セキュリティーリスク管理には人材育成が欠かせない。座学と実践演習を織り交ぜた研修プログラムで自律的に育つ環境を整備する。業界や公的機関との「協働」も、チームとしての対応力強化に不可欠だ。
ここまでの5回の連載で、セキュリティーリスク管理のセオリーやノウハウ、当社の課題認識や取り組み事例について紹介しました。その全てで「人材」の能力と「チームワーク」の大切さについて触れています。
最終回である今回は「人材育成」と「チームビルディング」、社外の様々なステークホルダーとの「協働」に関する取り組みを紹介します。
人材モデルと研修プログラム
本連載の第2回で、セキュリティーリスク管理に必要な能力は多岐に渡ると説明しました。ガバナンスやリスク管理に関する管理策から、エンジニアリングやオペレーションにかかる管理策、それらの能力を向上させるとともに、有機的に調和させて1つのチームとして機能させるオーケストレーションが大切です。
1つひとつの管理策を実践するためには、それぞれの能力を持つスキル人材が必要です。必要となる人材モデルとスキルの関係を当社は図のように整理しています。
人材モデルは「サイバーセキュリティー全体統括」「インテリジェンスアナリスト」「リスク評価者」など14種類を定義。必要スキルは「IT全般」「セキュリティーガバナンス/リスクマネジメント」「法・制度・国際規格」など11種類を定めています。
当社は各スキルを養成する研修プログラムについて、中核的で基礎的な分野は主に内製で整備しています。専門的な分野は外部のセミナーを活用しています。
内製で研修するのは「IT全般」「情報セキュリティー全般」「Webアプリケーションセキュリティー」「ネットワーク/サーバーセキュリティー」「セキュリティー監視/オペレーション」などです。一方、「ペネトレーションテスト/ハッキング」「マルウエア解析」「フォレンジック」などの習得には外部のセミナーを活用しています。
「インシデント対応」については内部で企画した演習に加えて、社外の演習にも積極的にメンバーを派遣しています。高度な講習を必要とする中上級者向けには、米国に本部を置くITセキュリティー教育団体「SANSインスティテュート」や、国際的なセキュリティー資格である「CISSP(Certified Information Systems Security Professional)」の認定団体である「International Information Systems Security Certification Consortium」の講習を利用しています。1人ひとりのスキルレベルや担当業務、ステップアップを考慮しながら受講する講座を管理し、スキル習得を推進しています。
