- 目次
1.セキュリティ人材育成が業界共通の課題となった背景
近年、サイバー攻撃は高度化・巧妙化を続けており、企業活動に与える影響も拡大しています。ランサムウェア感染やサプライチェーンを狙った攻撃など、その被害は特定の業界や企業規模に限られるものではありません。加えて、DXの進展によってクラウドサービスやデータ活用が広がり、企業が管理・保護すべきシステムや情報資産は増加しています。その結果、セキュリティ対応において求められる判断や対応の難易度も高まっています。このような環境変化の中で、専門部署(※1)を前提としながらも、業務現場(※2)において適切に状況を理解し、判断につなげられる人材の育成が、業界を横断した共通課題として認識されるようになっています。
セキュリティ運用専門組織(SOC/CSIRTチーム)
企業の業務部門やシステム開発を行う組織
2.政府・業界動向から見るセキュリティ人材育成
セキュリティ人材育成を巡る課題に対しては、政府や業界団体も対応の方向性を示してきました。
2022年12月には、経済産業省と独立行政法人情報処理推進機構(IPA)により、「デジタルスキル標準(DSS)」ver1.0が公表され、サイバーセキュリティに関する人材ロールが整理されています。そこでは、セキュリティリスクを踏まえた判断や統制を担う役割と、対策の導入から運用を担う役割が区分されています。
また、2024年10月には金融庁から「金融分野におけるサイバーセキュリティに関するガイドライン」が公表され、リスクの特定やインシデント対応の必要性に加え、演習や訓練を含む人材育成の重要性が明記されています。
これらの動きは、企業に対してセキュリティ人材像や育成の方向性を整理するための枠組みを提供してきたものといえます。
3.能動的サイバー防御の議論が示す人材像の変化
一方で、こうした人材像が整理された後も、サイバーセキュリティを取り巻く環境は変化を続けています。近年は、インシデント発生後の対応にとどまらず、脅威の兆候を把握し、先んじて判断・対応する考え方が議論されるようになってきました。いわゆる能動的サイバー防御の考え方が注目されています。
「サイバー対処能力強化法」の整備に向け、2025年7月に国家サイバー統括室(NCO)が設立されました。これにより、政府主導でサイバーセキュリティ対策の高度化が進むことが見込まれます。
結果として、企業においてはセキュリティ人材育成の重要性が一段と高まり、対応を具体的な取り組みとして設計していくことが求められる局面に入っています。
4.なぜセキュリティ人材育成は抽象的になるのか
セキュリティ人材育成を進める上では、どのような人材を育成し、どのスキルを身につけさせるのかといった具体的な設計が避けられません。一方で、政府や業界が公表しているガイドラインやスキル基準を参照すると、抽象的で汎用(はんよう)的な表現が多いと感じる企業も少なくありません。
例えば、「セキュリティリスクを評価した上で最適な対策を選定できる人材を育成する」といった記載は、方向性として理解できるものの、すべてのリスクを把握する必要があるのか、どこまでを「最適」と呼ぶのか、専門家との役割分担をどのように考えるべきかなど、具体的な設計を進めようとすると多くの疑問が生じます。
このように人材定義が抽象的になる背景には、企業ごとに業務内容やシステム構成、リスクの特性が大きく異なるという構造的な理由があります。そのため、一律に詳細な役割やスキルを定めることは現実的ではありません。公的な人材定義は多様な組織で参照可能な共通の方向性を示す一方で、各企業が自らの状況に応じて具体化することを前提として設計されています。
5.能動的サイバー防御時代に企業はセキュリティ人材育成をどう設計すべきか
能動的サイバー防御の考え方が前提となりつつある中で、企業にはセキュリティ人材育成を業務起点で設計していく姿勢が求められています。公的に示されたロール定義やスキル要件を参照しつつも、自社の業務内容やリスク特性に即して人材像を具体化していくことが重要になります。
例えば、製造業や工場設備を保有する企業では、情報システムのセキュリティに加え、OTやIoTといった制御系やデータ伝送経路に関するリスクも考慮する必要があります。また、AIやクラウドの活用が進んでいる企業においては、AIセキュリティやクラウドセキュリティに関する知識や判断力も、重視すべき要素となります。このように、求められるスキルや役割は業種や業務によって異なります。
さらに、能動的サイバー防御の考え方を踏まえると、従来の「守り」に重点を置いたセキュリティ教育から一歩進んだ内容が求められています。加えて、攻撃手法への理解や脅威シナリオの想定に基づく対応力、そしてレッドチーム/パープルチームによる実践的演習の導入といった学習要素も重視されるようになってきました。攻撃と防御の境界が曖昧になる中で、法的・倫理的な判断基準に関する理解の重要性も高まっています。技術的な知識に加えて、こうした判断力や対応力を育成するための継続的な訓練設計が欠かせません。
一方で、現場のセキュリティ人材育成は、専門部署の代替を育てることを意味するものではありません。専門部署と現場が役割分担する前提で、人材育成を設計することが重要です。現場業務を担う人材がセキュリティへの理解を深めることで、業務影響を踏まえた情報を整理し、専門部署が判断できる状態で共有する役割を担います。それにより、専門部署はより的確で効率的な判断を行うことが可能になります。
6.おわりに
セキュリティ人材育成は、単一の研修や教育サービスで完結するものではありません。能動的サイバー防御の考え方が前提となり、技術の進化とともに人材像が固定しにくい時代に入っています。企業が直面しているのは、公的なガイドラインや人材定義といった有用な参考情報を活用しながら、自社の業務やリスクに即して人材像を具体化し、業務に結び付けられる形で人材育成を設計していくことです。
NTTデータでは、SOCやCSIRT人材向けの教育サービス(CybersecAcademy®)に加え、企業ごとの課題や状況に応じた人材像の整理や育成設計を支援してきました。今後も、多様な業界で培ってきた知見を生かし、実効性のあるセキュリティ人材育成に取り組んでいきます。
デジタルスキル標準についてはこちら:
https://www.meti.go.jp/policy/it_policy/jinzai/skill_standard/main.html
金融分野におけるサイバーセキュリティに関するガイドラインについてはこちら:
https://www.fsa.go.jp/common/law/cybersecurity_guideline.pdf
国家サイバー統括室の組織の沿革についてはこちら:
https://www.cyber.go.jp/about/history/index.html#history
CybersecAcademy®についてはこちら:
https://www.nttdata.com/jp/ja/lineup/cybersecacademy/