セキュリティ人材の確保が難しい2つの理由
SCSK主催のセミナー「セキュリティ人材が不足する中で、SOC/CSIRTを運用するには」に登壇したSCSK セキュリティサービス部 シニアプロフェッショナル コンサルタントの佐藤 直之 氏は、社内のセキュリティ人材の確保が難しい理由として、「育成」と「キャリアパス」の2つを指摘した。
「サイバーセキュリティ対策に必要なスキルは日々更新されていくため、社内でセキュリティ人材を育成し、さらにそれを評価することが難しいのです。また多くの企業では、セキュリティ人材のキャリアパスへの対応が遅れており、せっかく育成した人材が外部に流出してしまい、スキルの維持が難しくなってしまうこともあります」(佐藤氏)
こうした課題を踏まえ、セキュリティ運用を最適化するためには「業務・機能」と「責任・役割」の2つの視点で検討するのが有効だ。
佐藤氏は、日本セキュリティオペレーション事業者協議会(ISOG-J)が公開する4つの領域を示し、セキュリティ対応における「業務・機能」についてポイントを紹介した。
自社で実施すべきセキュリティ運用を見極めるポイント