デジタル人材の育成
最終更新日:2022年2月21日
情報処理安全確保支援士(登録セキスペ)制度をご活用いただいている企業・組織をご紹介します。サイバーセキュリティ対策に積極的に取り組まれている企業・組織、ご提供するサイバーセキュリティ関連サービスの強化に注力されている企業・組織の方々です。(掲載情報はインタビュー当時のものです。)
仙田 健 様(左) 串田 誠 様(中) 森谷 孝志 様(右)
「『信頼と技術で応えるSSL』を支えるツールの一つです」
株式会社富士通ソーシアルサイエンスラボラトリ
取締役 執行役員常務 仙田 健 様
ビジネスマネジメント本部 人材開発部 担当課長 串田 誠 様
ビジネスマネジメント本部 人材開発部 森谷 孝志 様
株式会社富士通ソーシアルサイエンスラボラトリ(以下、富士通SSL)は、富士通グループの一員として、最先端のICTをもとにソリューションビジネスとSI受託開発を中心とした事業展開を行っております。中でもセキュリティソリューションの占める割合は大きく、更なる成長に向けた事業革新テーマの一つとして「『セキュリティのSSL』を更に加速・深化」を掲げ、全社を挙げて取り組んでいます。
富士通SSLでは、セキュリティソリューションを担う人材の育成に加え、事業革新テーマの社員への浸透という目的もあり、情報処理安全確保支援士(登録セキスペ)は、制度開始当初から、資格の登録申請や講習受講費用を会社が負担する、と表明し登録を促進しています(2018年7月時点で84名)。セキュリティを専業としない部門でも、数多くの登録セキスペが活躍し、セキュアなシステムやソフトウェアの提供に貢献しています。
近年は、セキュリティに関するお客様の要望もより広く・深くなってきており、セキュリティポリシーの作成や監査、複数年にわたるセキュリティ強化計画の作成などの対応についてご要望をいただいております。「セキュリティを任せたい」とお客様に考えていただくには、「信頼」が必須です。コーポレートメッセージ「信頼と技術で応えるSSL」にもあるように、組織として信頼いただくことが重要と考えています。登録セキスペ制度は信頼を頂く枠組みの1つとして活用していますし、それ以外にも組織としての信頼をいただく努力を続けていきたいと考えています。
※富士通SSL様は、「JASA認定RISSトレーニング1日間コース」の研修実施機関です(登録セキスペ登録者であれば、1日間の研修受講で「情報セキュリティ監査人補」資格を得られる研修です。詳細は日本セキュリティ監査協会のページをご覧ください。
阿部 吉伸 様(左) 伊藤 公樹 様(中) 中村 健太 様(右)
「情報処理安全確保支援士制度は、高度なリスクマネジメント実現の重要ポイントである、"業務執行部門とリスク管理部門の独立したディフェンスライン体制"を支えるツールの1つです。」
カブドットコム証券株式会社
常務執行役(CIO) 阿部 吉伸 様
システムリスク管理室 伊藤 公樹 様
システムリスク管理室 中村 健太 様
※みなさま、情報処理安全確保支援士です
カブドットコム証券では「リスク管理追求型の次世代オンライン証券システムを創る」をコンセプトに、セキュリティを最重要視して業務を遂行しています。そのため、業務執行部門とリスク管理部門が独立したディフェンスライン体制をとり、業務遂行の中で、常にお客様の資産を脅かすリスクを可視化し、管理しています。我々はITを前提とした金融ビジネスを展開しているため、情報セキュリティに関するリスクは最大のリスクと考え、経営陣も一体となってサイバーセキュリティ対策に取り組んでいます。
そのような体制下で働く人材に求められることは、新たな脆弱性情報の発生や新たなテクノロジーの導入などの変化があった時に「当社のビジネスのどこに影響するのか?」と、ビジネスと技術の両方の知識をもって影響を測る力です。そのために、普段から経営層との会話の機会をもち、経営層の視点に触れておくことや、各部門間で役割分担を明確にしながら信頼できる関係を構築しておくことが重要と考えています。
そこで、情報セキュリティにおける社員の共通言語や、共通の認識・理解・レベルを作るために、情報処理技術者試験・情報処理安全確保支援士(登録セキスペ)制度を活用しています。具体的には、全ての情報システム部門、リスク管理部門には登録セキスペを配置し、CSIRTメンバーは登録セキスペであることを基準として選定しています。その結果、金融関連企業の中ではトップレベルの登録セキスペの登録人数となっており、これは経営陣も一体となってサイバーセキュリティ対策に取り組んでいることを示すデータの1つです。
