対サイバー攻撃用の情報セキュリティー人材に不足無し^^;

セキュリティー人材、消えた「19万人不足」
2018/8/28 6:30日本経済新聞　電子版

　サイバー攻撃の増加を背景に、情報セキュリティー人材の不足を指摘する声が多い。経済産業省の2016年の調査では「20年に国内で19万3000人が不足する」と予測したほどだ。だがサイバー防衛の現場からは「不足感はない」との反論が多い。背景には「理想的な状況」を想定して必要な人材数を割り出した経産省と、実務の大部分を外部に委託している一般企業との「食い違い」があった。

　「うちの人材を引き取ってくれないか」――。サイバーセキュリティーを手掛けるＩＴ（情報技術）企業の幹部は最近、顧客である一般企業からこんな話を内々に持ちかけられた。

　この企業は情報セキュリティーへの意識が高く、数年前に自社にサイバー攻撃に対処する専門チームを編成していた。ＩＴ企業からセキュリティーに強い人材を引き抜いたり、チームメンバーに関連資格を取得させたりしてきたという。

　ところが、その企業がチームを組織したときに想定したような深刻な攻撃は起きていない。資格保有者は仕事がなく、スキルも意欲も停滞している。社内の他の部門からは「コストをかけ過ぎでは」と厳しい視線が向けられている。

■専門会社「特に不足感はない」

　情報セキュリティーサービス企業の代表格であるラックでは「他のＩＴ分野と比べて、特に人材が不足しているわけではない」（中間俊英常務執行役員サイバーセキュリティ事業部長）との声が上がる。少なくとも、セキュリティー監視サービスなどの事業運営に支障を来すような状況は予測しづらいという。

　経産省の予測と現場の温度差はなぜ生じたのか。実は調査の前提と現実に大きな隔たりがあった。調査は一般企業の各事業部門にもサイバーセキュリティーを理解する人材が必要という前提で人数を推計している。19万3000人が不足するという予測のうち９割の17万2000人はこのタイプの人材が占めている。

　経産省の調査を受託したみずほ情報総研の冨田高樹経営・ＩＴコンサルティング部課長は「当時は内閣サイバーセキュリティセンターなどで、事業部門にもサイバーセキュリティーを理解する人材が必要という議論が活発だった」と説明する。

　一般企業の事業部門がＩＴ部門を通さずにクラウドサービスを活用するケースが増えるとの予測から「そうであれば事業部門にもセキュリティー人材が必要になるはずだ」という「あるべき姿」を描いたのだ。

■一般企業、実務は外部に委託

　だが、実際は事業部門が主導してクラウドを活用する場合でも、セキュリティー対策はＩＴ企業にほぼ任せきりというケースが多い。セキュリティー人材がいなくても現場では深刻な人手不足に感じられない理由はここにある。

　いざという時の備えとして専門家を雇うか、コスト優先で外部の企業に委託するか――。日本企業の過半数は後者を選んでいる。

　ＰｗＣコンサルティングの調査によると、「社内ビジネス部門をサポートする専任セキュリティー要員を雇っているか」という問いに対し「専門家を配備中」と回答した日本企業は31％。56％は「外注もしくは配備予定なし」との回答だった。海外ではこの比率が逆転し「配備中」が48％、外注が39％となる。

　20年の東京五輪には世界中の注目が集まる。過去の五輪の例からみても、今は20年に向けてサイバー攻撃者の標的が日本政府や日本企業に向き始める時期だ。大規模な攻撃に備える意味でも、セキュリティー人材の不足感が高まってもおかしくない。だが、実態はそうなっていない。

　日本ＩＢＭの纐纈昌嗣執行役員セキュリティー事業本部長は「人工知能（ＡＩ）の進歩が見逃せない」と指摘する。専門性が低い作業をＡＩに任せられるようになるので、人材を大幅に増やさずに済むため、切迫感が乏しいという。

　監視サービスを例に取ると、既知のサイバー攻撃を検出して遮断するといった用途にＡＩを生かせる。人間はＡＩだけでは判断が付かない攻撃の分析などに業務の重点を移せる。このため人材不足が高まらないようだ。

　米ＩＢＭはＡＩ型コンピューター「ワトソン」を活用するセキュリティー運用監視代行の試験サービスを米国で始めた。日本でも20年にも始める予定という。

　切迫感の乏しさは企業の投資額にも表れている。ＫＰＭＧコンサルティングが17年に500億円以上の売上高の企業に実施した調査では、サイバーセキュリティー対策の１年間の投資額を1000万円未満と回答した割合が47％を占め、3000万円以上と相応の額を投資する企業は19.2％だけだった。

　17年度に予算を増やすとした企業も３割どまりだった。これでは人材を増やしたり育成したりするのは難しい。

　その一方で、企業や組織を標的にしたサイバー攻撃は悪質化・巧妙化が著しい。昨年12月には日本航空が取引先企業を装ったビジネスメール詐欺に遭い、３億8400万円をだまし取られたと発表している。

■「有事」起きれば経営に影響

　セキュリティー専門のシンクタンクである日本サイバーセキュリティ・イノベーション委員会（ＪＣＩＣ）の上杉謙二主任研究員は「サイバー攻撃に遭うと直接的な金銭被害だけでなく、間接的にも大きな損失を被る」と指摘する。

　同社の調査によると、過去に情報漏洩事故を引き起こした日本企業の純利益は平均で21％減少し、株価は同10％下落したという。

　企業のセキュリティー事情に詳しい情報安全保障研究所の山崎文明氏は「一般企業に必要なのは有事の指揮官」と指摘する。攻撃があった場合にセキュリティーサービス企業とうまく連携し、現場の技術者を指揮できる「セキュリティーのプロ」をいかに確保するかが日本企業に問われている。（島津忠承）

［日経産業新聞　２０１８年８月２７日付］
https://www.nikkei.com/article/DGXMZO34590330U8A820C1X11000/
＞「一般企業に必要なのは有事の指揮官」

火事になった時に消防車が来るまでに初期消火や避難誘導を行うのと一緒です。
管理職に行動マニュアルの講習を受けさせたり、一般社員に事例を報告したりで問題意識を高めてもらうのが合理的でしょう。

ガードマンは必要ですが、各企業が警察や軍隊まで持つ必要はないって事です。
企業のセキュリティーはオーバースペックなのです^^;

ただし、公安や軍隊には必要です。
こちらからも攻撃できれば相手も躊躇するのですが、日本は無理か^^;