- 2025.04.24
- サイバーセキュリティ
サイバーセキュリティ人材として求められるスキル
セキュリティに課題を抱える企業を対象に独自のセキュリティサービスを提供されている、株式会社CISO 代表取締役 那須慎二様によるセキュリティコラム第2弾 第10回。今回は、サイバーセキュリティ人材として求められるスキルについてご紹介いただきます。
前回はセキュリティエンジニアにこそ求められる人格と考え方についてご説明いただきました。例えば「学んだスキルを悪用しない」など、人格面でも求められる姿勢がある、というリアリティのあるご説明でした。
セキュリティエンジニアにこそ求められる人格と考え方
今回はより広くサイバーセキュリティ人材について、求められるスキルをご紹介いただきます。
レベル感や経験によって、どのようなスキルをどのように身につけていくべきか例示いただいています。
皆様のお役に立てれば幸いです。
サイバーセキュリティ人材として求められるスキル【セキュリティコラム第2弾 第10回】
以前(2025年2月)のコラムでは「CISO(情報セキュリティ最高責任者)に求められる人材像」についてお伝えしました。今回は更に実務的な「サイバーセキュリティ人材に求められるスキル」について見ていきます。
まず初めに、そもそもサイバーセキュリティ人材とはどのような人なのか、という人材定義からみていくことにします。IPA(情報処理推進機構)が提示している、「デジタルスキル標準」によると、セキュリティ人材は「サイバーセキュリティマネージャ」と「サイバーセキュリティエンジニア」に大別されます。
サイバーセキュリティマネージャ、サイバーセキュリティエンジニア
サイバーセキュリティマネージャは、企業のセキュリティ体制を構築し、維持・管理する立場です。セキュリティ対応方針やルール、組織作り、セキュリティ管理手法の決定と社員教育の企画から実施、セキュリティ監査などを行う役割を担います。
サイバーセキュリティエンジニアは、企業がサイバーセキュリティ被害に遭わないために、技術的な実装をする立場です。サイバーセキュリティマネージャが決定した方針やルール、セキュリティシステムを実際に設計・構築・稼働・実装させつつ、運用・保守・監視を通じてセキュリティが確保されている状況を維持させる役割を担います。
<参考:デジタルスキル標準(IPA)より>
サイバーセキュリティマネージャとしての要件として重要度が高い(重要度: aとして定義されている)スキル
・セキュリティ体制構築・運営
・セキュリティマネジメント
・インシデント対応と事業継続
・プライバシー保護
サイバーセキュリティエンジニアとしての要件として重要度が高い(重要度: aとして定義されている)スキル
・セキュア設計・開発・構築
・セキュリティ運用・保守・監視
出典:https://www.ipa.go.jp/jinzai/skill-standard/dss/ps6vr700000083ki-att/000106872.pdf
これらのスキルは、置かれている環境に関わらず(エンドユーザに所属しているメンバーであれ、システムベンダに所属しているメンバーであれ)、共通で必要となります。
スキルアップについて
スキルアップの順番については、「サイバーセキュリティ経験」と「ビジネス経験」の4象限に分類すると説明がつきやすいので、下図を参照にしながらスキルレベルを確認していきます。セキュリティエンジニアとして、現場でサイバーセキュリティに関するテクニカルスキルを網羅的に習得した上で、それらエンジニアを統括するマネジメントを行う、というステップが望ましいでしょう。
まずはビジネス経験、サイバーセキュリティ経験が共に少ない場合。主に新卒メンバーや、業界未経験のメンバー20代の方が対象になると思いますが、この場合はともかくエンジニアとしての基礎技術を習得する必要があります。実務に加えて資格取得を同時に行っていくのがスキルレベルの底上げには良いでしょう。IPA資格であれば、ITパスポート、基本情報処理技術者試験、民間資格のCompTIAであればA+、Network+、Security+当たりは最低限抑えておきたいところです。情報セキュリティマネジメント試験や、ネットワークスペシャリスト、情報処理安全確保支援士もこのタイミングで抑えておけば、後のキャリアパスに有利に働きます。
サイバーセキュリティの技術がある程度身につき(多)、かつビジネス経験が浅い(少)場合は、サイバーセキュリティに関連するビジネス経験を積みつつ、セキュリティ強化に向けた組織作りや、運用、ルールに触れていくと良いでしょう。IPA資格であれば情報セキュリティマネジメント、情報処理安全確保支援士、ITサービスマネージャ等が役に立ちます。
実務に触れるのがとても大切なので、例えば会社としてISMS(情報セキュリティマネジメントシステム)の認証を取得している(あるいはしたいと思っている)場合は、プロジェクトに参加するのが有効にセキュリティマネジメントを学ぶ機会になります。ISMS認証取得とはいかないまでも、会社に情報セキュリティに対するルールや規程がない、もしくは形骸化している等があれば、プロジェクトに参加させてもらうのが有効なスキルアップ手段になります。
ビジネス経験は豊富(多)だが、サイバーセキュリティの技術が足りていない(少)場合、セキュリティエンジニアとして初めに学ぶ、基礎技術習得を行い、技術的な足場固めを行いながら、セキュリティ組織作りや運用、ルールに触れていく、という、上述した2つの内容をハイブリットにこなしていくのが良いでしょう。この際も、ISMSプロジェクトに参画することで、セキュリティマネジメントを落とし込むのが有効な手段になります。
ビジネス経験が豊富(多)、サイバーセキュリティに関する技術スキルも高い(多)場合、情報セキュリティマネージャから更に上位概念であるCISO(情報セキュリティ最高責任者)を目指していくのが望ましいでしょう。
筆者紹介
那須 慎二(なす しんじ)
株式会社CISO 代表取締役
国内大手情報機器メーカーにてインフラ系SE経験後、国内大手経営コンサルティングファームにて中堅・中小企業を対象とした経営コンサルティング、サイバーセキュリティ・情報セキュリティ体制構築コンサルティングを行う。
2018年7月に株式会社CISO 代表取締役に就任。人の心根を良くすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、長年の知見に基づく独自のセキュリティサービス(特許取得 特許第7360101号)を提供している。
業界団体、公的団体、大手通信メーカー、大手保険会社、金融(銀行・信金)、DX関連など業界問わず幅広く講演・執筆多数。近著に「知識ゼロでもだいじょうぶ withコロナ時代のためのセキュリティの新常識(ソシム)」あり。
記事中で言及があった当社提供中の関連トレーニングはこちら
〇 CompTIA A+ (Core1およびCore2の2コースございます)
コンピュータのハードウェアの基礎知識、一般的なネットワークやオペレーティングシステムの基礎知識、およびモバイルデバイスやセキュリテ、クラウド、データマネジメントなど、現在のIT分野において必須となるコアテクノロジーを幅広く学習します。
〇 CompTIA Network+(セルフペーストレーニング(eラーニング)対応)
組織内のネットワーク管理、インストール、セキュリティなどが職務に含まれている場合に必要となる基礎的なコースです。
〇 CompTIA Security+(セルフペーストレーニング(eラーニング)対応)
顧客情報漏えい、不正アクセス、ウイルスやワームをはじめとする悪意のプログラムによる攻撃など、様々な脅威と各種セキュリティに関する要件に対応し、総合的なセキュリティ対策を学びます。
