書』から学ぶ
0. 表紙
0‐1.目次
1. 背景および目的
2. 調査目的
3. 調査結果
4. 調査結果の分析と考察
5. 企業における保有すべきサイバーセキュリティ人材と投資

 

1. 今回の企画書の特徴

今回の企画書のポイントを、以下に記します。

・昨今、サイバー攻撃により情報漏洩やサービスの停止、攻撃の踏み台にされて外部への攻撃を媒介してしまったりして、大きな被害が発生する場合がある
・経営者が十分なセキュリティ投資を行わずに社会に損害を与えた場合、法的な責任を問われる恐れがある
・レピュテーションの毀損による顧客離れや、インシデント対応に費やしたコストによって、財務的悪影響を与える可能性がある
・サイバーセキュリティ対策を「コスト」ではなく、事業の成長に必要な「投資」と捉えることが重要である
・多くの企業がサイバーセキュリティへの投資意欲が十分ではない要因の一つとして、サイバーセキュリティ対策に積極的に取り組んでいる企業が高く評価されるエコシステムが形成されていないことが挙げられる
・海外の各企業におけるサイバーセキュリティ人材の保有状況を取り上げ、企業のサイバーセキュリティ対策の成熟度との関係について検討する

 

リアルタイムでハッカーが攻撃している様子がわかる米セキュリティ会社North社の世界地図

この分野の第一人者の一人が、以前NHK『プロフェッショナル仕事の流儀』にも登場した名和利男氏です。名和氏は、日立製作所やDeNA、サイボウズなどをクライアントに持つ株式会社サイバーディフェンス研究所で活躍しています。

 

※おすすめの有名外資コンサル企画書事例
外資コンサル企画書マッキンゼー① 『製油所国際競争力』企画書から学ぶ
外資コンサル企画書マッキンゼー② 『諸外国における介護人材確保の動向確保に向けて』企画書から学ぶ
外資コンサル企画書ボスコン① 『新事業創出』企画書から学ぶ
外資コンサル企画書アクセンチュア① 『ブラジルへの我が国企業の発展促進にかかる調査・分析調査報告書』企画書
外資コンサル企画書アクセンチュア②『産業保安システム構築等に向けた調査・検討事業』企画書から学ぶ
外資コンサル企画書アクセンチュア③『平成30年度 省エネルギー等に関する国際標準の獲得・普及促進事業委託費』
外資コンサル企画書PwC① 『クールジャパン発掘のための産業分析調査』企画書から学ぶ
外資コンサル企画書A.T.カーニー① 『製造基盤技術実態調査』企画書から学ぶ
外資コンサル企画書アーサー.D.リトル① 『重要技術分野に関する技術動向等調査』企画書から学ぶ
外資コンサル企画書ローランドベルガー① 『知的財産権侵害対策強化事業』企画書から学ぶ
外資コンサル企画書デロイトトーマツ① 『我が国のイノベーション創出環境整備に関する調査研究』企画書から学ぶ
外資コンサル企画書デロイトトーマツ②『高度な自動走行システムの社会実装に向けた研究開発・実証事業調査報告書』
外資コンサル企画書デロイトトーマツ③『平成27年度産業技術調査事業成果報告書』から学ぶ

 

2. デロイトトーマツ作成『サイバーセキュリティ対策に係るエコシステム構築に向けたセキュリティ人材の海外実態調査報告書』から学ぶ

では、実際にデロイトトーマツが作成した企画書を見ていきましょう。

0. 表紙/『サイバーセキュリティ対策に係るエコシステム構築に向けたセキュリティ人材の海外実態調査報告書』

0‐1. 目次

1. 背景および目的

【背景および目的】
近年、企業によるITと情報の利活用は、業務効率化による収益向上だけでなく、グローバル競争を勝ち抜く上で必須の条件になっている。しかし一方でサイバー攻撃により情報漏洩やサービスの停止が発生したり、攻撃の踏み台にされて外部への攻撃を媒介してしまったりするなど、大きな被害が発生する場合がある。これらは企業が営む事業にとっての大きな脅威であるだけでなく、重要インフラの停止等、社会全体に対する脅威でもあり、それらは年々増大している。

