2025年2月25〜27日の3日間にわたり、「TECH+フォーラム セキュリティ2025 Feb. 今セキュリティ担当者は何をすべきか」が開催された。サイバー攻撃の脅威が高まり続けるなか、企業・組織はその脅威に対峙できる人材を確保しなければならないが、ただでさえ人手不足が著しい現在の日本でセキュリティに精通する人材を見つけるのは至難の業。そこで検討すべきはセキュリティ人材の育成だろう。本記事ではDAY3の27日に実施された、ニュートン・コンサルティングの第二カンパニーでエグゼクティブコンサルタントを務める星野靖氏の講演「セキュリティ人材の成長と定着、この成功ループを循環させる方法はあるか」の模様をダイジェストでお届けする。

「人」に注視したセキュリティ対策の重要性

ニュートン・コンサルティングは、イギリスで設立されたリスクマネジメント専門のコンサルティング会社だ。ソリューションとしては主に、企業規模の全社的リスクマネジメント(ERM)、サイバーセキュリティ・ITガバナンス等のIT系コンサルティング支援、事業継続(BCP)の3つを提供しており、星野氏はこのうちIT系支援を主に担いながら、組織運営や人材育成にも携わっている。今回の講演では、その経験から得た知見やノウハウが惜しみなく披露された。

星野氏は、まずニュートン・コンサルティングが掲げるビジョンから説明を始めた。そのビジョンとは「『あの時もっとこうしておけば良かった』を世界から失くしたい」というユニークなものだ。

「何か事が起きたとき、過去にこういうことをやっておけばよかったという後悔は世の中に多くありますが、こうした気持ちを持たずに済むように先のことを想像し、先手を打って行動してほしい。私たちはその思いで、お客様の後悔をなくすためのご支援をしています」と、星野氏はその意味を解説した。これはまさに、サイバーセキュリティにも通じるところといえるだろう。

続いて星野氏は本講演におけるゴールとして「サイバーセキュリティにおける人材育成の必要性を知る」「個人の成長視点だけではなく、組織の成長視点で育成を考える」の2つを設定し、本題に入った。

  • ニュートン・コンサルティング株式会社 第二カンパニー エグゼクティブコンサルタント 星野 靖 氏

サイバーセキュリティは、適切なツールやシステムを導入しさえすれば「人はいなくてもいい」と考えられているケースがあると星野氏は指摘する。しかし言うまでもなく、ツールやシステムにいくら高額の投資を行ったとしても、サイバー被害を100%防ぐことはできない。

星野氏はこうしたツールやシステム、言い換えればテクノロジーを用いた“予防”には当然力を入れてほしいとしつつ、「被害を受けることを前提に、いかに早く復旧するかという点にも併せて注力する必要があります。では迅速な復旧のため、テクノロジーに加えて何が必要かといえば、組織が平時からしっかり整備されていること、事態に対応する人材のスキルやリテラシーが十分な練度を有していること、さらには共通言語としてのルールやプロセスが整備されていることも重要になってきます」と話した。

なかでもこの日の講演で着目するのが「人」だ。現状、セキュリティ専門家の数は世界的に大きく不足しているという実態を示し、「日本においては現時点で50万人強のセキュリティ専門家がいるものの、それでも需要と照らせば17万人弱が不足しています」と警鐘を鳴らす。とはいえ日本は生産年齢人口が減少局面に入っているため、必要な人材の確保は一筋縄ではいかないとして、「5年、10年、あるいは20年というスパンで見れば、AIがその不足分を代替して課題が解決する可能性はあるかもしれませんが、1、2年で状況が大きく変わることはないでしょう。ですので、いまはとにかくセキュリティ領域にいかに人を呼び込み、成長させ、そして定着させていくかを考えていく必要があります」と指摘した。

人材育成の前提としてなすべき業務分類

では、セキュリティ領域のどこに人材を投入し、育成していけばいいのか。星野氏はこう語った。 「サイバーセキュリティというと、どうしても運用など技術的な部分に目が行きがちですが、それ以外の業務もあります。“いま必要な業務”と“将来に向けた業務”に大別して考えた場合、前者にはまさにセキュリティ運用や、インシデント管理、脆弱性への対応といったものが当てはまります。一方、後者では中長期的な計画策定、新規格・技術が出てきたときの対応といった業務が考えられます。このように分けると、セキュリティ運用はやはり技術的な知識が必要になりますが、将来に向けた業務、とりわけ中長期の計画策定といった仕事では、技術的なことよりもその企業・組織・事業に精通し、事務的な経験を持っていることが求められます」

