日本企業の情報セキュリティは遅れている?進むセキュリティ人材育成

作成日:2017/03/22

 

国内情報セキュリティの成熟度

国内情報セキュリティの成熟度

 

みなさんは日本の情報セキュリティレベルをどのように感じていますか?2016年10月19日にIT専門調査会社のIDC Japanが「国内情報セキュリティ成熟度に関するユーザー調査結果」を発表しました。

この調査では、IDCが独自に開発した「IDC MaturityScape: IT Security」フレームワークに基づき、「ビジョン」「リスク管理」「組織/人材マネジメント」「運用プロセス」「セキュリティテクノロジー」の5つの特性を評価する指標として、国内企業の情報セキュリティ対策について、まったく導入していない場合をステージ0(未導入)とし、導入後のユーザー企業の成熟度を、ステージ1(個人依存)、ステージ2(限定的導入)、ステージ3(標準基盤化)、ステージ4(定量的管理)、ステージ5(継続的革新)の5段階で評価しています。

そしてその結果、国内企業の36.0%が限定的導入(ステージ2)、また27.2%の企業が標準基盤化(ステージ3)の成熟度であることが判明。つまりは国内企業の半数以上が「限定的導入(ステージ2)」もしくは「標準基盤化(ステージ3)」の成熟度にとどまっており、欧米諸企業と比較して遅れている、という企業のセキュリティ担当者にとっては耳の痛い結果となっているようです。

☆あわせて読みたい

『【PMOとは】PMとの違い(仕事内容・意味・職種)と向いている人、業務に必要な資格・スキルセットを解説!』

『【フリーコンサル PMO】年収は?必要なスキルや資格は?つまらない?メリット・デメリットも解説』

情報セキュリティ対策が遅れている理由とは?

情報セキュリティ対策が遅れている理由とは?

 

そして、その遅れている理由をIDCでは、セキュリティ部門幹部のリーダーシップの弱さにあると見ており、情報セキュリティ責任者やセキュリティ担当幹部が取締役レベルにないことなどが、さらに上のステージに進むことを遅らせているとしています。また、KPMGコンサルティング サイバーセキュリティアドバイザリー パートナー 田口篤氏は、「Cyber in the Boardroom ~サイバーセキュリティを経営課題に~」と題した講演の中で、以下のように述べています。

 

「多くの経営者は一昔前に比べ、情報セキュリティに対してより関心を払うようになったが、それでもなお近年のサイバーセキュリティに対して多くの誤解を抱いている。現代のサイバー攻撃は多様化・プロ化し、未知の攻撃手法が当たり前のように使われるようになった。またサイバー空間だけでなく、物理施設への攻撃も年々増えてきている。そんな中、企業はサイバーセキュリティをマシンルームだけでなく、ボードルーム(経営会議)でも取り上げる必要がある」

 

田口氏もまた、IDCの調査発表と同様に、セキュリティ対策に取り組むためには、企業のトップマネジメント層の明確なコミットメント・リーダーシップが必要であることを示唆しています。

☆あわせて読みたい

『【ITコンサルタントとは】激務?学歴や資格は必要?未経験からなるには?仕事内容や年収、SIerとの違いを解説!』

 

 

企業を狙うサイバー攻撃の増加

企業を狙うサイバー攻撃の増加

 

そんな中、企業を狙ったサイバー攻撃は昨今急増しており、その手口も複雑化・多様化しています。サイバーセキュリティに関する情報ポータルサイト「サイバーセキュリティ.com」によると、従来のセキュリティ対策をすり抜けるサイバー攻撃イベントが最大3分に1回の割合で発生しているとの調査があるようです。

また、セキュリティソフト「ノートン」の提供会社であるシマンテックの2013年度調査によると、年間のサイバーセキュリティ被害総額は全世界で1,130億ドル、日本でも10億ドルの被害が出ており、各企業も無視することはできない規模まで膨らんできています。

最近では、米国においてSpotifyやNetflixなどが大規模DDoS攻撃※1を受けて、一時サービス停止になる事態が発生したのは記憶に新しいところです。※1.DDoS攻撃:複数のネットワークに分散する大量のコンピューターが一斉に特定のネットワークやコンピューターへ接続要求を送出し、通信容量をあふれさせて機能を停止させてしまう攻撃

今回のサイトダウンの決定的な原因・出所は確認されていないものの、一部では、比較的セキュリティの脆弱な「モノのインターネット(IoT)」機器を乗っ取るマルウェアを使った攻撃ではないかと伝えられており、それがSpotifyやNetflix、Twitterなどの大手ウェブサイトの多くを下支えする企業Dynのシステムを標的に攻撃したと言われています。

 

 

新設国家資格「情報処理安全確保支援士」とは?

また、日本を含むアジア地域へのサイバー攻撃も顕著に増加しており、そのような状況の中で、政府は2015年9月に「サイバーセキュリティ戦略」を閣議決定し、セキュリティ対策において研究開発と人材育成の施策が極めて重要だと位置付けました。加えて、2014年11月に成立した「サイバーセキュリティ基本法」の改正案が今年2月に閣議決定され、その内容の一つとして盛り込まれたのが、新設される国家資格「情報処理安全確保支援士」です。

この「情報処理安全確保支援士」は、通称「登録情報セキュリティスペシャリスト」と呼ばれ、2017年4月に第一回の試験が行われます。本資格は試験に合格するだけで与えられるものではなく登録申請制となっており、承認されて初めて「登録情報セキュリティスペシャリスト」を名乗れることになるのです。情報処理推進機構(IPA)のサイトにおいて、「情報処理安全確保支援士」の登録メリットは以下のように説明されています。

登録のメリット:
・国家資格「情報処理安全確保支援士」の資格名称を使用することができます。
・情報セキュリティに関する高度な知識・技能を保有する証になります。
・毎年の講習受講により、情報セキュリティに関する最新知識や実践的な能力を維持できます。

ご覧いただいてお分かりのように、資格を維持するためには「毎年の講習受講」が必要となります。それは、年1回のオンライン講習と3年に1回の集合講習となっておりますが、それぞれ受講費用が発生し、オンライン講習は約2万円、集合講習は約8万~9万円といわれており、資格を維持し続けるには3年間合計で約15万円ほどかかることとなり、少々ネガティブな要素としても波紋を呼んでいるようです。

☆あわせて読みたい

『【SAPコンサルタント】未経験OK?激務?つまらない?資格が必要?仕事内容・年収・今後の将来性を解説!』

 

先日のアメリカ大統領選挙において、ロシア政府がサイバー攻撃によって大統領選に介入したという報道がなされました。真偽のほどはわかりませんが、アメリカ合衆国という巨大国家にさえ影響を与えうる猛威をサイバー攻撃は秘めているということでしょう。

そんな中、企業、そして国それぞれがセキュリティの重要性を強く認識し、「セキュリティ人材育成」を最重要課題としてさまざまな施策が進みつつあります。企業が改めてセキュリティに対しての考えを再構築していく中で、いやがおうにも情報セキュリティに関する専門的な知識・技能を備えた人材ニーズは高まっていくでしょう。興味のある方はキャリアの一つとして「情報処理安全確保支援士」についてまずは調べてみるのもいいかもしれませんね。

 

(株式会社みらいワークス Freeconsultant.jp編集部)

 

コンサル登録遷移バナー

 

◇こちらの記事もオススメです◇

「要注意!ビジネスフレームワーク活用の落とし穴」