最近はDXを進める企業が増える中、業務のデジタル化が拡大しています。しかし、これにより、オンライン上での作業が増えたことで、サイバー攻撃を受けるリスクが高まっています。サイバーセキュリティは、こうしたリスクを抑えて、企業の持続可能な経営を守るために必要不可欠な人材です。ところが、サイバーセキュリティについてよくわからない、何をしたらよいのか知りたいと悩んでいる方も少なくないでしょう。そこで本記事では、経済産業省と情報処理推進機構(IPA)が公開している「DX推進スキル標準」の人材類型の一つである、サイバーセキュリティの役割や業務内容、必要なスキルについて解説します。参考:独立行政法人 情報処理推進機構 経済産業省「デジタルスキル標準ver.1.1」2023年8月DX推進スキル標準におけるサイバーセキュリティとは?DX推進スキル標準において、サイバーセキュリティとは以下のような特徴を持つ人材であると定義されています。業務プロセスをサポートするデジタル環境におけるサイバーセキュリティリスクの影響を抑える対策を講じる人材デジタル技術を駆使したプロダクトの開発・提供にあたって、セキュリティの確保は欠かせない要素であるため、サイバーセキュリティを担う人材は非常に重要な役割を果たします。DX推進に伴い、IT部門だけでなく他の事業部門でもセキュリティ対策の重要性が増しています。様々なバックグラウンドを持つ人材がサイバーセキュリティのスキルを身につけることで、セキュリティ侵害の未然防止や被害の軽減に貢献していくことが期待されています。なお、DX推進スキル標準とは、DX を推進する人材の役割や習得すべきスキルの標準のことです。経済産業省は、DX推進スキル標準を策定したねらいについて、以下のように説明しています。DXを推進する人材の役割や習得すべき知識・スキルを示し、それらを育成の仕組みに結び付けることで、リスキリングの促進、実践的な学びの場の創出、能力・スキルの見える化を実現するDX推進スキル標準について理解を深めたい方は、以下の記事をお読みください。DX推進スキル標準とは?必要性、5つの人材類型、活用イメージ「サイバーセキュリティ」という名称についてDX推進スキル標準に定められた5つの人材類型の中で、サイバーセキュリティは他と異なり、人称ではなく対象分野の名称が用いられています。これは、誤解を招くイメージを避けるための措置であると説明されています。従来、セキュリティ対策の分野においては、「セキュリティスペシャリスト」や「セキュリティプロフェッショナル」などがセキュリティ対策を担う専門人材をさす名称として使われてきました。これらは、高度な専門人材をイメージさせる名称です。一方で、DXを推進する多くの企業において、セキュリティ対策を担当する人材は、実際には他の業務と兼任することが多いのが現実です。以上のことから、セキュリティ対策の担当者を特定の人称ではなく対象分野名で呼ぶことで、役割が広範囲かつ多様であることを表現しています。なお、サイバーセキュリティの人材類型は、現在政府が推進している、「プラス・セキュリティ(※)」とも連動しています。(※)セキュリティを専門としない人材が自らの担当業務の遂行において必要となるセキュリティスキルの習得に向けた取組み。サイバーセキュリティに期待される役割期待されている具体的な役割としては、主に3つあります。1つ目は、DXの進行とセキュリティ対策のバランスを適切に保ちながら、企業の戦略を支えることです。DXプロジェクトや業務改革を進める中で、情報漏洩などのセキュリティリスクを回避するための対策を策定し実施する役割が重要となります。セキュリティ対策は、ただ厳重にするだけではなく、その過程で利便性や効率が低下したり、コストが増加したりする可能性も考慮する必要があります。そのため、セキュリティ対策とDXによる価値提供の間で、最適なバランスを見つけることが求められます。2つ目は、必要に応じて外部の専門家を活用しつつ、自社で対応できる範囲の業務を行うことです。最近ではサイバー攻撃が複雑化しており、専門的な知識がなければ適切な対応が難しいことも少なくありません。異常を見つけたり、攻撃の原因を探ったり、ペネトレーションテストを行ったりする際は、外部の専門家に委託するのが現実的です。そのため、外部の専門家と効果的にコミュニケーションを取りつつ、セキュリティ対策を実行するスキルを身につけることが必要です。3つ目は、他の人材類型と協力しながら、デジタル環境におけるリスクから被害を最小限に抑えることです。デジタル変革に伴うリスクには、サイバー攻撃だけでなく、制御システムやIoTの障害が原因で社会インフラが停止するリスクや、組織内の不正行為、プライバシー侵害など、多岐にわたる脅威があります。こうしたリスクに対応するため、さまざまな分野の専門家と協力し、共同で対策を講じることが求められます。なお、本章の冒頭に示した図は、サイバーセキュリティと他の人材類型が連携して進める業務の一例です。どちらかがどちらかに指示(依頼)をするといった形ではなく、様々な場面で複数の類型が協働関係を構築するのが特徴的です。別の人材類型との連携例一例として、サイバーセキュリティが別の人材類型である「データサイエンティスト」と連携するケースを挙げると、データ管理やプライバシー保護に関するポリシーの検討といった業務を進めていくことが想定されています。