1.今後企業が直面する課題…セキュリティを維持する人材の減少

①サイバーセキュリティ人材の減少

現在、サイバーセキュリティ分野では専門家不足が深刻な問題となっています。サイバー攻撃の脅威が増加しているにもかかわらず、それに対抗するための人材が不足しているため、各団体がセキュティ技術者を増やすべく対策をとっていますが、それでもまだ不足が予想されています。
多くの企業では近い将来、セキュリティの専門家を確保することが難しくなっていく可能性があります。あるいはすでに現在進行形で、そういった課題を抱えている組織もあるかもしれません。人材不足の中で、組織のセキュリティ維持をどうするか、今後は真剣に検討していく必要があります。

②専門家とは？

セキュリティ技術者という専門家が足りない…そもそも「専門家」とは何でしょうか？もちろん、専門分野における資格を持つ人々は非常に分かりやすい「専門家」ですが、そうではない場合、「専門家（プロ）」の要素とは何でしょうか？

「1万時間の法則」という言葉があります。これはマルコム・グラッドウェルの著書やラズロ・ポルガーの研究で提唱されたもので、専門家とは生まれ持った才能ではなく、環境と意図的な訓練によって育つものとしています。この法則によれば、ある分野で高い技術を身につけるには約1万時間の練習が必要だとされています。
1万時間を1日8時間の労働として計算すると、約1250日、つまり年間240日働くとすると5年以上の時間が必要です。
単に時間のみに基づいたこの理論には議論の余地があるものの、5年以上継続して同じ分野に携わり、十分な知識と経験を持っているという点において、「専門家」のイメージとしては一般的な共通認識と言ってよいでしょう。
5年以上の専門分野経験者…あなたがもし企業の採用を担当する立場だとしたら、こういったキャリアを目にしたとき、即戦力となりそうな期待を抱きませんか？
けれど、こういった人材の確保ができないとなった場合、企業や組織ではどういった影響があるか、その対策をどうするかを考える必要があります。

③人材不足の中で、企業のセキュリティを維持するには

セキュリティ人材の減少に伴い、企業がセキュリティを維持するには、限られた専門家の力を最大限に活用し、かつ、従業員一人一人のセキュリティ意識を高めることが重要です。
もちろん、今後、AIや自動化技術などによって人材不足を穴埋めできる手段が出現する可能性もあります。しかし、全社員が基本的なセキュリティ知識を持つことで、専門家に頼りすぎない体制を構築し、企業全体での防御力を高めることは、新しい技術の導入よりも安価で確実なセキュリティ維持につながります。何より、「今すぐ」開始可能な対策です。

2.内部ユーザ向けのセキュリティの検討

①People Centric Securityという考え方

「People Centric Security」は、従来の技術中心のセキュリティ対策から「人」を中心にしたセキュリティアプローチに移行する考え方です。従来のセキュリティ対策はファイアウォールや暗号化などのインフラやシステムに対しての対策が中心でしたが、これではヒューマンエラーや内部の脅威を十分に防ぐことができません。
「People Centric Security」では、組織の全従業員がセキュリティに関与し、責任を持つことが重要です。従業員が自らの行動がセキュリティにどのように影響を与えるかを理解することで、セキュリティリスクを低減し、組織全体の防御体制を強化できます。

②セキュリティ教育の重要性

セキュリティ教育の積極的な展開は、組織の防御力を高めるための重要な要素です。そのためには、従業員が段階的にセキュリティ知識を習得できる体系的なトレーニングを導入することが効果的です。
実施するセキュリティ教育の内容は、技術的知識だけでなく、実際のリスクを理解し、フィッシング攻撃の見分け方やデータの安全な取り扱い、ソーシャルエンジニアリングへの対処方法など、実務に直結したスキル向上を意識したものが推奨されます。

セキュリティ教育が実業務とは異なる分野である場合、あまり教育に時間をかけるべきではないという考え方もあるでしょう。しかし、セキュリティインシデントによっては業務への影響が発生してしまい、中には業務停止となるケースもありますので、セキュリティ教育を含めたセキュリティ対策と業務は分けて考えるべきではなく、業務プロセスの一部として捉えるべきです。
また、ユーザ自身が脅威に対して適切に判断・対応できるようになれば、専門家の稼働が減るばかりか、インシデントへの即時対応も期待できます。
そして、この取り組みを継続的に実施していくことで、社内で「セキュリティ専門家」を育成できる可能性があります。

③内部不正対策の強化

従業員や内部ユーザによって引き起こされる内部不正は、組織にとって非常に大きなリスクです。
内部不正は、従業員の故意（悪意）、知識不足、あるいは不注意などによって引き起こされます。
従業員や内部ユーザは組織内の重要情報へ的確にアクセスできる可能性が高いため、内部不正による被害は甚大なものになり、ひとたびインシデントが発生した場合は対応に膨大な時間が費やされることになる可能性があります。
People Centric Securityのアプローチでは、可視化できる業務環境を整備し、「人」である従業員が不正行為に走るリスクを軽減するためのモニタリングや監査を必要とします。また、職務分掌を明確にし、内部不正に関するユーザ教育の実施や不正操作への警告を提示することで、不正行為を未然に防ぐことができます。

3. まとめ

サイバーセキュリティにおける人材不足は深刻な課題ですが、People　Centric　Securityの考え方を取り入れつつセキュリティ教育を推進することで、従業員一人ひとりがセキュリティ意識を持ち、企業や組織全体でセキュリティ文化を育むことが可能となります。また、外部脅威だけでなく、内部不正脅威にも対処できる体制を築くことが、未来のセキュリティにおいて重要な鍵となるでしょう。

People　Centric　Securityの企業、Proofpoint社はこちら
セキュリティ教育　PSATはこちら
内部不正対策　ITMはこちら