相次ぐ証券口座乗っ取りや不正送金･･･｢金融機関のサイバー対策｣は情報収集や人材面にも課題、日本に欠けた視点とは？

ITの基礎は数日の研修やトレーニングで習得できるものではなく、実務経験を3年程度積む必要があるでしょう。また、私がこれまで人材育成をやってきた中でわかっているのは、実際に手を動かすことが重要だということです。ITの基礎知識を習得し、セキュリティの実務にも携わり、その後それぞれの職務に応じたセキュリティ専門知識を深めていくことが大切で、これには10年程度の期間が必要でしょう。

もう1つ、金融業界に限らない話ですが、サイバーセキュリティ人材の育成に成功している企業は、“緩さ”を許容する文化があると感じます。日本は細かい計画に基づき実行することを重んじる面がありますが、形式にこだわらず組織を構築できる企業のほうが人材育成はうまくいっています。

ITの開発と同様にセキュリティ分野は想定どおりに物事が進みません。日本の堅い文化では対応が難しいことを認識し、見直していく必要もあるのではないでしょうか。

――どの業界もセキュリティ人材が不足していますが、金融機関ではとくにどのような人材が不足していますか。

金融業界も、中途採用、外部ベンダーからの出向、内部育成など、すべてやっても人が足りていない状況です。今後は、一部のフィンテックベンチャーのように海外人材を活用することも選択肢の1つかもしれません。

とくに不足しているのは、CISOのようなリーダーシップを発揮する人材と、最先端技術に特化した技術系の人材。後者に関しては、先ほども申し上げたとおり、社内育成を強化すべきです。

金融庁も強く求める｢経営課題｣としての意識

――経営層のセキュリティリスクに対する意識は高まっていますか。

セキュリティ対策を経営課題として強く認識している機関がある一方で、経営課題と認識しているものの具体的な行動に移せていない経営陣のほうが多いかもしれません。よくある原因として、経営と現場のコミュニケーションの課題が挙げられます。

経営層が現場にセキュリティ対策について尋ねた際に、現場担当者が技術的な説明に終始しがちで、経営層がそれを「それは経営課題ではないよね」と捉えてしまうことがかなり多いと感じています。