これにより、データ活用にあたってのセキュリティリスクを低減し、データの安全性と信頼性の確保を目指していくことが可能です。「DX推進スキル標準」におけるデータサイエンティストとは、ビッグデータを扱い、その中から有用な情報を抽出し、ビジネス上の意思決定を支援することを専門とする人材であると定義されています。DXの人材類型の一つであるデータサイエンティストについて詳しく知りたい場合は、併せて以下の記事をお読みください。DX推進スキル標準のデータサイエンティスト|役割、業務、必要なスキルサイバーセキュリティのロールごとの責任・業務・スキルサイバーセキュリティのロールとして設定されているのは以下の3つです。サイバーセキュリティマネージャーサイバーセキュリティエンジニアここでいうロールとは、「DXの推進にあたって、担当する責任・主要な業務内容・必要なスキルセットをもとに定められた役割」を意味する言葉です。ここからは、上記2つのロールについて、責任・業務・求められるスキルをそれぞれ順番に解説します。サイバーセキュリティマネージャーまずは、サイバーセキュリティマネージャーとしてのロールを全うするために欠かせない責任・業務・スキルについて順番に取り上げます。責任このロールが担う責任は、ビジネスの計画を立てる際に、デジタル技術の使用に伴うサイバーセキュリティのリスクを評価し、これらのリスクを減らすための対策を管理し実施することです。これにより、顧客にとって価値のあるビジネスを安全に展開し、顧客の信頼を高めることが目標となります。業務このロールで手がける主な業務は以下のとおりです。新規ビジネスでのデジタル技術の使用によって生じるサイバーセキュリティ、安全性、プライバシー保護のリスクを評価するリスクとリターンのバランスを考え、サイバーセキュリティリスクを軽減するための戦略を立て、その対策をどのように実施するかを検討するサイバーセキュリティリスクを減少させるための対策の実施状況を管理し、その監査を行うビジネスで使用しているデジタル環境で起こるサイバーセキュリティの問題に対処するスキルこのロールを全うするために、求められているのは以下の分野に関するスキルです。スキル項目内容セキュリティマネジメント情報やサイバー空間、OT(運用技術)/IoT(モノのインターネット)環境のセキュリティを組織全体で適切に管理する能力プライバシー保護パーソナルデータなどのプライバシー情報を保護するための要件を理解し、実践する能力セキュリティ体制構築・運営セキュリティ対策を実施するための体制を築き、維持し運営する能力(人材の確保や育成を含む)組織内でセキュリティ意識を高める文化を作り出す活動を行う能力インシデント対応と事業継続サイバー攻撃や事故、内部不正、災害など各種リスクがセキュリティ問題として現れた場合、その影響を減らし事業を継続する能力サイバーセキュリティエンジニア次に、サイバーセキュリティエンジニアとしてのロールを全うするために欠かせない責任・業務・スキルについて順番に取り上げます。責任このロールが担う責任は、ビジネスの運営においてデジタル技術を使う際に生じるセキュリティリスクを減らす対策を取り入れ、維持し、実行することです。これにより、顧客に価値の高いビジネスを安定的に提供することに貢献します。業務このロールで手がける主な業務は以下のとおりです。デジタル関連のリスクを減らすための技術的な管理策をサポートするセキュリティ製品やサービスを選び、導入し実施するセキュリティ製品やサービスの日常的な運用とメンテナンスを行うデジタル技術を使ったシステム・サービス・設定など、サイバーセキュリティに影響を与える変更を管理するデジタル技術の性能を評価し、脆弱性に対処するための管理を行うスキルこのロールを全うするために、求められているのは以下の分野に関するスキルです。スキル項目内容セキュア設計・開発・構築デジタルサービスや製品を企画、設計する際、サイバー攻撃や不正から守るための基準や要件に基づいて開発する能力デジタルサービスや製品の脆弱性を理解し、適切に診断する能力(外部委託を含む)セキュリティ運用・保守・監視デジタルサービスを安全に運用するための保守と対策を適切に実行する能力セキュリティ監視やインシデントの原因を解明するための能力まとめ本記事では、DX推進スキル標準が定義する「サイバーセキュリティ」に関して、役割や業務内容、活躍するために必要なスキルなどを中心に取り上げました。サイバーセキュリティは、サイバー攻撃のようなリスクを抑えて、企業の持続可能な経営を守るために必要不可欠な人材です。とはいえ、サイバーセキュリティとして活躍できる人材は簡単に見つかるものではありません。DXを推進する企業としては、採用に依存するのではなく、社内・社外での研修・教育ツールなどを通じてサイバーセキュリティとして活躍できる人材を育成していくことも大切です。まずはサイバーセキュリティを含め、自社のDX推進に必要な人材を明確に定義するところから始めましょう。弊社では『SIGNATE Cloud』というデジタルスキル標準に完全対応で、DXスキルアセスメントから自社ケースの実践まで、学びと実務支援が一体となった教育プラットフォームを運営しています。『SIGNATE Cloud』を利用すれば、DX人材の発掘から育成、そして学んだことを実際の業務につなげていくことが可能です。ご興味のある企業様はお気軽にお問い合わせください。