目まぐるしい変化が続く現代社会において、企業のありかたや各人の働き方について問われる機会が増えています。
業種を問わずDXを求められ、中でもIT人材やスキルの獲得は急を要します。今回は企業や組織のDX推進をサポートするデジタルスキル標準や求められる人材について紹介します。
デジタルスキル標準(DSS)とは
デジタルスキル標準(DSS)とは、経済産業省が策定した、デジタル時代に必要なスキルや能力を定義したものです。DSSには、基礎的なデジタルリテラシーから、高度なデジタル技術やビジネススキルまで、さまざまなレベルや分野のスキルが含まれています。
DSSの目的は、デジタル変革に対応できる人材の育成や評価を促進し、日本の産業競争力を高めることです。DSSは、教育機関や企業が、デジタルスキルの教育や研修の内容や方法を検討する際の参考になると期待されています。
DSSは「DXリテラシー標準」と「DX推進スキル標準」の2つに大別されています。
DXリテラシー標準とは
DXリテラシー標準とは、すべてのビジネスパーソンに向けて、デジタル技術を活用して組織や社会の価値創造を変革するデジタル変革(DX)に必要なリテラシーを定義したものです。
DXリテラシー標準には、DXの基礎知識や理解力・DXの推進力や実行力・DXの創造力やイノベーション力など、6つの領域があります。DXリテラシーの教育や研修の実施に活用され、個人がDXに対応できる能力を自己診断や目標設定を通して身につけることに役立ちます。
DX推進スキル標準とは
DX推進スキル標準とは、企業がDXを推進する専門性のある人材を確保・育成するための指針です。
日本の企業がDXを推進する人材が不足している理由は、DXの目的や必要な人材の特定が難しいという問題があると考えられます。
そのため、企業はDXにおける目標や、それを実現するための戦略を明確にすることが重要です。そして、その目的を達成するためにどのような人材が必要かを正確に見極めることが必要になります。「DX推進スキル標準」は、その指針として役立ちます。DXを推進する人材を以下5つの類型に分類し、それぞれの役割および、スキルを定義しています。
- ビジネスアーキテクト
- デザイナー
- データサイエンティスト
- ソフトウェアエンジニア
- サイバーセキュリティ
サイバーセキュリティ分野におけるデジタルスキルの重要性
サイバーセキュリティとは、インターネットやコンピュータなどのデジタル環境における脅威や攻撃から、情報やシステムを守ることです。個人や組織のプライバシーや財産を保護するだけでなく、社会全体の安全を確保するためにも重要です。しかし、サイバーセキュリティ技術は、日々進化するデジタル技術に追いつくのが難しく、専門性が高い分野といわれています。そのため、サイバーセキュリティ人材は不足しているのです。
DX推進スキル標準では、サイバーセキュリティ人材をDX人材として定義しており、DXにおいてサイバーセキュリティリスクの影響を抑制する対策を担う人材として期待されてます。
ここからはサイバーセキュリティ分野における2種類の人材について解説します。
サイバーセキュリティマネージャー
サイバーセキュリティマネージャーは 、自社内でデジタル化が急速に進む中で発生するリスクを予測・排除するために欠かせない人材です。社内のデジタル化が進んでいる箇所を把握し、安全かつ的確に社員が運用・管理できているかを確認します。
サイバーセキュリティマネージャーはセキュリティのリスク管理はもちろん、セキュリティやデジタル化の先にあるDX推進についても理解が求められます。具体的にはDX推進による事業の継続やインシデント対応の取り組みへの知見も欠かせません。なお、DXスキル標準の資料において、サイバーセキュリティマネージャーに求められる重要度が高いスキルは下記の項目があります。
- プライバシー保護
- セキュリティ体制構築・運営
- インシデント対応と事業継続
- セキュア設計・開発・構築
- セキュリティ運用・保守・監視
これまで実務上で培ってきたスキルだけでなく、DX推進の知見や企業運営全体の知識も求められるでしょう。
サイバーセキュリティエンジニア
サイバーセキュリティエンジニアは今後想定されるセキュリティ面のリスクについて、可能な限り回避できるようにするために実働面で活躍します。具体的には、各企業においてDX推進に用いられる技術や最新動向・情報を継続的に把握し、都度必要なスキルセットを行うことが大切です。
マネージャーの場合全貌を把握し、適切なリスク管理手法を指示することがメインですが、サイバーセキュリティエンジニアは知識をもとに手を動かして予防や対応を行います。なお、DXスキル標準の資料において、サイバーセキュリティエンジニアに求められる重要度が高いスキルは下記の項目があります。
ソフトウェア開発の分野にて
- クラウドインフラ活用
- SREプロセス
セキュリティ技術の分野にて
- セキュア設計・開発・構築
- セキュリティ運用・保守・監視
