サイバーセキュリティが企業経営にとっての重要事項だという認識は、重要インフラ企業など大手から徐々に深まってきているようだ。大規模イベントは狙われやすいということで、東京オリ／パラまで頑張れという号令が監督官庁からインフラ企業に降りているせいもあろう。しかしサイバー攻撃とは別のウイルスが原因で、オリ／パラができるかどうかは微妙になっている。

 

　オリ／パラがあろうが無かろうがサイバー攻撃のリスクが減ることはないので、オリ／パラまで頑張ればいいということではない。企業には継続的な努力が求められる。具体的にどうするかというと、やはり組織を縮小したり要員を減らしたりしてはいけない。しかるべき人をしかるべきポストに付け、権限を委譲し予算を付けることだ。

 

　長くセキュリティ人材は、ある時は重宝されても身分が不安定だった。若いうちしか使えないと言い放った大手企業の人事担当者もいた。もちろん人材の流動は重要だが、企業として育成努力も怠ってほしくはない。そういう意味で、セキュリティ人材の「見える化」は重要なテーマだった。

 

　　　　

 

　今回セキュリティ人材の、経験・スキル・資格・研修歴や、人格そのものを標準的に見える化しようとする人たちから、評価システムの整備・実践状況を聞くことができた。この難しい問題に取り組んでおられるのは「日本サイバーセキュリティ人材支援協会（JTAG）」という団体の人達。

 

　専門家だけでなく、他に本務をもちながらセキュリティ知識もある「プラス・セキュリティ人材」の評価も可能だという。面白いのは人格（行動特性・適性資質）も評価できるという点。オンラインの面談で、迅速に結論が出せるという。

 

　ただスキルなども一通り入力して終わりと言うのではなく、上司との面談で補正できる機能もある。これまでの実践結果では、過大・過小申告もあって、２割ぐらいの誤差はあるらしい。これを上司との面談で埋めていけるし、その過程で上司との関係が好転するケースもあるという。

 

　先行して自社内で人材登録をした企業に寄れば、TOPの指示で強制はしなかったのだが、約７割の人材が進んで登録してくれたという。その企業の管理部門がちゃんとした運用をしてくれたのだろうが、これは心強い割合だ。フェアな人材評価があって、キャリアパスが見えてくれば「セキュリティ人材＝日陰者」の常識が変わります。皆さんの努力に感謝しますよ。