さらに星野氏は、セキュリティに関わるこれらの業務を「自組織で担う」「外部を活用」「セキュリティ専門の高いスキルが必要」「セキュリティ専門のスキルはそれほど必要ない」という4つの視点から分類。ここに先ほどの「いま必要な業務」「将来に向けた業務」のフィルタを重ね、自組織でやるべきか、外部に任せるかを組織規模も考慮しながら区分けする考え方を紹介した。このように、自組織でセキュリティに関する業務のどこまでを担うか、その境界線を決めたうえで、組織内部での持続的な人材育成を実施するためのヒントへと話題を進めた。

継続的に成長できる「学習する組織」を目指す

人材採用には大きく分けて新卒採用と中途採用がある。そのどちらがいいかは一概にいえず、各企業の風土や組織文化、事業上のニーズ、そして応募する人の個性によっても正解は変わるだろう。ただ、最初から自社に100%フィットし、能力も備え、かつその能力を十分に発揮できる人材の採用が困難であることは間違いない。 とするなら、どのような人が入ってきたとしても、ある程度の成長と定着を実現していく必要がある。そこで目指すべきは、仕事の要求レベルが高くても心理的安全性が高く、全員が学び、成長し続けられる「学習する組織」だというのが星野氏の考えだ。

そうした組織であることを意識しつつ、より具体的に求められるのは、組織の目標と個人の目標が整合することだと星野氏。組織目標と整合した個人の目標設定にあたり、1つの例として「個人が組織で実現したい希望・意向を確認」「その人自身の自己意識(メタ認知)を高めてもらう」「組織において1対1の関係性による相互理解と組織全体での相互理解を深める」「組織目標を踏まえた役割分担を決める」「組織の目標と役割を踏まえたうえで個人目標を設定する」という5つのステップを示した。

最初のステップである個人の希望・意向の確認にあたっては、Will(個人としてやりたいこと)・Can(個人としてできること)・Must(組織が個人に求めること)の3つの円を描き、重なる部分の仕事こそが、その人が組織において最もパフォーマンスを出せるものだと例示。そのうえで、組織と個人の目標を整合させていくには、正解を教える「ティーチング」や一緒に最適解を導き出す「コンサルティング」、過去を振り返り自己回復を促す「カウンセリング」ではなく、前向きな課題解決を推進して答えを本人が見つけるようにする「コーチング」が有効であろうと語った。

加えて、育成に当たって必要になる“自分を知る手段”として、ギャラップ社が開発したパフォーマンス向上のためのツールである「ストレングスファインダー」を提案。さらに、自己認識を高めたうえでの1対1および組織全体の相互理解、その先での役割決定、個人目標設定に進む流れも解説した。

目標設定の上での段階的手法と効果測定

次に、目標設定を踏まえた具体的な育成の段階的手法を解説した。まずは個人のやる気を引き出すため、能力の有無と意欲の有無で「指導」「委任」「命令」「着火」を使い分ける「Will-Skillマトリクス」を活用。続いて、既にできる仕事(コンフォートゾーン)や、反対にハードルが高すぎる仕事(パニックゾーン)ではなく、がんばればできる可能性があり継続的成長にもつながる「ストレッチゾーン」の仕事を積極的に任せる段階に進み、育成支援段階での問いかけや指示等の工夫、能力に応じた育成アプローチの変更、そして個人ごとに座学やOJTをはじめ最適な育成アプローチを採用する……といったように高度化していく考え方を披露した。

最後に、こうした育成の段階を経て、その効果を測定する方法にも話を進めた。前出のようにセキュリティ人材には業務によって技術的なスキルだけでなく、調整、交渉や課題解決、チームワーク、論理的思考といった多種多様な能力が求められ、自己認識、レジリエンス、経験からの学習・応用などのメタスキルも必要になる。「効果を見る際は技術的な部分に偏らず、さまざまな視点で測定していくのがいいと考えます」と星野氏は語り、指標の例として「知る」「わかる」「できる」「教える」の“能力開発の4ステップ”や、「知らないしできない」「知っていてもできない」「考えるとできる」「考えなくてもできる」「どこからでも教えられる」という“学習の5段階”を提示した。 最後に星野氏は、冒頭で設定した2つのゴールを振り返り、「サイバーセキュリティにおける人材育成の必要性を知り、採用した人材をいかに成長・定着させるかが重要になってきます。そして、その人の特徴や希望をしっかり捉えたうえで組織目標と個人目標を整合させ、セキュリティ人材が定着したくなるような組織づくりにつなげていってほしいと思います」と話し、講演を締めくくった。

関連リンク