CompTIA マーケティング/チャネル ディレクター
2020.11.02
ここまで4回にわたり企業で資格を導入する上での注意点や有効性、そして、投資としての人材育成を考える上での認定資格のROI、企業でのスキルギャップとその解消についてお話をしてきました(⇒ 過去4回のコラムはこちら)。
今回のコラムでは、企業においての最大の懸念事項であるセキュリティ、そしてセキュリティ人材についてお話をしたいと思います。
ITが様々な変化を遂げるにつれ、セキュリティもよりその複雑さを増しています。またこれに伴い、様々なマインドチェンジが求められています。
どのようなマインドチェンジが必要か。まずこの点から整理をしておきたいと思います。
以前は、企業のデータや個人情報をどのように保護すればよいかといったことだけに焦点が当てられていました。しかしながら、現在エンドポイントと言われるネットワークに接続されている端末の種類と数が増えるに従い、管理する側のスキルと合わせて、活用する側のスキルも必要となってきています。
イメージしやすく具体例を挙げてみたいと思います。
従来、企業では、社内のネットワークに接続されたサーバーやPCといったエンドポイントのみが存在していました。この場合、多くの企業では、IT部門がこれらを適切に管理していることでセキュリティが維持されていました。
現在はどうでしょう。社員の方はスマートフォン利用して、企業のデータにアクセスをしているかもしれません。セールスの方がタブレットのような端末で、顧客情報を確認し、セールス後はその情報をアップデートしているかもしれません。そして、現在のコロナ禍では、企業は、社員にリモートワークを推奨しているかもしれません。こうなると、エンドポイントの数は、無数にある…と言っても過言ではないかもしれません。
このような変化を受け、セキュリティはIT部門の担当者が守るものではなく、データにアクセスをする社員一人一人が守るものといったマインドチェンジが必要となります。
そして、セキュリティが複雑になるにつれ、外部の企業や人材に依頼をしているケースも多く見られます。1つの企業内だけで現在のセキュリティ状況を追うこと、また追い続けることはとても困難な場合があるため、外部企業に依頼をすることは当然のことだと思われます。CompTIAが実施した調査でも80%近くの企業が、外部企業と連携をしながらセキュリティを維持していることがわかります。
<内部セキュリティ人材を持つ企業における外部の活用>
しかしながら、この状況で運営をしていく上では、内部に状況をきちんと理解している人材がいることが必須となります。
セキュリティ事故が起こった際に、企業の記者会見などを目にすることがあると思います。この場合、記者会見に出ているのは誰でしょうか。企業の経営者が前面に出てお話をされています。既に多くの企業での共通認識となってきていますが、現在セキュリティは、「IT」の課題ではなく、「経営」の課題となっているのです。
これに対応するために、セキュリティの責任者が経営企画といった部門に配置されているケースが多く見られます。ひとたび何か問題が発生した際には、企業の経営者、経営企画、広報、マーケティングといった部門が一緒にこの問題を解決するために動くことになります。そのためには、外部企業からの知恵と力を借りつつも、内部で把握している/把握できる人材を有していることが必要といったマインドチェンジが必要となります。
そして、IT人材、特にセキュリティを担当する人材が持つべきスキルセットにも変化が生じています。
こちら(下段の図)は、私が講演をさせていただく際などにご覧をいただく図になります。
前述の通り、従来であれば、自身の管理できるエンドポイントに対するスキルだけで十分業務を行うことが可能でした。しかしながら、現状では、社内の他部門、エンドポイントを利用している人材とコミュニケーションを取れるか、また何が起こっていてどのような対策をすべきかを経営陣に説明できるかといったスキルも必要となっています。
<セキュリティエンジニアに不可欠なスキル>
IT部門の人材は、ITだけではなく、従来以上にコミュニケーションを含むソフトスキルが必要とされる、これがもう一つのマインドチェンジです。
さて、このように経営課題とされるセキュリティを考える上でも、多くの点で従来とは違った理解とアプローチがもとめられていることがお分かりいただけたかと思います。
CompTIA認定資格で、セキュリティ人材を育成するといった際に最も活用いただいているのがCompTIA Security+です。CompTIA Security+も現在ご提供をしているバージョンで5代目となります。
以前は、どちらかというと暗号化やファイアウォールなどといったようなテクニカル要素が強い認定資格でしたが、現在のバージョンでは、リスク管理として、継続体系の提供方法や災害復旧におけるセキュリティといった内容が出題項目として多く含まれています。
そして、エンドポイントの利用者向けの認定資格としては、CompTIA IT Fundamentalsを提供しています。出題内容の20%近くがセキュリティに関連しています。パスワードやマルウェアへの対応といった項目がある一方で、SNSでのプライバシーの考え方や、メール配信の際の暗号化などにも触れています。
企業のマインドセットを変え、人材の育成を考える際に、このような認定資格の出題傾向から、求められる人材のトレンドをつかんでいただくことができます。
そして、知っている、わかっているだけではなく、正確にスキルを判断するために認定資格が有効に活用いただけます。
こちらから「CompTIA スキルアップコラム」のバックナンバーがご覧いただけます
【バックナンバー】CompTIA スキルアップコラム
(TAC株式会社より関連研修のご案内)
実務に役立つコンピューターの基礎(A+ 準拠)
実務に役立つネットワーク技術(Network+ 準拠)
実務に役立つ情報セキュリティ(Security+ 準拠)
実務に役立つ情報セキュリティアナリスト養成研修(CySA+準拠)
実務に役立つサーバー管理(Server+ 準拠)
実務に役立つクラウド構築・運用(Cloud+ 準拠)
プロジェクトマネジメント基礎 *CompTIA Project+準拠
クラウドコンピューティング概要(Cloud Essentials 準拠)