経営者が必要十分なセキュリティ投資を行わずに顧客や社会に損害を与えた場合、リスク管理の是非にとどまらず、法的な責任に問われるおそれがある。またレビュテーションの毀損による顧客離れや、インシデント(※事故が発生する恐れのある事態)対応のために費やしたコストによって特別損失等が発生し、財務諸表に悪影響を与える場合もある。

またセキュリティ投資は、サイバー攻撃等を防止する能力の向上だけでなく、ITと情報の利活用により事業の収益を生み出す上でも重要な要素となる。企業が持続的に成長していくためには事業、サービスなどにおいて新たな施策(チャレンジ)が必要であり、そのために各種の投資を行っている。

一方で新たな施策には、新たなリスクが伴う。現在ではいかなる事業もITシステムでは成り立たないことから、新たな施策には新たなIT投資が必要となり、同時に新たなサイバーセキュリティ関連リスクが生まれるのである。したがって、インシデントによって事業の成長を減速させることのないよう、サイバーセキュリティ対策を「コスト」ではなく、事業の成長に資するものと位置付けて「投資」と捉えることが重要なポイントである。しかしながら、我が国においてはサイバーセキュリティ対策への費用を単なるコストとして捉える企業が多い状況であり、米国等と比較してその投資は小さな規模にとどまっている。

平成29年11月16日に、経済産業省は「サイバーセキュリティ経営ガイドライン」を改訂した。改訂内容は、このようなサイバーセキュリティ対策に係る遅れを米国等の水準に引き上げるための方向性を示すものである。

我が国にも金融機関、通信事業者等、他の業界と比してサイバーセキュリティに大きな投資をしている業種・業界はある。それらの業界等において大きな投資を行っている理由として、サイバーセキュリティインシデントの発生による社会的影響が特に大きいことや、政府によるサイバーセキュリティ対策の促進が行われていることが考えられる。この状況は、経営者に対してサイバーセキュリティ対策を行わないことによる社会的なリスク、事業としてのリスクの大きさを適切に認識するように促している。

一方で、多くの企業のサイバーセキュリティへの投資意欲が十分でない要因の一つとして、サイバーセキュリティ対策に積極的に取り組んでいる企業がより高く評価されるエコシステムが形成されていないことが挙げられる。サイバーセキュリティ対策への取り組みが適切に企業価値の評価に結びつく仕組みがあれば、企業がより多くの経営資源をサイバーセキュリティに投資することを期待できる。

こうした状況を踏まえて、本事業ではサイバーセキュリティへの投資促進を目的に、各企業におけるサイバーセキュリティ対策の実施状況を示す一つの指標として、セキュリティ人材の保有状況を取り上げ、企業のサイバーセキュリティ対策の成熟度との関係について検討する。具体的には、ユーザー企業の規模や特性に応じた雇用すべき人材の数・役割と企業のサイバーセキュリティ対策の成熟度との関係について、一定の指標を示すことで、各ユーザー企業の経営者が雇用すべきセキュリティ人材の数・役割を理解し、必要な人材を雇用できるようにする。これにより、投資家や(企業の顧客としての)ユーザーは企業のサイバーセキュリティ人材保有状況を適切に評価できるようになり、企業価値が向上することが期待される。更に、企業における事業リスクのコントロールを通じ、我が国全体のサイバーセキュリティ対策の向上を目指す。

本事業では、サイバーセキュリティ対策に係るエコシステムの形成のために必要となる、企業で確保すべき人材の定義と企業の人材雇用における評価指標を検討するための視座を得ることを目的として調査を行う。

2. 調査方法 2-1.調査のアプローチ 2-2.アンケート調査の実施内容

◆調査のアプローチ
◇2.1 調査のアプローチ
サイバーセキュリティ対策やサイバーセキュリティ人材のキャリアパス等の整備が進んでいると想定される国において、企業のサイバーセキュリティ対策の実態を詳細に把握していると考えられる最高情報セキュリティ責任者(CISO)等に対して、サイバーセキュリティ人材とサイバーセキュリティ対策の成熟度をアンケートとヒアリングで調査する。

アンケートでは定量的な調査を、ヒアリングではアンケートで確認できない定性的な内容(CISO 等からセキュリティ人材の実態/CEO 等から経営的な観点でのサイバーセキュリティ人材の活用)を調査する。なお今回の調査では英国及び米国を対象国とした。

