もう一人、サイバーセキュリティへの企業の取組強化を促す団体の事務局長をしているという人は、IT技術者の技術標準である「IT Skill Standard:ITSS」を引いてプラス・セキュリティ人材の位置づけを説明してくれた。ITSSの改良版「ITSS+」には、セキュリティ領域での標準MAPが含まれている。タスクに対応するセキュリティ関連分野が3つに分かれていて、
1)デジタル(IT/IoT/OT)
2)セキュリティ
3)その他
となっている。ここで2)を担当するのが(専門)セキュリティ人材。何をするかと言うと、
・セキュリティ経営(CISO)
・セキュリティ統括
・セキュリティ監査
・脆弱性診断、ペネトレーションテスト
・セキュリティ監視、運用
・セキュリティ調査分析、研究開発
の範囲だという。経営・統括・監査を担当するのは幹部クラス、その他は実務レベルの技術者だ。これ以外のことをする人はMAP上「プラス・セキュリティ人材」に分類される。
彼によると、「DXが進む中、企業のセキュリティ対策は上記セキュリティ人材だけでは対処できない。DXによってもたらされる利便性が、同時にサイバー攻撃にも悪用されるから」とのこと。DXを活用する企業全体でセキュリティを意識し、必要な対策を統合的に実施しなくてはいけないわけだ。
2)のデジタルの分野を担当する人としては、
・デジタル経営(CIO)
・システム監査
・DX推進企画
・デジタルシステム開発、運用
・デジタル製品開発、保守
だし、3)その他としては、
・企業経営(CEOや取締役)
・経営リスクマネジメント
・総務、法務、財務等管理
・事業(戦略・企画・調達・生産現場・事業所管理)
が挙げられていた。事実上TOPを含めて、全ての従業員が関係していることが分かるだろう。ただ前編で述べたように、現に業務を持っている人にセキュリティ関連のリカレント教育をしてくれる場はほとんどない。そういう意味で以前紹介した情セ大藤本教授の「DX with Security3日間カリキュラム」は、非常に有意義なものだと言えるだろう。今後はそのような機会を大学等にも増やして欲しいし、企業の総務・人事・教育部門も積極的にリカレント教育を受けさせるようにして欲しい。
「ITでも分かんないのにセキュリティなんか」と思わないで、積極的に取り組んでもらえればいいのですが。
