多くの企業にとって、人材不足は共通した課題です。その中でも、セキュリティのような専門分野では、適任者がいないのを前提に考えることも必要です。特に中小企業では、取引先からのセキュリティ要求が高まる一方、人手が足りない社内での対応はきわめて難しいはずです。
本コラムでは、セキュリティに関わる社内人材の要否も含め、計4回にわたり中小企業におけるセキュリティ体制を考察します


セキュリティ人材の要否論

いよいよ本テーマも最終回です。第1回目ではセキュリティ人材の概況を説明し、続く2回目では管理者、3回目に担当者の役割を考察してきました。そうした内容を踏まえて、締めくくりたいと思いますが・・・
その前に、振り出しに戻す(ちゃぶ台をひっくり返す)ようなことから、あらためて考えてみます。

  • 中小企業でセキュリティ人材が必要なのかどうか?
  • 外部のベンダー等へ全部アウトソーシングすることはできないのか?

そんなセキュリティ人材の要否論から、今後どのような人材・組織戦略を進めるべきかを説明します。

そもそも社内で育成が必要?

まずは、セキュリティ管理者や担当者のような人材が、本当に社内で必要なのかどうかです。セキュリティ人材がいないと何が困るのでしょう? 実際にセキュリティインシデントが発生すると、その影響の大きさに応じて、経営層もしくは管理職が陣頭指揮を取ると思われます。ただし、セキュリティの技術的なことは門外漢のため、それをサポートする人がいないと対処ができません。

次に、事後的なインシデント対応だけでなく、予防的なセキュリティ対策を考えてみます。マルウェア感染を防ぐために、対策ツールを導入して最新の状態を維持していく。怪しいメールの添付ファイルをうっかりクリックしないよう、定期的な教育の実施を徹底する。必要そうな対策をあげるとキリがありません。そうした対策を、個々の社員が自発的に行っていくのは、かなり無理がありそうです。

セキュリティ技術にやや明るい人材、そしてセキュリティ対策の導入を旗振りする人材がいないと、いくら中小企業だからといえ、分が悪いのは間違いありません。では、そうした人材をどのように確保すればいいのでしょう? ここでは、社内育成/中途採用/外部委託といった選択肢で考えてみます。

  • 社内育成
    社内から選抜した候補者の教育を考えます。社内でOJTのように教育することはできません。外部の専門機関が開催する研修を受講することになるでしょう。懸念事項としては、実務を担えるスキルレベルにまで到達できるのか、本業を抱えながら習得時間を確保できるのか、さらには研修費用の負担などがあげられます。
  • 中途採用
    セキュリティ管理などの実務経験を持つ人材の採用を考えます。懸念事項としては、そもそも採用自体が非常に難しい中、期待したような人材が確保できるのかどうかです。これは、かなりハードルが高そうです。
  • 外部委託
    上記と比べて、やや現実味が出てきます。フルタイムで常駐してもらうほどの業務量はないと思いますので、想定の作業ボリュームや対応範囲を取り決めれば、アウトソーシングすることができそうです。懸念事項としては、中小企業で負担できる報酬レベルで折り合いがつくかどうかです。ただし、一定の専門技術を持つ社員の採用(中長期の給与支払い)と比較すれば、何とか費用を捻出できそうな感じがします。

ベンダーにお任せではダメ?

大手企業では、情報システム部門全体をアウトソースすることがあります。社内で育成や採用が難しければ、セキュリティの業務すべてを、外部ベンダーに任せてはダメなのでしょうか?
ここでは、仮にセキュリティ管理者とセキュリティ担当者の業務を、外部ベンダーに委託したケースで考えてみます。

  • セキュリティ管理者
    社内でセキュリティ対策を推進するのが主な役割です。社内の各部門との調整や、社員が徹底すべき運用面のセキュリティ対策(順守すべきルール等)を統制していきます。一般的には、経営陣から権限委譲を受けた、課長等の管理職が担うと思われます。
    仮にベンダーへセキュリティ管理者の業務を委託した場合、社内調整等が難しいだけでなく、そもそも必要な権限を与えること自体が、そう簡単ではないはずです。また、ベンダー側は、若手のセキュリティ技術者では役不足になるのが濃厚なため、一定の経験を有するベテランのアサインが必要です。要員の確保が難しくなり、報酬も高額になると思われます。
  • セキュリティ担当者
    セキュリティ技術の側面が強い担当者の業務は、作業範囲を明確にして分担ができそうです。セキュリティ管理者から適切な指示が出せるなら、ベンダーへの業務委託も十分検討できると思われます。社内の管理者による指揮命令となれば、(業務委託契約ではなく)派遣契約の形態が望ましいでしょう。また、セキュリティ管理者は、不足する技術知識をベンダーの担当者から得ることもできそうです。

こうしてみると、セキュリティ管理者を社内から(何とか)選抜し、外部ベンダーからセキュリティ担当者を受け入れるのが現実解のように思えます。ただし、それぞれの企業が置かれている状況(組織体制や社員の業務内容など)はさまざまです。何がベターなのかは、ケースバイケースで変わるはずです。

どうするセキュリティ人材

今後のデジタル化によるビジネス成長を考えれば、中小企業とはいえセキュリティリスクは経営リスクの一つです。ビジネスを支える基盤として、セキュリティ対策の推進は欠かせません。セキュリティ戦略を担う(経営とセキュリティを橋渡しする)管理者のような人材がいるかどうかで、企業の競争力は大きく変わるかもしれません。
第2回目(セキュリティ管理者の役割)の「経営とセキュリティの橋渡し」で説明したとおり、中小企業だからこそ、(灯台下暗しのように)きっと逸材が見つかるはずです。そうした人材の芽を見つけ、育てていくことが重要だと考えます。

また、第3回目(セキュリティ担当者の役割)の「理想的な体制とは」では、セキュリティ対策は大きく、「組織的な対策」と「技術的な対策」に分かれると説明しました。技術的な対策は、外部ベンダーへ全面委託するといった割り切りも、考え方(セキュリティ戦略)の一つです。

中小企業に限らず、人材不足は社会的な課題として避けては通れません。そうした中でも、創意工夫で柔軟に対処できる(小回りが利く)のが、中小企業の強みです。中途半端な体制で役割を曖昧にしたり、一部の担当者へ無理強いさせたりすることなく、戦略的に「やる/やらない」を決めていくべきです。
自社で育成すべき要員、積極的にアウトソースする業務、各部門の協業体制など、各企業の環境に適したやり方があるはずです。そうした中小企業の人材・組織戦略を検討し、セキュリティ戦略に落とし込む必要があるのではないでしょうか。

おわりに

「どうする中小企業のセキュリティ人材」と題し、計4回にわたって説明をしました。一般的に組織的な課題は、「これが正解!」といった勝利の方程式はありません。これを機会に、自社のセキュリティ体制やセキュリティ人材について、いろいろ考えを深めていただけると幸いです。
また、次回から新たなテーマが始まります。どうぞご期待ください。

Twitterでフォローしよう

おすすめの記事