★☆★JNSAメールマガジン 第26号 2014.1.10.☆★☆
こんにちは
JNSAメールマガジン 第26号 をお届けします。
例年より少し長かったお正月休みも終わり、日々の生活リズムもようやく戻ってきた頃ではないでしょうか。今週末は3連休の方も多いのではないかと思いますが、日本列島にはこの冬一番の寒気が流れ込み、かなり冷え込むそうです。体調を崩さないようあたたかくしてお過ごしください。
さて、今回の連載リレーコラムは、指導者育成セミナー講師WGリーダーで株式会社大塚商会 セキュリティ・ソフトウェアプロモーション課 課長 持田 啓司様からの寄稿です。
昨年の日本国内情勢は、まだまだ実感としての好景気とは言えないまでも、株価上昇や東京五輪招致決定など、明るい話題が多かったような気がします。企業の投資意欲は実質的な投資効果だけで判断するものではないため、将来を見据えて様々な投資が行われ、中長期的には経済効果として時間できるものになってくると思います。
ところで、情報セキュリティの現状に目を向けてみると、さまざまな分野で対策の遅れが目立ち始めているように思います。これは過去からあるリスクはそのままに、新しいタイプの攻撃や脅威が増加していることで、情報セキュリティ事象に対応できる人材の不足が顕著になってきているためと言えます。
では、現状の情報セキュリティに関わる人材の育成はどうなっているのか、少し触れてみたいと思います。
「情報セキュリティは毎日のオペレーションで必須知識ではないため、教育投資をしてもらえない」、「様々な情報があふれているため、学習しなくても分かったつもり、あるいはわかっているだろうと思われている」、「教育を受ける時間の確保が難しい」。
これらは教育の実施に消極的な企業や経営者、担当者からよく聞かれる理由であり、特に情報セキュリティ教育に限ったことではありません。しかし、特に何も起こらないのが対策効果である情報セキュリティは、この消極的意見に対する反論がしにくいところです。実は教育を受けたいと思っている情報セキュリティの担当者も、上司にはなかなか言い出しにくいというのが本音でしょう。
さて、情報セキュリティに限らず、教育を行うまでに必要な実施項目を整理してみると、おおむね以下のような内容が必要となります。
(1)組織として必要なタスクとそれに必要なスキルの洗い出し
(2)組織内でそのスキルを持った人材の把握
(3)タスクを推進するには不足しているスキル項目の学習あるいは人材採用
(4)不足しているスキルの蓄積方法(教育、採用)検討、実施
どうでしょうか、人事の教育担当者でなければ思いつかないような内容ではないでしょうか。また、わかっていると思っていても、具体的な作業に入ると、どう進めていいかが分からないという状況になるはずです。実際に各企業の方々と話をしても、これらの項目を具体的に把握して、研修計画まで組み立てている企業は本当にごくわずかなのです。
つまりは、人材を育成する側の人材育成スキルの不足が大きく影響していると言えなくないわけです。この問題は、1990年代のバブル崩壊後の失われた10年で大きくなりました。人材育成を専門で行ってきた部署の廃止や、縮小による人材の部署異動。さらにはリストラによる退職などの影響で、企業内には人材育成を仕事として長年行ってきた人材が少なくなっており、育成する側のスキル不足の要因となっているのです。
さて、IT業界での人材不足は永らくの課題であり、特に情報セキュリティのスキルを持った人材は、今後の日本経済の発展に大きく影響すると思われます。このため政府としても先ほどのような人材育成手法を実践できなくても、ある程度そのまま活用できる共通的な仕組みの提供を検討、実施してきていますので、簡単にご紹介します。
まずは、経済産業省が作成したITスキル標準を始めとする3つのスキル標準の活用です。特に昨年2013年には経済産業省によってこれらの見直しが行われ、情報セキュリティに関する職種・専門分野の追加がされた案として公開されています。
http://www.meti.go.jp/meti_lib/report/2013fy/E002940.pdf
私も今回の見直し検討に作業委員会委員として参加しましたが、検討に当たってはできるだけ企業での人材育成に活かしやすい資料や様式を提供できるように委員各位で検討しました。
また、3つのスキル標準に共通するスキルを定義した共通キャリア・スキルフレームワーク(CCSF)が公開され活用され始めていますが、IPAから情報セキュリティ強化対応CCSFも提示され、活用できるようになっています。
http://www.ipa.go.jp/jinzai/hrd/security/
このように、情報セキュリティに関する人材の育成支援については、様々な行政組織や団体で行われています。人材育成投資を先延ばしするのはこの辺にして、企業としても、せっかくの仕組みは十分活用しながら、安心・安全な企業経営のためにも、情報セキュリティ人材の育成は継続して行っていきたいものです。