慢性的なセキュリティー人材の不足に悩む日本企業の多くは、米国やオーストラリアの企業が力を入れる対策に気づいていないか、軽視している可能性がある。NRIセキュアテクノロジーズが2022年2月上旬に発表した「企業における情報セキュリティ実態調査2021」などから、こんな実態が浮かび上がった。
NRIセキュアの調査は日本の上場企業または従業員数350人以上の企業と、米国およびオーストラリアの同500人以上の企業に2021年10~11月に実施した。日本と米国、オーストラリアの企業の間で違いが際立ったのが、セキュリティー人材の不足に対する認識やその対策である。
日本企業の9割超はセキュリティー人材の不足を感じている。一方、米国とオーストラリアの企業はともに「充足している」という回答が80%台後半に達した(図1)。
こうした調査では一般に、日本企業のほうが米国企業などよりも悲観的に回答する傾向がある。また、米国などと比べるとセキュリティー人材の層の厚みにある程度の差はあるかもしれない。それにしても、認識にこれほどの差が開くのはなぜだろうか。
自動化・省力化が進む米豪
その原因は、「充足している」と回答した企業に聞いた「『充足している』と考える理由」の結果からうかがえる。米国とオーストラリアの企業が挙げた理由の第1位は、「セキュリティー業務がシステム等により自動化・省力化されているため」だった。
システムなどによる自動化や省力化とは、例えば端末や通信機器からのログ(通信記録)などセキュリティー関連の情報を自動で収集し、自社の状況をリアルタイムで把握できるツールの活用が考えられる。様々なインシデントに対応する標準的なプロセスを事前に整備し、実際にインシデントが発生したときは自動的に対処できるようにしている先進的な企業もある。
これに対し、同じ理由を挙げた日本企業は14.7%と5位にとどまった。多くの日本企業は業務の自動化や省力化で後手に回っていることが分かる。
不審な通信などの脅威情報を検出すると、その後の分析や対処を自動的に実行するSOAR▼と呼ばれるツールを導入済みの日本企業はわずか3.7%だった(図2)。「検証している・検証していた」企業を含めても7.9%と1割に満たない。一方、米国企業は20.9%がSOARを導入済みと回答。検証経験がある企業も含めると52.2%と半数を超えた。
近年、サイバーセキュリティーの脅威は増す一方だ。そんな状況のなか、自動化や省力化の遅れでセキュリティー関連情報の収集などの作業にセキュリティー人材が追われているとすれば、人材が不足するのも当然といえる。
