ここから本文
セキュリティスペシャリストコミュニティ
2021年9月
目次
サイバー攻撃の高度化やテレワークの普及による作業環境の変化、ゼロトラストの実現などにより、企業のセキュリティ対策には今まで以上に高い能力を持った人材が求められています。三菱電機インフォメーションシステムズ株式会社(MDIS)の「セキュリティスペシャリストコミュニティ」(セキスペコミュニティ)は、サイバーセキュリティの専門家の情報共有・交流の場として作られました。コミュニティによって生まれる担当業種や職種を越えた人的つながりは、現代のサイバーセキュリティ対策に求められる様々な事例とその解決策の引き出しを持つ人材の育成と組織としての課題対応力の強化に寄与しています。
三菱電機インフォメーションシステムズ株式会社
デジタルトランスフォーメーション事業推進センタービジネスイノベーション推進部 次長 須藤 純吾 氏(左)
三菱電機インフォメーションシステムズ株式会社
金融第一事業部 ソリューション戦略室(SSO) Executive Advisor 森 滋男 氏(右)
セキスペコミュニティの創設メンバーであるビジネスイノベーション推進部次長の須藤純吾氏は、現代のセキュリティ対策に求められる人材について次のように語ります。
「サイバー攻撃の手口が巧妙化する中、企業のセキュリティ対策は技術面に加えて、経営、組織、人材など様々な目線から考える必要があります。セキュリティの専門家には様々な立場の考えを理解するとともに、システム構築の構想段階、すなわち“超上流”からお客様と一緒に考え、提案やアドバイスを行うことが求められます」
セキスペコミュニティでアドバイザーを務める金融第一事業部ソリューション戦略室(SSO)Executive Advisorの森滋男氏は、セキュリティを経営目線で考えることの重要性について語ります。
「プロジェクトの超上流段階に参画し、経営層を納得させられるロジックとそのベースとなる情報やデータをお客様に提示することのできる人材が必要とされています」
デジタルトランスフォーメーション(DX)やOT(Operational Technology)のセキュリティが不可欠な中、ITに比べその重要度が劣後することも多いため、DXやOT関係者まで含めセキュリティ対策の必要性を説明できる超上流人材が求められます。
これからのセキュリティスペシャリストには、様々な人と共創ができること、事例、知識に関する引き出しの多さが求められています。
セキュリティ人材を育成する場として、コミュニティという形を採った理由について、須藤氏は次のように説明します。
「セキュリティの領域は日進月歩です。サイバー攻撃も対策も進化は非常に速くなっています。これに追従するには教科書的な勉強だけでは限界があります。最新情報を得るために多くの情報網、人脈を持ち、多くの事例を知るとともに、積極的な意見交換で理解力と発想力を磨くことが必要です。三菱電機グループには金融ビジネス部門や研究所を中心に高度なセキュリティ関連業務に携わっている人材が数多くいます。こうした人材がより多くの事例に触れ、人脈を作ることが、個々の力の向上だけでなく全体のセキュリティ能力向上につながると考え、コミュニティという形態での活動をはじめました。各メンバーが持つセキュリティの力、ノウハウを『掛け算』してセキュリティレベルを高めたいと考えています」
前職では銀行でセキュリティ対策を担当していた森氏は、専門家の横のつながりを強めることが必要だと強調します。
「顧客として接していた時から、三菱電機グループには高度な知識やノウハウを持った人材が至るところにいると実感していました。彼らが横のつながりを持つことによって、それぞれの持つ引き出しが増え、それが“超上流”からお客様を支援していく際の大きな力になると考えました」
セキスペコミュニティは2018年に創設されました。最初はMDISの金融ビジネス部門内で活動をはじめましたが、その存在はすぐに広まり、MDIS内はもとより関係会社や親会社の三菱電機からもセキュリティ関係者が加わりました。2021年3月現在で100名以上のメンバーが参加しています。
コミュニティの主な活動としては、以下のようなものがあります。
● セキュリティ有識者による定期勉強会
● 「 情報処理安全確保支援士」資格受験対策勉強会
● コミュニティサイト上での情報共有、ディスカッション
● 「サイバーセキュリティハンドブック」の作成
● ベンダー製品情報の紹介
● セキュリティコンテストへの参加
● セキュリティニュースの収集・蓄積
若手からベテラン、営業、SE、スタッフと年齢、職種ともに幅広い層が参加しており、セキュリティに関する多様な人材の交流の場となっています。最近ではITセキュリティだけにとどまらず、製品セキュリティ、OTセキュリティ関係者も増えてきています。
セキュリティスペシャリストコミュニティの構成
セキスペコミュニティは、セキュリティという共通項で多様な人材が集う場となっている
活動の中核はIPAの国家資格「情報処理安全確保支援士」を持つ有識者が担っています。年に4~5回開催される勉強会の内容は、ゼロトラストをはじめ、国内外最新動向、有識者によるセキュリティ事案分析、セキュリティ規格の解説、最新製品の紹介、研究動向、事例など多岐にわたります。社内(グループ内)コミュニティであることのメリットを活かし、踏み込んだ内容を扱います。
「セキュリティに関する成功事例や失敗事例など具体的なノウハウを学べる点が好評を博しています。オープンなコミュニティはどうしても共有できる情報が制限されますが、セキスペコミュニティではできるだけメンバー内の共有事項を増やしたいと考えています」(須藤氏)
新型コロナウイルスの感染拡大により2020年からは勉強会をオンラインで開催しています。
「オンライン開催にしたことで、それまで場所や時間の制約で参加できなかった人達も加わり参加者が大幅に増えました。勉強会の内容はできるだけタイムリーなものを盛り込むようにしています。国内外のセキュリティイベントに参加したメンバーが最新情報を報告することもあります。終了後には毎回、参加者からアンケートによるフィードバックを受けて次の企画に活かしています」(須藤氏)
またコミュニティ内の有識者の手により、独自の「サイバーセキュリティハンドブック」を作成し勉強会で活用しています。これはサイバー攻撃の手口やその対策について、一般論ではなく主に大企業を念頭に置いた実践的内容となっています。
「企業のセキュリティ対策に携わる人間にとって非常に有用な内容となっています。こうした独自のツールを作成できたことはコミュニティの大きな成果だと考えています」(森氏)
創設から3年、セキスペコミュニティはセキュリティ人材のレベルアップや人脈形成に着実に貢献してきています。
「コミュニティができたことで、セキュリティに関わる人材の能力アップが図れていると実感しています。有資格者は増えており、メンバーから情報セキュリティの博士を輩出することもできました」(須藤氏)
コミュニティを介した人脈形成も進み、担当者が一人で悩むことが無くなりました。セキュリティポリシー、サイバー攻撃対策、暗号、海外対策、クラウドセキュリティに詳しいなど、各専門家が集まることにより、超上流での問題解決を行うフレームワークができました。コミュニティは部門を跨いだセキュリティ人材のハブとしての機能を発揮しはじめています。
セキュリティ人材は業界を問わず必要です。サイバーセキュリティ対策の実績を横展開可能とする人材育成の仕組みとして利用して行くこと、また、ビジネス面でのアドバイザリーとしての効果も期待できます。
「情報共有と人脈形成が進むことで、担当者個人の力だけでなく組織、グループとしてお客様のセキュリティを支援する体制が整ってきていると思います」(森氏)
セキスペコミュニティは、将来的にはセキュリティの高度人材育成のアカデミーのような存在になることを目指し、今後もいっそう活動を充実させていく予定です。
