中心的な役割果たす「人材定義WG」が機能定義と人材定義の共通モデルを策定

第1フェーズにおいて、最も中心的な役割を果たしているのが、人材定義WGです。このWGは以下の2つの目的を掲げています。

これらの目標を達成するためには、セキュリティ基準の明確化や導入・運用プロセスの策定を行わなければなりません。
そしてその前提としては、サイバーセキュリティ人材の定義に必要となる「サイバーセキュリティ対策に求められる機能定義」（以下、「機能定義」）が求められます。人材定義WGでは、重要インフラ分野を中心としたサイバーセキュリティのユーザ企業が参加し、その検討を進めてきました。

ここで言う「機能定義」とは、サイバーセキュリティ人材を定義する一つ前の段階のもの。ユーザ企業が求めるサイバーセキュリティ対策の各機能を規定した上で、あらゆる業種業界を視野に入れたサイバーセキュリティ対策の機能分布を明確化した「共通モデル」を策定します。さらに、これらの機能を担う人材を定義する「人材定義」も進めていきます。

セキュリティ人材（情報セキュリティ人材）の定義付けは、これまでにも政府機関やさまざまなICT関連団体によって行われており、これに基づいた人材育成が、ICT企業を中心に積極的に進められています。しかし現在公開されているこれらの人材定義やスキルセットは、すでにICT関連業務に従事する情報セキュリティ技術者のキャリア形成に主眼が置かれており、多くのユーザ企業が置かれている状況には、必ずしも適合していないという問題があります。このような問題を解決するため、人材定義WGでは日本企業の特殊性を考慮した上で、多くのユーザ企業に適用できるサイバーセキュリティ人材のあり方というものが別に存在するのではないかという仮説に立ち、参加企業による討議によって「機能定義」の検討を行うことにしました。

その一環として実施されたのが、参加企業に対するアンケート調査です。サイバーセキュリティに関わる業務についてのアンケートを行い、それらを取りまとめる形で検討を進めていきました。なお今回は、対応が急がれる「情報システム」に関するサイバーセキュリティ対策に必要となる機能定義について、参加企業へのアンケートに基づいた検討を実施しています。

その結果まとめられたのが、以下の「日本企業におけるセキュリティ機能分布モデル」です（詳細は中間報告書をご参照ください。URLは本稿末尾に掲載されています）。

またこの機能分布モデルにもとづき、各セキュリティ機能と組織の関係を示したのが、以下の「セキュリティ機能と組織分布」です。

これらの成果物は、情報システム部門に求められる機能定義と、それらの機能に対するサイバーセキュリティ対策の要件を例示したものになっています。今後はより広い領域を視野に入れ、機能定義を行う必要があります。