◇2.2 アンケート調査の実施内容
・調査対象/英国と米国のサイバーセキュリティに従事している人を各 200 人程度とした。
・調査方法/インターネットと Web サイトを用いた選択式アンケートによる。
・調査内容/回答者が所属する組織(企業等)においてサイバーセキュリティに関わる人員数、組織が保有しているサイバーセキュリティに係る役割、組織のセキュリティ成熟度等を調査した。なお、民間事業者におけるサイバーセキュリティに係る人材の役割は、産業横断サイバーセキュリティ人材育成検討会の「産業横断 人材定義リファレンス」の定義に従った。

◇2.3 ヒアリング調査の実施内容
・調査対象/英国と米国の現在もしくは過去に CISO、CEO 等の経験を持つ、それぞれ1名(計4名)である。
・調査方法/電話会議を用いた口頭でのヒアリングによる。
・調査内容/CISO に対して保有するセキュリティ人材、他社との情報交換の状況、保有するセキュリティ人材のキャリアパス、CISO 自身のキャリア等、CEO に対してセキュリティ人材に関するキャリアプラン、自社のサイバーセキュリティ対策に関わる CEO の関与等である。

2. 調査方法 2-3.ヒアリング調査の実施内容

3. 調査結果 3-1.アンケート結果 3-1-1.回答者の属性①

3. 調査結果 3-1.アンケート結果 3-1-1.回答者の属性②

3. 調査結果 3-1-2.セキュリティ人員数の割合① (1)英国・米国企業におけるサイバーセキュリティ人員の割合①

3. 調査結果 3-1-2.セキュリティ人員数の割合② (2)英国企業におけるサイバーセキュリティ人員数の割合 (3)米国企業におけるサイバーセキュリティ人員数の割合

3. 調査結果 3-1-2.セキュリティ人員数の割合③ (4)英国・米国企業におけるサイバーセキュリティ管理者数と全従業員数の割合 (5)英国企業におけるサイバーセキュリティ管理者数と全従業員数の割合

3. 調査結果 3-1-2.セキュリティ人員数の割合④ (6)米国企業におけるサイバーセキュリティ管理者数と全従業員数の割合 (7)英国・米国企業におけるサイバーセキュリティ実務担当者数と全従業員数の割合

◇3.1.3 担当役割の網羅度
サイバーセキュリティに関連する役割は、前出の産業横断サイバーセキュリティ人材育成検討会による「産業横断 人材定義リファレンス」を利用した。

ただしこのリファレンスは主に技術的な人材の役割に焦点を当てているため、一般的に組織全体の情報セキュリティマネジメントに必要と考えられる役割を独自に加え、9つの管理職と10個の実務担当職とした(表2、表3)。この合計19の役割の中で、どの役割を担う従業者を雇用しているかを質問し、雇用している従業者が担っている役割数合計を19で除して網羅度を算出した。

3. 調査結果 3-1-2.セキュリティ人員数の割合⑤ (8)英国企業におけるサイバーセキュリティ実務担当者と全従業員数の割合 (9)米国企業におけるサイバーセキュリティ実務担当者数と全従業員数の割合

3. 調査結果 3-1-3.担当役割の網羅度① (1)英国と米国におけるサイバーセキュリティの役割網羅度の割合

◆管理職の役割
①CISO、CRO、CIO等 ②サイバーセキュリティ統括室等 ③システム部門責任者 ④システム管理者 ⑤ネットワーク管理者 ⑥CSIRT責任者 ⑦監査管理者 ⑧教育管理者 ⑨法務管理者
◆実務担当者の役割
①サイバーセキュリティ事件・事故担当②セキュリティ設計担当③構築系サイバーセキュリティ担当④運用系サイバーセキュリティ担当⑤CSIRT担当⑥SOC担当⑦ISMS担当⑧監査担当⑨教育担当⑩法務担当

3. 調査結果 3-1-3.担当役割の網羅度② (2)英国におけるサイバーセキュリティの役割網羅度の割合 (3)米国におけるサイバーセキュリティの役割網羅度の割合

3. 調査結果 3-1-3.担当役割の網羅度③ (4)英国かつ米国におけるサイバーセキュリティの役割(管理職)網羅度の割合 (5)英国におけるサイバーセキュリティの役割(管理職)網羅度の割合

