小誌が今春に実施した「IBM iユーザー動向調査2022」で「運用中のセキュリティ対策」を尋ねたところ、
1位:PC・端末のウイルス/ランサムウェア対策(87.9%)
2位:社員へのセキュリティ教育(60.1%)
3位:特権ユーザー/アクセス管理(52.2%)
という結果(図表1)で、「検討中・導入予定のセキュリティ対策」を尋ねた設問では、
1位:社員へのセキュリティ教育(23.3%)
2位:多要素認証(18.0%)
3位:PC・端末のウイルス/ランサムウェア対策(14.6%)
となった(図表2)。
「PC・端末のウイルス/ランサムウェア対策」が「運用中」で1位というのは、サイバー攻撃のここ数年の猛威を考えれば順当な結果で、3年前の本誌調査(IBM iユーザー動向調査2019)から9.1ポイントの増加もうなづけるところだろう。今回の「検討中・導入予定」でもトップ3にランクインしている。
一方、運用中の「社員へのセキュリティ教育」も3年前の本誌調査から5.3ポイント増加して3位となり、「検討中・導入予定」では1位になった。
経済産業省では事業部門・業務部門における「プラス・セキュリティ人材」の必要性を提言し(「サイバーセキュリティ体制構築・人材確保の手引き」第2.0版、2022年6月)、これに呼応した取り組みが多くの企業で進んでいる。プラス・セキュリティ人材とは、「ビジネスに必要なセキュリティ・リテラシーを有し、必要かつ十分なセキュリティ対策を実現できる人材」(経産省)である。
今回の「社員へのセキュリティ教育」の調査結果もこのプラス・セキュリティ人材の動きと軌を一にしており、セキュリティ脅威の変化を踏まえた「新しいセキュリティ教育」と見ていいだろう。
研修サービス会社のアイ・ラーニングでは、セキュリティ入門者を対象とした「セキュリティリテラシー基礎コース」が盛況という。またそれとは対極的な「インシデント・レスポンス研修」という実践的な研修も根強い人気がある。同社によると、セキュリティ研修にも変化の波が来ており、最近はリテラシー向上、資格、実践が人気のトレンドだという。
アイ・ラーニングは、日本IBMにルーツをもつ会社としてIBM/IBM i関連の研修コースを多数提供しているが、セキュリティ関連のコースも充実している。その全コースを「業務寄り」「技術寄り」と「スキルレベル」の軸でマッピングすると、図表3のようになる。業務寄りでは、セキュリティのリテラシーを養う基礎コースから経営層を対象とするコースまで、技術寄りではセキュリティ技術の基礎からCISSPやSANSといったグローバル資格の受験対策コースまでカバーしている。
前述の「検討中・導入予定のセキュリティ対策」の1位が「社員のセキュリティ教育」であったことを紹介したが、研修コースを提供するアイ・ラーニングではどのような変化があるだろうか。
セキュリティリテラシー基礎コース
「最近の傾向としては、業務寄りの『セキュリティリテラシー基礎コース』の受講者が増加しています。情報セキュリティ管理をこれから担当する人や業務において個人情報などを扱う担当者、事業部門でセキュリティ情報を扱う“プラス・セキュリティ人材”が対象で、パスワード認証やゼロトラストネットワークなどの基礎的な事項を学習します。大きな流れとしては、技術によるセキュリティ対策に加えて、社員のリテラシー向上による全体のレベルアップを図る企業が増えているのを実感しています」と話すのは、セキュリティ研修コース担当の中山和彦氏(サービス企画部IT企画グループ)である。
情報セキュリティマネジメント関連
もう1つ、「毎月のクラスが満席」(中山氏)と盛況なのが「情報セキュリティマネジメント関連」である。このコースは昨年、サイバーセキュリティ専門人材の国家資格である「情報処理安全確保支援士」の特定講習(資格更新のためのコース)に認定されたが、それを機に受講者が急増した。「昨年は200名以上の受講があり、特定講習を提供している研修会社の中で最も多い成績でした」と、中山氏。同社はこのほか、セキュリティ資格の最上位といえる「グローバル資格」コースも設けているが、コンスタントに参加者があるという。
日本IBM インシデント・レスポンス研修
「日本IBM インシデント・レスポンス研修 -プロが教えるCSIRT要員養成コース」は、日本IBMと関わりの深い同社ならではのコースで、話題の研修である。「日本IBMの最先端のインシデント対応チームが講師となり、第一線のホットな話題を交えながら講義と実習を行います。インシデント対応チームを立ち上げたいというニーズにお応えした実践的なコースです」と、中山氏は説明する。全4日間のコースで、「CSIRTの活動実践」「インシデント・ハンドリング」「内部インシデント対応」「公表などの考え方」を各日のテーマに研修を行う。「コース料金は44万円と安くはありませんが、CSIRT要員を目指す受講者の方の満足度は非常に高く、毎回高い評価と良好なコメントを多数いただいています」(中山氏)という。
リテラシー向上、資格、実践が、セキュリティ研修のトレンドとなっているようだ。
[i Magazine・IS magazine]