NRIセキュアインサイト2023

NRIは2002年から毎年、「企業における情報セキュリティ実態調査」を行っている。
セキュリティに対する日本の意識や対策状況を他国と比較していることが特徴で、 調査対象国は日本、アメリカ、オーストラリアの3国である。

調査の結果、日本企業の約9割がセキュリティ人材に不足を感じており、従業員数にかかわらず共通の課題となっていることが分かった。
生産年齢人口減少とDX進展の波が同時に来た結果、他国と比較しても稀なほどの慢性的な人材不足に陥ったわけだ。

生産年齢人口とは、生産活動を中心となって支える15〜64歳の人口のこと。労働の中核的な担い手として経済に活力を生み出す一方、社会保障を支える存在でもある。戦後2つのベビーブームを受け、ピークの1995年には8716万人と総人口の69.5%を占めた。その後は少子高齢化に伴い、減少に転じている。https://www.nikkei.com/article/DGXZQOUC192220Z10C23A3000000/

人材の充足状況

セキュリティ人材の充足状況のアンケート結果を示す。
グラフによると、どの規模の日本企業でも9割以上が人材不足だと答えている。
一方、他国では人材不足と答えた企業数は1割に満たず、実に8割近くの企業が「充足している」と答えている。

生産年齢人減少

https://www8.cao.go.jp/kourei/whitepaper/w-2022/zenbun/pdf/1s1s_01.pdf

日本の生産年齢人口は2021年時点で7450万人であり、総人口の約60％である。

https://www.kantei.go.jp/jp/headline/pdf/20170529/06.pdf

これは2015年のデータで少し古いが、日本と他国の生産年齢人口の推移をグラフ化したものだ。
他国と比較することで、日本の生産年齢人口は先進国の中でも深刻な状況であることが分かる。

生産性

セキュリティ人材不足問題の本質は、セキュリティ業務の生産性の低さにある。

＊給料が低すぎるので上げれば解決する、というのはまったくもって正しいが、実際にはそれが叶わないことが多い。

生産性にはいろいろあるが、ここでは1人当たりの生産性の式を示す。

セキュリティ業務において、

• 生産量
  どの程度の仕事がこなされたかの値。
  仕事をこなすために人的リソースに求められるスキルは各企業や組織によってさまざまであるため、成果を出しにくい。
• 労働者数
  仕事に投入する人的リソースの値。
  サイバー攻撃の存在から、企業はこの値を減らすことができず、上記の理由により増やすこともできない。

セキュリティ業務が複雑化・属人化しているため、他の人材に任せられなくなっているということだ。

企業の取るべき施策

セキュリティ人材不足を解消するうえで重要なことは、

• セキュリティ業務の標準化を進める

ことにある。

業務の標準化とは、誰もがいつでも同じように作業できるように業務手順を最適な内容にすることです。標準化を行うと、仕事の進め方や判断基準が会社のルールとして統一され、作業者ごとの手順にバラつきがなくなります。業務の標準化は属人化の解消に直結し、結果として企業の生産性や業務効率の飛躍的なアップにつながります。https://biz.teachme.jp/blog/standardization/#i

自社に必要なセキュリティ業務を定義し、それを遂行するのに必要な手順を作成する。
担当者が不足するような場合でもほかの人間で代替できるようになることが狙いだ。
監視やルーティンなど一部の業務についてアウトソージングを可能にし、セキュリティ事業部はセキュリティ戦略・企画といったより重要な分野に集中できる。

セキュリティ業務の生産性を高めることを目標として掲げ、業務の標準化を施策として進める。
これにより活用できるリソース（人材・資源）を効率的に分配的できるようになるはずだ。