｢サイバーセキュリティ人材調査｣"数の不足"より深刻な問題が判明､もう｢人材獲得｣｢ベンダー頼み｣の姿勢ではダメな訳

今回の調査では、「人員削減後にセキュリティ侵害が発生した場合、組織（経営陣）が責任を負うべきである」と考える割合が世界全体で76％に達しているということも報告されている。セキュリティはセキュリティ部門、もしくはIT部門だけの問題ではなく、業務継続に関わる重大なビジネス機能として、経営層が主体的に取り組むべき課題であることが、改めて浮き彫りになったと言える。

幸い、日本でもセキュリティ予算の必要性に対する認識は広まりつつある。しかし、真に問われるべきはその「内訳」だ。高額な製品やサービスを導入しただけで説明責任を果たしたと考えるのは、大きな勘違いと言わざるを得ない。残念ながら、単にコストを投じるだけで「安全」を買い取れるほど、現代のセキュリティは単純ではないのだ。

｢ベンダーにお任せ｣は終わりを迎えた？

今回の調査結果を概観すると、日本の企業が今後どのようにセキュリティと向き合っていくべきか、いくつかの視点が見えてくる。

まず検討すべきなのは、「外注」と「内製」のバランスの見直しである。すべての業務を自社リソースで行う必要はないが、自社のビジネスリスクを評価し、外部ベンダーを適切に評価・コントロールするための「知見」を自社内に保持することは、ビジネスのレジリエンスのために必要だろう。

また、「人材の獲得」から「スキルの育成」への投資シフトも重要な論点だ。外部から完璧な人材を探すのが困難な現状では、既存のITスタッフをセキュリティ担当者へとリスキリングするための予算や時間を確保することが、現実的かつコスト効率の良い選択肢となる可能性がある。

「ベンダーに任せているから大丈夫だ」という認識が通用した時代は、終わりを迎えつつあるのかもしれない。欠員数を埋めるという「数の発想」から脱却し、ビジネスを守り抜くために自社にどのような「スキル」が必要なのか。今回の調査結果が、日本の経営者の方々にとって、これまでのセキュリティのあり方を問い直す1つのきっかけとなれば幸いである。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、小熊 慶一郎さんの最新記事をメールでお知らせします。