3. 調査結果 3-1-3.担当役割の網羅度④ (6)米国におけるサイバーセキュリティの役割(管理職)網羅度の割合 (7)英国かつ米国におけるサイバーセキュリティの役割(実務担当職)網羅度の割合

◇3.1.4 セキュリティ成熟度
サイバーセキュリティ対策における成熟度を測定するフレームワークは、米国NISTによる「CYBER SECURITY FRAMEWORK」などがある。しかし実際に成熟度を測定するためには相当数の確認項目についてアセスメントを行う必要があり、今回のアンケートによ
る調査と分析に適用するのは難しい。

そのため選択式のアンケートで簡便に成熟度を測定する手法として、Deloitte Canada が公開している高・中・低の3段階の評価モデル「CyberSecurity everybody’s imperative6」を参照・利用した。各設問に示されたアンケート項目のうち、「高」の項目を選択した場合8点、「中」を選択した場合は4点、「低」を選択した場合は0点を付与し、全ての点数を合計して成熟度の点数とした。この合計点数で成熟度のレベルを図るものとし、0~80 点を低、81~160 点を中、161~を高とした。7サイバーセキュリティ成熟度の平均点、最大点、最小点、中央点は表4の結果となった。

3. 調査結果 3-1-3.担当役割の網羅度⑤ (8)英国におけるサイバーセキュリティの役割(実務担当職)網羅度の割合 (9)米国におけるサイバーセキュリティの役割(実務担当職)網羅度の割合

3. 調査結果 3-1-4.セキュリティ成熟度①

3. 調査結果 3-1-4.セキュリティ成熟度②

3-2. ヒアリング結果 3-2-1.CISOに対するヒアリング結果

3-2. ヒアリング結果 3-2-2.CEOに対するヒアリング結果

4. 調査結果の分析と考察 4-1.分析結果(クロス集計)①

4. 調査結果の分析と考察 4-1.分析結果(クロス集計)②

4. 調査結果の分析と考察 4-2.分析結果(相関係数)①

◇4.3. ヒアリング結果の考察
CISO、CEO へのヒアリングでは、いずれもサイバーセキュリティに係る必要な人材を確保することには前向きな姿勢であった。また社内の人材に対する教育や資格取得等についても企業側で費用を負担するなど積極的な取り組みを行っていた。欧米の企業については、ともすると雇用の流動性が高く、個人のスキル向上については自助努力や自己投資に依存しているようなイメージがあるが、今回ヒアリングした限りにおいてはサイバーセキュリティ人材の育成について相応にコストを負担する姿勢がうかがわれた。

一方で、高度な専門知識等を必要とする特定の領域(インタビューではSOC運用やアプリケーションのコードレビュー等)については外部の人材を活用することで、内部人材との組み合わせによる効率的な人材確保を行っているという現実も確認された。

このように内部人材の育成に対する積極的なコスト負担や、特に高度な専門性の必要な領域についてはアウトソーシングする方針については、我が国の企業とあまり変わらない印象が強かった。これは昨今の我が国同様、世界的にサイバーセキュリティ人材が不足気味であることを示唆しているとも考えられる。

加えていずれのCISOからも、今後求められるセキュリティ人材として、AIやIoT等の先進技術の活用とサイバーセキュリティ対策に対応できる人材を想定しているというコメントが得られた。これは、サイバーセキュリティ人材もIT関連技術の激しい変化に対応していく柔軟性や継続的な育成が必要であり、それに対しても経営者が継続的に投資していく必要があることを示していると言えよう。

◇4.4. 分析と考察のまとめ
アンケート結果の分析では、規模が大きい企業のほうが比較的サイバーセキュリティ対策の成熟度が高くなる傾向がみられた。

雇用している関連人材の数と役割については、成熟度が高い企業のほうが従業員数に対するサイバーセキュリティ関連人員数を、複数の役割において人員を雇用・保有しているという傾向がみられた。

分析の結果は人材の数、役割のいずれも直接強い影響を及ぼしているというものではないが、元来サイバーセキュリティ対策の成熟度は多くの要素が複雑な影響を及ぼしていることを考慮すれば、一定の相関があると考えられる。このことから、いずれかの特定の役割(CISO、CSIRT 担当等)を担う人材を保有すれば良いというわけではなく、各種の役割を担う、異なるスキルセットを持った人材をバランスよく雇用・保有することが重要だと考えられる。

