セキュリティの
学び場

今回の解説ニュース

経産省から、セキュリティの体制構築と人材確保のポイントについて公開されています。主に経営層や責任者が自社のセキュリティ体制で検討すべきポイントについて説明します。

今回の手引きは「サイバーセキュリティ経営ガイドライン」の付録として、リスク管理体制の構築と人材の確保について具体的な検討を行う際のポイントを解説しています。

今回公開された第2.0版では、読みやすさを重視しポイントをしぼって検討手順を明確化、企業におけるデジタル活用が進展する中での「プラス・セキュリティ」の必要性の高まりを踏まえ、一部内容の更新・拡充を行っているということです。

役割の自覚の観点からも重要、「プラス・セキュリティ」とは何か？

プラス・セキュリティとは、自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力を身につけること、あるいは身につけている状態のことです。企業におけるデジタル活用が進展する中で必要性がさらに高まっています。

例えば、セキュリティサービスの開発に携わるAさんがいるとします。そのAさんがプロジェクトの進行するためにセキュリティの知識が必要というのは言うまでもないですね。Webアプリケーションであれば、要件定義や設計段階から脆弱性が作りこまれないようにする必要がありますし、開発後の脆弱性診断も欠かせません。これら一連のセキュリティ業務を別のセキュリティ担当者が行うのではなく、Aさんが業務の中でセキュリティの知識やスキルを習得し、実践することでセキュリティ対策を行うことがプラス・セキュリティの基本的な考え方です。

事業部門、管理部門等においてそれぞれの業務に従事する人材が、DX等のデジタル活用を進めるなかでセキュリティを意識し、業務遂行に伴う適切なセキュリティ対策の実施やセキュリティ人材との円滑なコミュニケーションに必要な能力を育成する取り組みが欠かせません。また、プラス・セキュリティを担う人材に自らの役割と責任の自覚を促すための意識付けを行うことも必要です。

なお、DXの取り組み有無に関わりなく、ITを活用するすべての企業において実践すべきとされています。

企業が「やるべきこと」はここに、ITSS＋のセキュリティ領域

ITSS+のセキュリティ領域とは、企業のセキュリティ対策に必要となる関連業務のまとまりを17分野に整理したものです。セキュリティの専門性が高い分野だけでなく、経営層や法務部門、事業ドメインまで、サイバーセキュリティ対策に関わる幅広い領域を網羅しています。

セキュリティ関連タスクを担う分野の概観図として、対象となる人材を経営層、戦略マネジメント層、実務・技術者層に分けられています。それぞれの人材に対して、ユーザ企業における組織の例や、サイバーセキュリティ関連タスクの例、タスクに対応するサイバーセキュリティ関連分野が挙げられています。

例えば、先ほど例に挙げた開発の携わるAさんの場合、実務者層で設計に該当するので、サイバーセキュリティ対策に関するタスクの割合が高いものを概観図で探してみると、脆弱性診断やペネトレーションテストが挙げられていますので、実際に当てはまっていますね。

セキュリティを生業とする方だけではなく、セキュリティ以外の業務を生業とする皆さんもセキュリティ知識やスキルを学び、プラス・セキュリティ人材として活躍できるための「学び直し」の指針として活用できるということです。

今回は、主に経営層や責任者が自社のセキュリティ体制で検討すべきポイントについてお届けしました。