プラクティス3-3 サイバーセキュリティ対策のための、必要なサイバーセキュリティ人材の定義・育成
プラクティス2-1に記載した従業員数1,200名規模の流通業であるD社では、サイバーセキュリティリスクを管理する横断的な組織としてサイバーセキュリティ委員会を設置した。
D社はシステムの開発・運用を外部委託しているが、IT統括部の部長は経営リスクであるサイバーセキュリティについての対策をすべて外部に任せることはできないと考えた。そして自社に必要な知識・スキルを「専門ベンダとコミュニケーションできるレベルのセキュリティの基礎知識」 、「自社にとって最適なサイバーセキュリティ対策を選択する能力」と定義し、IT統括部の担当者に専門ベンダの勉強会・セミナー、業界団体の勉強会に参加させることにした。
D社の実践のステップ
IT統括部長が実践したステップは下記の3点である。
①自組織に必要な役割のうち、専門ベンダを活用する領域、自社で対応が必要な領域を整理する
②①の整理結果それぞれに対し、必要な能力・スキルをIT統括部内で協議、決定する
その上で、担当者をアサインし、責任を与える
③担当者の育成に必要な教育や研修を洗い出し、受講させる
D社の実践内容
IT統括部では、サイバーセキュリティにおいて外部委託する機能についても自社に必要な知識・スキルを定義した。これにより専門ベンダを活用する領域においても自社で最低限の情報収集が必要となることが明らかになり、ベンダ主催の勉強会やセミナーについても担当者をより適切なものに参加させることができるようになった。
表1 D社のIT統括部における必要な能力・スキルと情報収集元の例
| IT統括部の主な役割 | 担当 | 自社に必要な能力・スキル | 情報収集元 |
|---|---|---|---|
| 技術的なサイバーセキュリティ対策の企画 | 自社 |
|
|
| 業務基盤の運用(インシデント対応を含む) | 外部委託 |
|
|
| 脆弱性や脅威情報の収集 |