【情シス必読】サイバーセキュリティ体制構築・人材確保の手引き

はい、情シス課長です。
サイバーセキュリティ経営ガイドラインは、知っているがその付録まではなかなか読めてない人、きっと多いですよね。
しかし、断言します。2020年9月に出された「付録F」だけは、是非読んでいただきたい。
付録F：「サイバーセキュリティ体制構築・人材確保の手引き」のことです。

https://www.meti.go.jp/press/2020/09/20200930004/20200930004-1.pdf

サブタイトルにあるように、ユーザー企業におけるサイバーセキュリティ対策のための組織づくりと従事する人材の育成について書かれています。
正直、なかなかここまで、具体的にユーザー企業向けの組織・人材育成の文書が無料で公開されることはないと思います。
是非、全文に眼をとおして欲しいのですが、ページ数が62とかなりボリューミー（その分充実）ですので、本記事では、何が書いてあるのかが分かるように解説したいと思います。
特に、「自社に適したセキュリティ統括機能の検討」という項目は、「専門組織型」と「委員会型」の２つの形態、そして「集権型」と「連邦型」の２つの機能の４パターンで整理をおこなっており、各社のセキュリティ体制を改めて確認する上で、大変参考になる内容となっています。

「サイバーセキュリティ体制構築・人材確保の手引き」の目的
セキュリティ体制の構築（ユーザー企業向け）
セキュリティ関連タスクを担う人材の確保・育成
1. （１）「セキュリティ人材」の確保
2. （２）「プラス・セキュリティ」人材の確保
まとめ

「サイバーセキュリティ体制構築・人材確保の手引き」の目的

「サイバーセキュリティ体制構築・人材確保の手引き」は、経産省の「サイバーセキュリティ経営ガイドライン」で示されている「重要１０項目」のうちの２つ

・指示２：サイバーセキュリティリスク管理体制の構築

・指示３：サイバーセキュリティ対策のための資源（予算・人材等）の確保

について、具体的な検討を行う場合の参考として作成されています。

経産省：サイバーセキュリティ経営ガイドラインの解説から引用

また、対象企業として、従業員300名以上のユーザー企業（大企業・中堅企業）に求められるサイバーセキュリティ体制と人材について説明されています。

セキュリティ体制の構築（ユーザー企業向け）

（１）セキュリティ統括機能の検討

「セキュリティ統括機能」とは、企業におけるリスクマネジメント活動の一部として、セキュリティ対策及びセキュリティインシデント対応について、CISOや経営層を補佐してセキュリティ対策を組織横断的に統括する機能のことです。
セキュリティ統括機能に相当する業務（タスク）は次図のように整理されます。セキュリティ統括機能の主な業務は、実務：セキュリティ実務の部分となります。その他は、CISOや他部門を支援する形となります。

セキュリティ統括機能に相当する業務（タスク）の外観（CRIC CSF）

（２）セキュリティ統括機能の実現方法

セキュリティ統括機能は、「専門組織型」と「委員会型」の２つの形態、そして「集権型」と「連邦型」の２つの機能の４パターンで整理することができます。
自社の組織が、この４つのパターンのどれに近いかを確認することで、「経営層」「セキュリティ統括組織」「セキュリティ委員会」および「リスク管理部門」それぞれの役割・関係を再確認することができます。

（３）セキュリティ関連タスクを担う部門・関係会社の特定・責任明確化

TISS＋（セキュリティ領域）を活用することで、１７の分野（複数のセキュリティ関連タスクの典型的なまとまり）と実務を担う担当部署/昨日を整理することができます。

また、どの分野のどのタスクが外部委託可能かについても整理されており、実際のセキュリティ対応組織の構成を検討する際、大変参考になります。

セキュリティ関連タスクを担う人材の確保・育成

この人材確保・育成については、本編にも記載のあるとおりまだまだ検討を深める必要がある内容となっています。もう一段の議論が望まれるところです。

（１）「セキュリティ人材」の確保

本書では、セキュリティ担当者として活躍する人材の保有スキルをTISSの7段階で整理しています。

（２）「プラス・セキュリティ」人材の確保

プラス・セキュリティ人材とは、自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力を身にている人材のことをいいます。

つまり、セキュリティ統括機能に属する人材というより、他の部署で業務も担当しているがセキュリティのことも分かる人のことをイメージすればいいと思います。

DXを推進する際には、DX推進部署それぞれにこのプラス・セキュリティ人材が不可欠となります。

情報処理試験の情報セキュリティマネジメント試験の受験等がいい教育となると考えられます。

まとめ

本書は、経産省の「サイバーセキュリティ経営ガイドライン」で示されている「指示２：サイバーセキュリティリスク管理体制の構築」「指示３：サイバーセキュリティ対策のための資源（予算・人材等）の確保」について、具体的にどのように検討を進めていけばいいのかについて、具体的な方法・手順が示されています。
後半については、少し物足りない点もありますが、前半のセキュリティ統括組織に関する検討内容は大変充実しており、多くの企業にとって教科書となり得るドキュメントであると思います。