取引先に対して安全性が高くかつ満足いただけるようなサービスや商品提供に欠かせない役割を担います。
参考:デジタルスキル標準
セキュリティ意識の向上と情報セキュリティの基礎知識
セキュリティ意識は、情報やシステムを守るために必要な注意や行動です。セキュリティ意識が低いと、パスワードの管理やメールの開封、USBメモリの使用などの際に、うっかりミスや悪意ある攻撃によって情報漏えいやウイルス感染などの被害に遭うリスクが高まります。セキュリティ意識を高めるために、基礎知識を身に付けましょう。
たとえば、以下のような内容があります。
- 情報の価値:情報は個人や組織にとって重要な資産で、機密性・完全性・可用性の三つの要素で評価されます。機密性は正当な権限を持つ者だけが情報にアクセスできることで、完全性は情報が正確で変更されていないことです。また、可用性とは必要な時に情報にアクセスできることを意味します。
- 脅威と対策:脅威とは、情報やシステムに対する危険な事象や状況です。たとえば、サイバー攻撃や自然災害などがあります。脅威から情報やシステムを守るために、暗号化やバックアップなどの手段が有効です。
セキュリティポリシーの策定と実施に関するスキル
セキュリティポリシーとは、組織が情報セキュリティを確保するために定めた方針や目標です。セキュリティポリシーは、組織のビジョンや戦略に沿って策定され、組織内のすべての者に適用されます。
セキュリティポリシーの策定と実施に関するスキルとは、以下のようなものです。
- セキュリティポリシーの策定スキル:セキュリティポリシーを策定するためには、組織の情報資産や業務プロセスを把握し、情報セキュリティの目的や要件を明確にするスキルが必要です。
- セキュリティポリシーの実施スキル:セキュリティポリシーを実施するためには、組織内のすべての者にセキュリティポリシーを周知し、理解させるスキルが必要です。また、セキュリティポリシーに基づいて、具体的な手順や規則を作成し、遵守させるスキルも必要です。
セキュリティリスク評価と脆弱性管理の重要性と手法
セキュリティリスク評価とは、情報やシステムに対する脅威の影響度や発生確率を分析し、その受容度や対処方法を決めることです。セキュリティリスク評価は、情報セキュリティ対策の優先順位や効果を判断するために用いられます。
また、脆弱性管理は、情報やシステムに存在する脆弱性を検出して対策を実施することです。情報漏えいやウイルス感染などの被害を防止するために欠かせません。
セキュリティリスク評価と脆弱性管理の手法は、以下のようなものです。
セキュリティリスク評価の手法
セキュリティリスク評価の手法には、定性的な手法と定量的な手法があります。定性的な手法は、脅威や脆弱性の影響度や発生確率を高・中・低などのレベルで評価する手法で、定量的な手法は、脅威や脆弱性の影響度や発生確率を数値で評価する手法です。どちらの手法も、情報資産や業務プロセスの分析、脅威や脆弱性の特定、影響度や発生確率の分析、受容度や対処方法の決定と、ステップを経ることで、セキュリティリスクを評価できます。
脆弱性管理の手法
脆弱性管理の手法には、脆弱性診断とパッチ管理があります。脆弱性診断とは情報やシステムに存在する脆弱性を検出するために、専用のツールやサービスを利用することです。定期的に実施することで、新たな脆弱性に対応できます。
また、パッチ管理は脆弱性を修正するために、ソフトウェアやハードウェアの更新プログラム(パッチ)を適用することです。パッチの公開や適用の状況を確認し、遅延や不具合がないようにしなければなりません。
テクニカルセキュリティスキル
テクニカルセキュリティスキルとは、ネットワークやシステム、ウェブなどの技術的な領域におけるセキュリティの知識と能力です。これらの領域ではさまざまな脅威が存在し、対抗するために適切な設計や運用をしなければなりません。テクニカルセキュリティスキルは専門家だけでなく、一般のユーザーにも求められます。
ネットワークセキュリティの基礎知識と防御手法
ネットワークセキュリティにはさまざまな技術や手法がありますが、代表的なものを紹介します。
- ファイアウォール
ネットワークの入り口に設置される装置やソフトウェアで、不正な通信を遮断する役割をします。たとえば、インターネットから社内ネットワークに侵入しようとする攻撃者のブロック、社員が機密情報を外部に送信することの防止ができます。
- 電子メールセキュリティ
電子メールは、ウイルスやフィッシングなどの脅威を運ぶ手段として悪用されています。そこで、受信メールに添付された不正なファイルの検出や送信メールに含まれる重要な情報の暗号化によって、メールからの危険を防ぎます。
- ウイルス対策およびマルウェア対策ソフトウェア
ウイルスやマルウェアは、コンピュータやデバイスに感染して、データを破壊したり盗んだりします。ウイルス対策およびマルウェア対策ソフトウェアは、感染前にこれらの不正なプログラムを検出して除去することで、コンピュータやデバイスを守ります。
- ネットワークセグメンテーション