4. 調査結果の分析と考察 4-2.分析結果(相関係数)②

5. 企業における保有すべきサイバーセキュリティ人材と投資

◇5.1 ますます重要になる「橋渡し人材」
NISC(内閣サイバーセキュリティセンター)の「企業のサイバーセキュリティに関するNISC の調査結果(速報)について」によると、経営層のサイバーセキュリティの重要性の認識は高いが、理解を深め、推進する必要があるとされている

また、IPAの「情報セキュリティ人材の育成に関する基礎調査」によると、「管理職にセキュリティについて理解し、判断できる人がいない。」といった問題がセキュリティ推進の障害となっている可能性があり、サイバーセキュリティに関する理解に加えて、経営層を動かし協力を得ることのできる人材が必要とされている。

一方で、本アンケート調査によると、海外企業では「システム管理者」、「ネットワーク管理者」および「教育管理者」といった情報システムのセキュリティ管理やそれらをサポートする経験を持ち、更に経営職との調整経験を持つ等、サイバーセキュリティと経営の双方に理解・スキルを持った人材の雇用が顕著であることが判明している。

またアンケート調査結果では CISO等を雇用している企業が相当数あり、CISOが経営層と実務者層をつなぐ役割を担っている可能性もある。海外における「C」が付く役職者(C-Suite とも呼ばれる)は基本的に実務者ではなく、経営層として意思決定をする立場である。しかしCISOの多くは、専門的な知見が必要であることから、おそらく過去には実務経験もあるであろうし、そうであれば実際には現場の立場を理解しながら他の経営陣との調整役を担う場合もあると考えられる。

NISCの「サイバーセキュリティ人材育成総合強化方針」によると、このような経営層と実務者層との間のコミュニケーションを円滑にする人材は「橋渡し人材」と呼ばれ、当該人材の確保・育成が急務であるとされている。上記の我が国と海外の状況の差は、この「橋渡し人材」の雇用促進状況の差であるとも考えられる。

したがって、今後経営層には、サイバーセキュリティに対する理解を更に深める努力や施策を講じていくとともに、経営と実務の現場を結び付けることが可能な人材を雇用していくことが求められていくであろう。また今後は我が国として「橋渡し人材」の人材モデルや必要なスキルは何か等の具体的な議論を行った上で、その育成について検討していく必要がある。

4. 調査結果の分析と考察 4-3.ヒアリング結果の考察 4-4.分析と考察のまとめ

◇5.2 我が国の民間事業者が保有すべき今後のセキュリティ人材

既によく知られているようにサイバーセキュリティ人材といっても多くの専門分野があり、企業内部において担う役割も多様である。その中には、情報セキュリティに関連する管理経験を持つ「システム管理者」、「ネットワーク管理者」や情報セキュリティ業務をサポートする「教育管理者」等が含まれている。

サイバーセキュリティに関連する管理経験を持つ管理者という点では、「産業横断人材定義リファレンス」における同役職で求められる能力と一致していた。また、サイバーセキュリティ業務をサポートするという点では、追加した役職で求められる能力と一致していた。このことは、求められる人材が必ずしもサイバーセキュリティの「専業者」だけではなく、一般的な管理者や運用担当者でありながら、一定レベル以上のサイバーセキュリティに関する知識・経験を持つ人材が必要であるということを示唆している。

5. 企業における保有すべきサイバーセキュリティ人材と投資 5-1.ますます重要になる「橋渡し人材」 5-2.我が国の民間事業者が保有すべき今後のセキュリティ人材

5. 企業における保有すべきサイバーセキュリティ人材と投資 5-2.我が国の民間事業者が保有すべき今後のセキュリティ人材②

◆経営的機能
IT企画/全体統括管理、IT戦略、システム企画、事業継続、セキュリティ対策
◆実務的機能
基幹システム構築/基幹システム実装 インフラ環境構築/インフラ構築・実装、権限管理/権限管理、ユーザーサポート/ユーザーサポート セキュリティ対応&インシデント対応/セキュリティ対策 基幹システム運用/基幹システム運用 インフラ運用/データベース管理、ネットワーク管理 ヘルプデスク/ヘルプデスク システム監査/システム監査 購買調達/購買調達

5. 企業における保有すべきサイバーセキュリティ人材と投資 5-3.民間事業者がセキュリティ人材を雇用する際の評価指標