IPA、「情報処理安全確保支援士(登録セキスペ)の活動に関する実態調査」の調査報告書を発表
- 2019/08/02 10:30
- SecurityInsight
IPA(情報処理推進機構)は7月31日、「情報処理安全確保支援士(登録セキスペ)の活動に関する実態調査」の調査報告書を発表した。調査結果の主なポイントは以下のとおり。
12種類のサイバーセキュリティ対策関連業務を定義し、その担当状況を調査したところ、複数のサイバーセキュリティ対策関連業務を担当していることが多いことが判明。担当業務の組み合わせでは、自組織で活用するITの企画・構築・管理に関わる登録セキスペは、サイバーセキュリティ対策関連業務を全般的に担当している人が多いなど、いくつかの傾向があった。
●過半数は「プラス・セキュリティ人材」
「経営課題ストラテジー」(「セキュリティ責任者」を除く)、「IT全体デザイン」「設計運用管理」「設計開発」「運用保守」「運用」に分類される人は、その業務遂行状況からセキュリティ業務のみを担当しているとは考えにくく、ITに関わる業務(IT戦略立案から設計・開発、運用保守など)遂行の中でセキュリティスキルを活用している人が多いと考えられる。このような人材は「プラス・セキュリティ人材」と呼ばれ、適切なサイバーセキュリティ対策実現の要となる人材であると考えられる。今回の調査では、これらの分類に属する人の割合は回答者の約6割だった。
また、「経営課題ストラテジー」の「セキュリティ責任者」「緊急対応」「監査・脆弱性診断」等に分類される人は、セキュリティを主たる業務とする人材(セキュリティ専門人材)と考えられる。
●セキュリティに関わらない登録セキスペが2割
明示的にサイバーセキュリティに関連する業務は担当していないと答えた人が登録セキスペの約2割を占めており、これはサイバーセキュリティ対策業務のある側面を表していると考えられる。セキュアな業務遂行は当たり前で非明示的に行なわれている可能性や、サイバーセキュリティ対策が必要ではない業務担当の人でもセキュリティ知識が必要と考えて資格を取得している可能性などが考えられる。
●上位層の人材は事業を幅広く担当
「経営課題ストラテジー」と「設計運用管理」には、部長以上の割合が1割以上ある分類が存在しており、ユーザー系企業で経営課題としてサイバーセキュリティ対策に取り組む上位層の人材と、ITベンダー系企業で顧客の経営を支えるITを設計から運用まで全体的にサポートする上位層の人材を表していると推察される。彼らは一種のキャリアゴールと考えられ、こういった人たちは対外的な自己アピールを主な目的として登録セキスペとなっていると考えられる。
■中小規模の組織などで1人で活躍している登録セキスペは5%
中小規模の組織などでは、平均担当業務数が10以上で、1人でほぼすべての業務を担当している状況だった。これらの分類は自組織で活用するITの企画・構築・管理に関わる人が多く、中小規模の組織を中心に自組織で活用するITのサイバーセキュリティを1人で支えている層がいることが分かった。この層は回答者全体の5%となる。