ネットワークを小さな部分に分けて、それぞれに異なるアクセス権限やセキュリティポリシーを適用することです。たとえば、重要な情報を扱う部署のネットワークは、他の部署やインターネットから隔離して保護できます。
システムセキュリティの重要性と適切な設計とスキル
システムセキュリティは、コンピュータやデバイスが動作するシステム(オペレーティングシステムやアプリケーションなど)を、不正な操作や改ざんから守ることです。
システムの開発ではセキュリティ要件を明確に定義し、設計やコーディングの段階からセキュリティを考慮しなければなりません。システムの状態や動作を監視し、異常や脆弱性があれば対処する必要があるのです。たとえば、ログの分析やパッチの適用などによってシステムに侵入した攻撃者を検知して対処できます。
ウェブセキュリティの脅威と対策に関するスキル
ウェブセキュリティとは、インターネット上で提供されるウェブサイトやウェブサービスを不正なアクセスや改ざんから守ることです。ウェブセキュリティに関する脅威は多岐にわたりますが、ここでは代表的なものを紹介します。
- SQLインジェクション:ウェブサイトに送信されるデータに不正なSQL文を埋め込むことで、データベースの操作や情報取得をする攻撃です。
- クロスサイトスクリプティング(XSS):ウェブサイトに送信されるデータに不正なJavaScriptコードを埋め込むことで、ウェブサイトの表示内容や動作を変更し、利用者の情報を奪う攻撃です。
- クロスサイトリクエストフォージェリ(CSRF):利用者がログインしているウェブサイトに対し、別のウェブサイトから不正なリクエストを送信させることで、利用者に代わって操作する攻撃です。
- フィッシング:偽装したウェブサイトやメールなどで、利用者に個人情報やパスワードなどを入力させることで、その情報を盗む攻撃です。
セキュリティオペレーションスキル
セキュリティオペレーションスキルとは、セキュリティインシデントの検知と対応、セキュリティ監視とログ管理、セキュリティトレーニングと啓発活動に関するスキルのことです。サイバー攻撃や情報漏えいなどの脅威から企業を守り、安全なDXを推進するために欠かせません。スキルを身につけるためには、セキュリティの基礎知識や最新の脅威動向を学ぶことはもちろん、実際のインシデントに近い状況で演習や訓練を行うことが効果的です。
セキュリティインシデントの検知と対応に関するスキル
セキュリティインシデントとはサイバー攻撃や内部犯行などによって、情報システムやネットワークの破損や情報漏えいが起きることです。セキュリティインシデントが発生した場合、迅速かつ適切に対応しなければなりません。
そのためには、以下のようなスキルが必要です。
- インシデントの種類や影響範囲を判断できるスキル
- インシデントの原因を特定できるスキル
- インシデントの拡大を防ぎ、復旧や根絶を行えるスキル
- インシデントの報告や記録を作成できるスキル
- インシデントの再発防止や改善策を提案できるスキル
これらのスキルを身につけるためには、セキュリティの基礎知識や最新の脅威動向を学ぶことはもちろん、実際のインシデントに近い状況で演習や訓練を行うことが効果的です。
セキュリティ監視とログ管理の重要性と方法
セキュリティ監視とは、情報システムやネットワークにおける異常なアクセスや操作の検知、ログ管理は、情報システムやネットワークが記録するログ(アクセス履歴や操作内容など)の収集・保存・分析です。
セキュリティ監視とログ管理によって、不正アクセスや情報漏えいの早期発見などインシデントの原因特定ができ、セキュリティの向上につながります。
また、セキュリティ監視とログ管理を行うためには、以下のような方法があります。
- 専門的な知識や技術を持った人材を育成・配置する
- 適切なツールやサービスを導入・活用する
- 監視・管理の範囲や基準を明確に定める
- 監視・管理の結果を定期的にレポートし、改善策を実施する
セキュリティトレーニングと啓発活動に関するスキル
セキュリティトレーニングとは、セキュリティに関する知識や技術を学ぶ教育活動で、啓発活動は、セキュリティに関する意識や行動を向上させる啓蒙活動です。セキュリティトレーニングと啓発活動には、セキュリティ対策の理解度向上やトラブル防止の低減の役割があります。
セキュリティトレーニングと啓発活動を行うためには、セキュリティの基礎知識や最新の脅威動向を把握できる情報収集能力やセキュリティの重要性や必要性を伝えられる提案力が求められます。
結論
デジタルスキル標準(DSS)とDXリテラシー標準は、デジタル時代に求められる幅広いスキルを定義していますが、すべてのスキルを自社で補うとかなりの工数がかかります。そのため、スキル不足を補うための一つの手段として、アウトソーシングの活用がおすすめです。アウトソーシングで必要なスキルを持つ専門家に特定の業務を委託することで、スキルギャップを埋められます。また、運用の自動化も有効な手段の一つです。人手が不足する業務を自動化し、効率的に業務を運用できます。