「情報処理安全確保支援士(登録セキスペ)の活動に関する実態調査」調査報告書について

報告書の概要

調査背景と目的

サイバー攻撃の増加・高度化に加え、社会的なIT依存度の高まりから、企業・組織におけるサイバーセキュリティ対策の重要性が高まっています。それに伴い、企業・組織での安全なセキュリティ対策を高度なスキルを活かして推進できる人材が求められています。

このため、最新の知識・技能を備え、サイバーセキュリティ対策を推進する人材の育成と確保を目指し、サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律（平成28年法律第31号）が2016年10月21日に施行され、新たな国家資格「情報処理安全確保支援士」制度が創設されました。

独立行政法人情報処理推進機構では、情報処理安全確保支援士制度の運営機関として、試験、登録、講習の運営及び制度の普及活動を行っています。制度創設から3年が経過し、2019年4月1日には登録人数が合計で18,000名を超える規模となりました。

本調査は、適切なサイバーセキュリティ対策の実現に必要となる制度や制度の在り方を検討することを将来課題とし、情報処理安全確保支援士の資格保持者（以下、登録セキスペという）に対して実態調査を実施したものです。

調査結果の主なポイント

調査結果の主なポイントは以下のとおりです。

（1）サイバーセキュリティ対策関連業務の担当状況による登録セキスペの分類

12種類のサイバーセキュリティ対策関連業務を定義し（注釈1）、その担当状況を調査したところ、複数のサイバーセキュリティ対策関連業務を担当していることが多い事がわかりました。更に、担当業務の組み合わせを調べてみると、自組織で活用するITの企画・構築・管理に関わる登録セキスペは、サイバーセキュリティ対策関連業務を全般的に担当している人が多いなど、いくつかの傾向がありました。

そこで、担当するサイバーセキュリティ対策関連業務に関する回答内容を基にクラスタ分析を行い、業務の組み合わせが似ているまとまり（クラスタ）を抽出しました。更に、得られたクラスタの属性値を分析することで、サイバーセキュリティ対策を担う人材の現状が一部見えてきました。

以下に、分析により得られた登録セキスペの分類と、その人数分布を示します。

＜対象＞登録セキスペ回答者（7,851名）

（2）サイバーセキュリティ対策関連業務の担当状況の分析により得られたこと

調査から見えてきた、登録セキスペの現状は以下のとおりです。

過半数は「プラス・セキュリティ人材」

「経営課題ストラテジ」（「セキュリティ責任者」を除く）、及び「IT全体デザイン」、「設計運用管理」、「設計開発」、「運用保守」、「運用」に分類される人は、その業務遂行状況からセキュリティ業務のみを担当しているとは考えにくく、ITに関わる業務（IT戦略立案から設計・開発、運用保守など）遂行の中でセキュリティスキルを活用している人が多いと考えられます。このような人材は「プラス・セキュリティ人材（注釈2） 」と呼ばれ、適切なサイバーセキュリティ対策実現の要となる人材であると考えられます。本調査では、これらの分類に属する人の割合は回答者の約6割でした。

また、「経営課題ストラテジ」の「セキュリティ責任者」、及び「緊急対応」、「監査・脆弱性診断」等に分類される人は、セキュリティを主たる業務とする人材（以降、「セキュリティ専門人材」と呼ぶ）と考えられます。

セキュリティ人材に関する様々な議論があるが、「プラス・セキュリティ人材」と「セキュリティ専門人材」とで、その現状や課題は異なっていると考えられ、どちらをターゲットにした話なのか、切り分けて議論や検討を進める必要があると考えます。

セキュリティに関わらない登録セキスペが約2割

明示的にサイバーセキュリティに関連する業務は担当していないと答えた人が登録セキスペの約2割であった点は、サイバーセキュリティ対策業務のある側面を表していると考えられます。セキュアな業務遂行は当たり前で非明示的に行われている可能性や、サイバーセキュリティ対策が必要ではない業務担当の人でもセキュリティ知識が必要と考えて資格を取得している可能性などが考えられます。

上位層の人材は事業を幅広く担当

「経営課題ストラテジ」及び「設計運用管理」には、部長以上の割合が1割以上ある分類が存在しており、ユーザ系企業で経営課題としてサイバーセキュリティ対策に取り組む上位層の人材と、ITベンダ系企業で顧客の経営を支えるITを設計から運用まで全体的にサポートする上位層の人材を表していると推察されます。 彼らは一種のキャリアゴールと考えられ、こういった方々は、対外的な自己アピールを主な目的として登録セキスペとなっていると考えられます。

中小規模の組織などで1人で活躍している登録セキスペは5％

中小規模の組織などでは、平均担当業務数が10以上で、1人でほぼすべての業務を担当している状況でした。更にこれらの分類は自組織で活用するITの企画・構築・管理に関わる人が多く、中小規模の組織を中心に自組織で活用するITのサイバーセキュリティを1人で支えている層がいることが分かりました。この層は、回答者全体の5%となります。

調査実態概要

以下の3種類のアンケート調査を実施しました。その実施概要を以下の表に示します。

（1）登録セキスペを対象とした実態調査

（2）「高度IT人材」を対象とした実態調査

（3）登録セキスペ所属組織の組織長を対象とした実態調査

報告書のダウンロード

• 調査報告書(PDF:5.2 MB)
• 調査報告書（抜粋版）(PDF:1.6 MB)

1. （注釈1）
   アンケート調査で確認した、サイバーセキュリティ対策関連業務の一覧〔カッコ内は略称〕

1. サイバーセキュリティに関する経営判断 〔経営判断〕
2. サイバーセキュリティ管理体制の構築（コンサルティングを含む） 〔管理体制の構築〕
3. サイバーセキュリティ管理体制のマネジメント（コンサルティングを含む） 〔マネジメント〕
4. セキュア設計・開発・構築・評価（コンサルティングを含む） 〔セキュア設計〕
5. ITシステム・サービスのセキュリティ面での運用・管理（外部委託・調達等を含む） 〔システム運用〕
6. サイバーセキュリティ対策機器の運用・保守 〔機器運用保守〕
7. 監視・情報収集 〔監視・情報収集〕
8. 脆弱性診断、情報セキュリティ監査 〔脆弱性/監査〕
9. インシデント対応（コンサルティングを含む） 〔インシデント〕
10. セキュリティ技術及びサイバーセキュリティ対策に関する調査・研究 〔調査研究〕
11. サイバーセキュリティに関する教育・人材育成 〔教育・人材育成〕
12. その他の業務 〔その他〕

1. （注釈2）
   一般社団法人日本サイバーセキュリティ・イノベーション委員会：セキュリティ人材不足の真実と今なすべき対策とは ～今必要なのは「プラス（+）セキュリティ人材」だ～ セキュリティ人材不足の真実と今なすべき対策とは(PDF:1.6 MB)