これからは、更に高度なサイバーセキュリティ対策を実現するために、見えないリスクも可視化して管理していく活動が求められています。それには、経営目標の達成とのギャップを分析し「いつまでに何をする」を約束させる経営的な視点やスキルが必要と考えています。当社の登録セキスペにはこういった視点・スキルを身につけさせていきたいです。
社員の登録セキスペの登録に積極的なユーザ企業はまだ少ないようですが、それはビジネス遂行におけるITの位置づけが、まだ「文房具」という意識にとどまっているからではないでしょうか。当社ではITはビジネス遂行に欠かせないものであり、サイバー攻撃が大きなビジネスリスクと認識し情報処理安全確保支援士を登録しています。ユーザ企業においてもビジネスに対する危機意識が高まれば、ITガバナンスに真剣に取り組まざるを得なくなるため、情報処理安全確保支援士のような人材はますます必要となってくると思います。
石井 俊行 本部長
「お客様の要望に合わせた確実なセキュリティ設計がますます重要に。 それができる社員となってもらうツールの一つとして、 情報処理安全確保支援士制度を活用しています。」
日本電気株式会社
サイバーセキュリティ戦略本部
NECでは、「安心」「安全」な情報社会の実現に向けて、セキュリティ面で顧客にご安心いただけるシステムやサービスの提供に注力しています。
最近、システム・サービスの提供において特に感じているのは、「お客様のニーズに合わせたセキュリティ対策」の重要性です。全てのお客様に高度なセキュリティ対策が必要なわけではありません。そのビジネスをしっかり理解し、必要で効果的なセキュリティ対策を設計して、必要性を説き、安全なシステム・サービスを提供する。それがこれからのセキュリティ技術者に求められることだと考えています。
このような技術者に求められるのは、「①セキュリティ分野の体系的な知識・スキル」と「②レベルごとのセキュリティ対策について、効果とリスクを経営層に説明できるスキル」です。①を習得する基盤として、情報処理安全確保支援士試験は最適と感じており、NECグループでは、数百人規模で情報処理安全確保支援士を登録させています。弊社の情報処理安全確保支援士には、今後は②の役割を担っていって欲しいです。
今後、セキュリティ対策要員を自社で抱えられないお客様に対して、セキュリティ面のアドバイスや、お客様の取引先への説明を代わって行うようなセキュリティ技術者が必要になってくると感じています。その際にも、国家資格である「情報処理安全確保支援士」を持っていることで、お客様に安心感や信頼感を持っていただけるのではないでしょうか。
与儀 大輔 担当部長(左) 西谷 昌紀 人事課長(右)
「情報処理安全確保支援士は当たり前の資格と考えています。」
NRIセキュアテクノロジーズ株式会社
事業推進部 与儀 大輔 担当部長
人事部 西谷 昌紀 人事課長
NRIセキュアテクノロジーズは、NRIグループにおける情報セキュリティ専門の中核企業で、お客様の情報セキュリティにおける課題解決をワンストップで支援するプロフェッショナル集団です。サイバー攻撃のリスクが増え続けるなか、我々は倫理観と専門性を兼ね備えた専門家の育成こそが重要と考え、人材育成に積極的に投資しています。
例として、セキュリティ分野のスキル習得目標として、CISSPやSANSのGIACなど、グローバルな高度セキュリティ資格の取得を推進しています。一方、日本の国家資格である情報処理安全確保支援士についても「セキュリティ専門家にとって当たり前の資格」として、登録・講習費用は会社が負担しています。結果、多くの社員が登録しており、これは、セキュリティサービスを提供する会社としての技術力の証明にもなると考えております。
現在、様々な企業において、情報システム部門(コーポレートIT)だけでなく事業部門が、課題解決やビジネス拡大のために次々と新しいITサービスを探し活用する「ビジネスIT」が広がりつつあります。そこでは、情報処理安全確保支援士をはじめ、スピード感をもってセキュリティ対策を考えられる人材が数多く必要です。当社でも、さらに高度な専門性をもつ人材を育て、社会の安全に寄与していきたいと考えています。