情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. セキュリティエコノミクス
  4. プラクティス・ナビ
  5. プラクティス3-3 サイバーセキュリティ対策のための、必要なサイバーセキュリティ人材の定義・育成

プラクティス3-3 サイバーセキュリティ対策のための、必要なサイバーセキュリティ人材の定義・育成

公開日:2026年4月28日

背景

プラクティス2-1に記載した従業員数1,200名規模の流通業であるD社では、サイバーセキュリティリスクを管理する横断的な組織としてサイバーセキュリティ委員会を設置した。

D社はシステムの開発・運用を外部委託しているが、IT統括部の部長は経営リスクであるサイバーセキュリティについての対策をすべて外部に任せることはできないと考えた。そして自社に必要な知識・スキル(注釈1)を「専門ベンダとコミュニケーションできるレベルのセキュリティの基礎知識」 、「自社にとって最適なサイバーセキュリティ対策を選択する能力」と定義し、IT統括部の担当者に専門ベンダの勉強会・セミナー、業界団体の勉強会に参加させることにした。

  1. 注釈1
    組織におけるセキュリティ機能の配置、業務運用手順検討、必要なスキルの整理に向けては、下記の資料も参考にできる。
  2. 産業横断サイバーセキュリティ人材育成検討会:ユーザ企業のためのセキュリティ統括室構築・運用キット(統括室キット)
  3. 日本ネットワークセキュリティ協会(JNSA):セキュリティ知識分野(Sec Bok)人材スキルマップ各年版

D社の実践のステップ

IT統括部長が実践したステップ(注釈2)は下記の3点である。

  1. 自組織に必要な役割のうち、専門ベンダを活用する領域、自社で対応が必要な領域を整理する
  2. (1)の整理結果それぞれに対し、必要な能力・スキルをIT統括部内で協議、決定する。その上で、担当者をアサインし、責任を与える
  3. 担当者の育成に必要な教育や研修を洗い出し、受講させる
  1. 注釈2
    サイバーセキュリティ経営ガイドライン付録F『サイバーセキュリティ体制構築・人材確保の手引き』では、本プラクティスをITSS+(セキュリティ領域)を用いて実践する場合の手順を紹介している。
  2. サイバーセキュリティ経営ガイドライン付録F『サイバーセキュリティ体制構築・人材確保の手引き』

D社の実践内容

IT統括部では、サイバーセキュリティにおいて外部委託する機能についても自社に必要な知識・スキルを定義した。これにより専門ベンダを活用する領域においても自社で最低限の情報収集が必要となることが明らかになり、ベンダ主催の勉強会やセミナーについても担当者をより適切なものに参加させることができるようになった。


表2-3.3 D社のIT統括部における必要な能力・スキルと情報収集元の例
 IT統括部の主な役割 担当 自社に必要な能力・スキル  情報取集元
 技術的なサイバーセキュリティ対策の企画
 		 自社 -最新のサイバーセキュリティ対策を情報収集するスキル
-自社のシステム環境やリスクに応じてサイバーセキュリティ対策の優先度を設定するスキル		 -専門ベンダの勉強会・セミナー(有料・無料)
-業界団体の勉強会
 
 業務基盤の運用
(インシデント対応を含む)		 外部
委託		 -外部委託先である専門ベンダとコミュニケーションするためのセキュリティに関する基礎知識 -公開されている各種ガイドラインや研修資料
-専門ベンダのセキュリティに関するニュース記事
脆弱性や脅威情報の収集
前のページへ 次のページへ

更新履歴

  • 2026年4月28日

    新規公開