ITを俯瞰する  ·  2022/09/24

    「情報セキュリティ白書2022」から今を読む ~セキュリティ人材不足とその対策~

    松田 幸裕 記

    1週間前、そして今週と、3連休が2回続いていますが、皆さんいかがお過ごしでしょうか。台風によって影響を受けている方々も多いでしょう。休日に来ればレジャーなどで影響を受け、平日に来れば仕事で影響を受け、、、どうやっても止められない台風というものは厄介なものですね。

    台風を撲滅することは現状できないため、「with コロナ」ならぬ「with 台風」で行くしかありません。現地に行かなければ仕事ができない場合は別として、そうでない人は生産性を落とすことなくワーク・フロム・ホームをできる環境を整える、なども重要ですね。コロナ禍で経験したワーク・フロム・ホームなどの経験を「with 台風」にも活かしていければいいですね。

    本題に入ります。少し前になりますが、7月に情報処理推進機構(IPA)より「情報セキュリティ白書2022」が発行されました。現在のセキュリティインシデント発生状況、各種インシデントの特徴と対策などが整理されていて、とても参考になります。ボリュームのある内容ですが、ぜひ一度読んでみてほしい資料です。

    セキュリティ人材不足の現状

    詳細は白書の「2.3.1 情報セキュリティ人材の状況」を読んでいただきたいですが、米国やオーストラリアとと比較して日本はセキュリティ人材の不足が深刻化しているようです。米国・オーストラリアでは「人材が不足している」という企業は10%強ですが、日本では90%となっています。元々日本では人材不足が深刻化してきていて、その中でもIT人材不足はより深刻化しています。そこから考えると、セキュリティ人材不足も深刻化していることは容易に想像がつきますが、それにしてもこの海外との差は衝撃的ですね。

    セキュリティ人材不足の原因は?

    白書では、セキュリティ人材不足の理由として「セキュリティ業務システム化の標準化・自動化が進んでいない」などが挙げられています。いろいろな見方があると思いますが、個人的にはセキュリティ人材を育成できていないことが大きな問題のように感じています。「セキュリティ人材」というと、セキュリティ技術に詳しく、攻撃手法についても詳細に理解しているような人をイメージしてしまいがちですが、企業に必要なセキュリティ人材という意味では、(知っているに越したことはないですが)そこまで詳しくなくても問題はありません。「自社内におけるセキュリティリスクは?」、「それらのリスクへの対策は?」などを検討でき、ITに詳しいメンバーと協力し合って対策を講じることができる人であればいいので、そのような人を育成すれば不足状況も緩和されると思っています。

    セキュリティ人材の育成

    セキュリティ対策をシンプルに考えると、以下のようなイメージになります。セキュリティのプロから見ると「そんな甘いものではない!」と叱られるかもしれませんが…各企業でのセキュリティ人材を育成するという意味では、このくらいシンプルな方がよいと思って、ご容赦ください。

    <自社で所有している情報の整理>
    「絶対に守らなければいけない情報」、「できる限り守るべき情報」などのような粒度で、情報を分類します。この後に行うリスク整理や対策整理などは、情報の機密性・重要性によって変わるため、情報の分類ごとに整理を行うことをお勧めします。

    <情報への被害が発生するリスクの整理>
    情報が漏洩する、情報を損失する等の被害がどのような経緯で発生する可能性があるのかを、整理します。リスクは外部からの攻撃のみでなく、内部での過失・故意の漏洩などもあるため、極力網羅的になるように整理します。また、それぞれのリスクを「発生可能性」と「発生した時の影響」の2軸で大きさとして表現することも重要です。厳密には、「リスクレベル = 資産の価値 × 脅威 × 脆弱性」で示されるため、これらの要素でより細かく整理できればなおよいですが、脅威と脆弱性をまとめてリスクとして扱って整理しても、大きな問題はないと思います。

    <リスクへの対策の整理>
    整理した数々のリスクに対し、どのように向き合うかを検討していきます。技術的・ルール的に対策をするというだけでなく、「リスクを受容する」、「その情報を保持すること自体をやめる」、「保険をかける」などの選択肢含めて検討する必要があります。また、対策を行う場合はその対策を「実現容易性」と「効果」の2軸で表現して判定し、優先度を判断していきます。

    リスクの整理、対策の整理は難しそうに見えますが、この情報セキュリティ白書などにもかなり網羅的にリスクが整理されていますし、その対策についても書かれています。また、セキュリティ対策ソリューションを提供する企業から情報を得ることで、具体的ににどのような対策方法があるのかも理解できます。特別なセキュリティ関連のスキルがなくても、かなりのことはできると思いますので、「セキュリティ人材でないとセキュリティ対策は進められない」という固定観念を捨て、人材を確保して対策を進めることをお勧めします。