多くの企業にとって、人材不足は共通した課題です。その中でも、セキュリティのような専門分野では、適任者がいないのを前提に考えることも必要です。特に中小企業では、取引先からのセキュリティ要求が高まる一方、人手が足りない社内での対応はきわめて難しいはずです。
本コラムでは、セキュリティに関わる社内人材の要否も含め、計4回にわたり中小企業におけるセキュリティ体制を考察します。
セキュリティ担当者の役割
前回は「セキュリティ管理者」の役割を取りあげました。今回は「セキュリティ担当者」についてです。担当者の役割は、なんとなくイメージがつくのではないでしょうか。たとえば、サーバやパソコンへマルウェア対策ソフトを導入したり、社外のインターネットに接続するファイアウォール(ネットワーク機器)を設定したり、技術的な対処が中心になるように思えます。
ですが、そもそも中小企業にエンジニアのような役割を担える担当者がいますか?
もしかすると、社内でパソコンに詳しい若手社員が、暗黙の了解でやっているのではないでしょうか。そんな社員なんていないと断言する中小企業もあるかもしれません。
そうしたセキュリティ人材の課題について、いろいろ考察してみます。
人材不足は解消できない !?
まずは、社会的な観点から状況を再認識しておきます。日本ではあたり前のように、少子高齢化や人口減少といった言葉が使われています。しかし、私たちはその内容を正しく理解しているのでしょうか。直近の人口推移をみると、2024年2月1日時点で総人口が1億2,399万人。前年同月に比べて▲64万人(▲0.51%)減少しています。
皆さん、こうした状況はわかっていても、特に危機感など感じていないと思います。もう、慣れっこというか、あきらめ感さえあるかもしれません。これは、株価のように短期的な乱高下があるわけではなく、長期的に徐々に減っていくため、実感が難しいのです。
また、不確実性が高く将来予測が難しい株価と違い、将来的な人口の減少幅はかなりの精度で把握できます。2050年までの予測では、総人口は9,515万人。もちろん、年齢層別に見ると、生産年齢人口(働く人たち)はどんどん減っていきます。
こうした中、今後AIやロボットなどの活用が進むとしても、人手不足の困難な状況は解消できないはずです。昔より人材の流動性は高くなっているとはいえ、いまだ大手企業への就職希望が多く、中小企業との待遇格差も大きいため、より中小企業に厳しい時代が続くはずです。
ましてや、システムやセキュリティを業としない一般の中小企業では、セキュリティ技術を有する社員の採用は難しいだけでなく、そうした専門職を組織内に配属すること自体が無理なのではないでしょうか。セキュリティ担当者とは、総務や経理、開発などを主な業務としながら、兼務で担ってもらうのが現実だと思います。
ひとり情シス vs ひとり情セキ
近年、「ひとり情シス」という言葉が、ネットを中心に話題にあがります。これは、企業のサーバやパソコン、アプリケーションソフトウェア、ネットワークなど、さまざまなシステム管理の業務を、ごく少人数でこなす担当者を示すようです。
たったひとりで情報システム部門をまるごと担う、スーパーエンジニアに見えるかもしれません。しかしながら、システムに関連する膨大な雑用を抱え込み、まわりから業務の忙しさを理解してもらえずに、孤軍奮闘する担当者も多いと聞きます。
影の「ひとり情シス」の活躍で、なんとかITインフラを運用できている中小企業では、「情報システム=情報セキュリティ」のごとく、「ひとり情シス」がセキュリティ担当の役割を担っていると思われます。
確かに、情報システムと情報セキュリティは、とても密接に関係します。サーバを初期設定する際に、合わせて必要なセキュリティ対策を実施した方が効率的です。情報システム部門に多くのエンジニアを抱える大手企業では、一元的にシステムとセキュリティの統制が図れるため、こうした対応が取られています。
しかしながら、目いっぱいの業務を抱える「ひとり情シス」には、とても厳しすぎます。中小企業とはいえ、時代の流れからシステムやセキュリティに関わる業務は、年々増えているはずです。「もう、これ以上は限界・・・」と感じながら、転職を考えている多くの「ひとり情シス」がいるのではないでしょうか。
企業は、こうした状況をもっと真摯に考えないと、深刻な経営リスクになりかねません。すでにITは、業務上で欠かせないインフラです。重要な人材である「ひとり情シス」がいなくなることで、事業継続に支障が出ることだって十分考えられます。
また、「ひとり情シス」と同じように、情報セキュリティの業務を丸ごと担う「ひとり情セキ」が存在する企業もあるようです。ただそれは、結果としてそうなっているだけで、それが中小企業の目指すべき体制ではないと思います。
いずれにせよ、中小企業でそのような専門職種を採用、配置するのは現実的に難しいため、組織内で分業・協力しあえる、体制づくりがポイントになるはずです。
理想的な体制とは
最初に結論から言っておきます。「これが正解!」といった安易な答えはありません。特に中小企業であれば、いろいろな組織形態がありますので、きっとその企業に適したケースバイケースの形があると思います。
一般的な中小企業では、製造や営業、開発など、会社の売上に直結する部門の業務が重要になります。これに対して、セキュリティの業務は全社に広く関わる間接業務に分類されます。もちろん、ないがしろにできる業務ではありませんが、やや優先が下がるのは仕方ありません。
また、サーバやネットワーク機器のセキュリティ対策は、一定のスキルを持つ限られた要員による実施が望まれます。これに対して、運用面のルールによる対策(重要なデータの取り扱いなど)は、すべての従業員が守るべきことです。特定の部門や担当の業務ではなく、各部門が協力して(注意喚起するなど)実施することができます。
このようにセキュリティ対策考えると、
- それぞれの部門が協業できる組織的な対策(各部門から兼任担当者を選抜)
- 特定の部門が担当すべき技術的な対策(情報システムに関わる部門が担当)
に分けることもできます。
第1回目で触れましたが、情報セキュリティ委員会といった全社的な統制のもと、セキュリティ管理者を任命し、その管理者の下で、各部門の担当者が関わる体制づくりが望まれます。とりあえずなんとなくの体制ではなく、正式にそうした役割や責任を明確にすることが重要です。それは、決して大手企業じゃないとできないことではありません。中小企業でも十分可能なことです。
次回は
最終回(第4回)は、これまでの内容を踏まえた、中小企業のセキュリティ人材についてのまとめです。いろいろ理想や現実はあるにせよ、中小企業でセキュリティ対策を担うような人材が本当に必要なのかといった、ちゃぶ台をひっくり返す(振り出しに戻す)ことから、あらためて考察してみます。