開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2015/10/05

セキュリティ・リーダーが枯渇、20%の企業でCSIRT管理者の年俸がCIOを超えるだろう

ガートナー 石橋正彦 氏が解説

マイナンバー法の施行・改正、個人情報保護法の改正などにより、日本もいよいよ本格的な「デジタルビジネス」の時代に突入した。一方で、その足を引っ張りかねないのがセキュリティの問題だ。2015年6月に発生した日本年金機構からの125万件にも及ぶ個人情報の流出事件は、デジタルビジネス上のリスクが従来の情報漏えいリスクよりも遥かに大きなダメージを組織や企業に与えることを浮き彫りにした。今一度ガバナンスを含む自社のセキュリティ対策を見直し、サイバー攻撃の脅威やマイナンバー制度などに対応するための新たなテクノロジーの実装を検討していただきたい。

ガートナー リサーチ部門 リサーチ ディレクター 石橋 正彦

ガートナー リサーチ部門 リサーチ ディレクター 石橋 正彦

ガートナー リサーチ部門 ITインフラストラクチャ&セキュリティ セキュリティ担当 リサーチ ディレクター。ガートナー ジャパンにおいてセキュリティおよびリスク・マネジメント、事業継続管理(BCM)を中心とした調査/分析を担当。ガートナー ジャパン入社以前は、日本ユニバック (現日本ユニシス) において都銀を中心とした海外機関投資家向けシステムの開発に従事。ベリタスソフトウェア (現シマンテック) にて、DRおよびバックアップ関連の技術サポートを、ベリングポイント (現プライスウォーターハウスクーパース)において、ITリスク・マネジメントおよびセキュリティ監査(プライバシーマーク/ISMS)の構築を経験。

photo
(Photo:ra2 studio/fotolia)

セキュリティ・リーダーを含めた情報セキュリティ体制を構築せよ

関連記事
 ガートナーでは2015年3月、ユーザー企業に対して「この2年間に情報システム部門で、情報セキュリティの専門職を採用したか」と聞くアンケート調査を実施した。

 その結果、採用計画すらなかった企業が実に48.9%にものぼった。これは企業が、セキュリティ人材は必要ないと考えているということではなく、「既にセキュリティ人材は自社の中にいる」と認識している結果だと我々は見ている。だが果たしてそうだろうか。

 一方、セキュリティ人材を採用した企業は29.1%にのぼった。ただし、その内訳を詳しく見てみると、ユーザー企業からユーザー企業、あるいはベンダーからベンダーへの転職による採用で、ベンダーからユーザー企業に転職したセキュリティ人材はほとんどいなかった。

 これが、これからの日本企業における1つの課題になると思われる。つまりプロフェッショナルな人材が、なかなか民間企業には下りてきてくれないということだ。ユーザー企業にとっては、情報セキュリティ分野で人を採用するための予算を確保することが重要な取り組みとなる。

 これに関連して、我々は2018年までに20%の企業において、CSIRT管理者の年俸がCIOの年俸を超えるだろうと見ている。つまりあと3年も経てば、これぐらいの報酬を払わなければ、民間企業は必要とするセキュリティ人材を確保することができなくなってしまう。今後企業のセキュリティ人材の採用に対する意識は、大きく変わらざると得ないだろう。

 ここで少しセキュリティ・リーダー像というものを考えてみたい。企業の情報システム部門の場合には、情報システム子会社のセキュリティ営業担当者や技術担当者、あるいはベンダーのCSIRT経験者、また内部監査の経験者でISO27001の審査員といった人たちがセキュリティ・リーダーに相当し、非常に重要な役割を果たすことになる。

 さらにセキュリティ・リーダーはセキュリティ分野の知見だけでなく、高いコミュニケーションスキルを持っていることが基本条件となる。CEOやCIOと対等に会話ができ、最終的には取締役会で稟議書の説明をすることまで求められるからだ。

 今後企業は、セキュリティ・リーダーを含めた情報セキュリティ体制の構築を検討する必要がある。セキュリティ・リーダーの社内における位置付けを明確に定義し、取締役会に出席できる権限までを付与しておくのだ。またセキュリティに関する内部監査を行う独立した組織を設けることも重要だ。その際にコストをかけられるなら、外部の監査機関を利用することも選択肢に入れていいだろう。

今注目すべき最新のセキュリティテクノロジー

 先と同じ調査で、日本企業に関心のあるセキュリティ分野を聞いたところ、圧倒的に多かったのが「ネットワーク・セキュリティ」という項目で、64.3%を占めた。サイバー攻撃の脅威はネットワーク側で防ぐもの、という一般的な認識があることを物語る数字だ。

 しかし現代においては、アプリケーション・セキュリティやアクセス管理といった分野にも投資していく必要があるし、さらにはネットワーク・セキュリティにエンドポイント・セキュリティを組み合わせた多層防御も重要になってくる。

 下図に示すのはガートナーの提唱するセキュリティ・フレームワークで、今存在しているさまざまなセキュリティリスクを、この三角形に含まれるレイヤーに分けて捉え、各々に分類される詳細テクノロジーで防ごうというものだ。

画像
企業全体を俯瞰するセキュリティフレームワーク
(出典:ガートナー)


 まず上から大きく3つ、ヒューマンレイヤー、ソリューションおよび認証/規格レイヤー、テクノロジーレイヤーに分けられ、さらに3つめのテクノロジーレイヤーは、データ・セキュリティ、アプリケーション・セキュリティ、インフラストラクチャ・プロテクション、アイデンティティ/アクセス管理(IAM)に分類される。ちなみに我々のアンケートで日本企業の関心が高かったネットワーク・セキュリティは、インフラストラクチャ・プロテクションの領域に属するものだ。

【次ページ】進化し続けるサイバー攻撃にどう対応すべきか

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!