MS&ADグループのサイバーセキュリティ統括責任者に聞く、セキュリティ人材の育成とは?
2025.3.7
サイバーセキュリティ業界でも人材不足が叫ばれる中、そうした人材はどのように育成していけばいいのか?そんなお悩みをお持ちの方もいらっしゃるかもしれません。
そこで、MS&AD インシュアランス グループでサイバーセキュリティ対策の統括を務める安達知秀氏にセキュリティ人材の育成について話を聞くとともに、現場で働く若手社員に“本音”を聞きました。
流れ
- 育成を前提に若手を積極採用
- 理想は、現状の2倍の要員が必要
- 求めるのは「好奇心」と「考えること」
- 若手職員の“本音”は?
- 研修で、格段に業務に取り組みやすく
- キャリアビジョンが明確に
安達知秀(あだち・ともひで)
2019年三井住友海上に入社。MS&AD インシュアランス グループ ホールディングス株式会社で組織全体のガバナンスを統括するとともに、実行部隊で技術的な対策を担うMS&ADシステムズのサイバーセキュリティ推進部の統括も務める。
育成を前提に若手を積極採用
ーー安達さんは、グループ全体のサイバーセキュリティ対策を統括する立場で、実行部隊で技術的な対策を担うMS&ADシステムズ(以下、システムズ)ではサイバーセキュリティ推進部の統括も務め、多くの部下を抱えています。現在、やはりセキュリティ人材の確保は難しいですか?
安達)世間で言われている通りの状況ですね。ただ、幸いシステムズでは、40歳前後のスキル・体力ともに充実している年代が比較的充実しているので、今はあえて20代の若い人たちを積極的に採用して、育成に力を入れています。その際には、やはりITの素養があった方がいいので、企業や組織のITシステムを支える基盤やインフラの設計、構築、運用、保守などを担当した経験のある人を中心に採用しています。また、サイバーセキュリティ対策は、ネットワークが基本になるので、ネットワークシステムの設計や構築などの素養があると、なおいいなと思っています。
理想は、現状の2倍の要員が必要
ーー新たな採用も積極的に行っているようですが、グループ全体のサイバーセキュリティ対策を行う中で、どのくらいの要員が必要だと考えていますか?
安達)私が考える理想像としては、現状の2倍の要員でちょうどぐらいか、それでもまだ足りないかなという感覚です。現時点でも一定のレベルの対策を行えているとは思っているのですが、あえて理想を言えば、そのくらいの人数が必要ですね。
ーーどの部分が足りていないと考えているのでしょうか?
安達)理想を掲げて言い出すとキリがないですね(笑)。セキュリティ運用は、セキュリティベンダーのようなかっこいいPrivate SOCにしたいとか、グループの各社向けの支援もセキュリティコンサルと同等のコンサルティングメニューを揃えた組織にしたいですし、いろいろあります。
最近、思う所としては、新しくセキュリティ製品を導入して対策強化をするのも良いですが、「ITの根本」、「組織の根本」を高度化することも良いと思っています。
例えば、「ITの根本」だと、システム開発における工程遷移(クライテリア)時のチェック項目の拡充等のシステム開発フローの見直し、システムの定期更新やパッチ適用、最小権限の原則の徹底など、通常のシステム開発から運用に自然に取り込まれて、サイバーセキュリティを意識しなくても実現できるようにするとか。
「組織の根本」だと、リスク管理のあり方ですかね。全てのリスクに対して、100%の対応を求めると、時間とコストがいくらあっても足りなくなるので、「サイバーリスクを受容可能なレベルまで下げる」と考えたときの評価基準や管理等。口で言うのは簡単ですが、実務レベルで考えると、すぐには実現が難しいです。
あとは、グループの中には海外拠点もあり、海外拠点に対してもサイバーセキュリティのガバナンスや支援という側面から強化していかなければならないと思っています。現地のシステムを可視化しながら本部で管理していく取り組みも始めているのですが、まだまだやることは多いです。
求めるのは「好奇心」と「考えること」
ーー最近は育成を前提に若手を採用しているとのことでしたが、セキュリティ人材に「求められる人材像」はありますか?
安達)好奇心を持っているということと、考えることが好きな人でしょうか。言われたことをそのままやる人は、おそらくサイバーセキュリティには向かないと思っています。「なんでこうなるのか」「背景はどうなっているんだろう」と、深読みしながら業務に取り組むことが、少なくともシステムズのサイバーセキュリティ推進部では、必要な要素になってきます。
ーーそのような人を育成するために、具体的にはどのようなことに取り組んでいるのでしょうか?
安達)早期育成という観点では、資格取得の支援をしています。考えるにしてもベースが無いと(笑)。
具体的には、グローバルなIT業界団体のCompTIA(コンプティア)の認定資格、CompTIA Security+(コンプティアセキュリティプラス)の取得に向けて、テキストやeラーニングを提供しています。何らかの教育研究結果の中で、先にセキュリティの資格の勉強をした後に実務にあたった方が、その後の能力の伸び率が高いという内容のレポートがあったんですよね。なので、先にセキュリティの基礎知識を習得してもらおうかと。
また一方では、実務の後に資格の勉強をしていると「あ、これよく聞くなぁ」とか、「そういうことか」といった感じで、点と点がつながって線になって、理解が深まることもあると思います。実務と理論が結びつくことで、サイバーセキュリティの専門家への道が開けていくと思っています。
あと思うところとしては…、資格を取ってもらうことが目的ではなくて、あくまでも「実務ありき」なのですが、資格というのは、いろいろな専門家が互いに議論を重ねてできた「体系だった精度の高い書物」と考えていて、有効活用しない理由がない、有効活用しないと、もったいないと思っています。ですので、若い人たちには、最初に資格の勉強をしてもらって、「あとは実務で頑張れ」と思っています(笑)。
若手職員の“本音”は?
ーーここからは、安達さんのこうした育成方針のもとで、システムズで実務にあたっている神山祐華さんに話を聞きたいと思います。まずは、今の業務を教えてください。
神山 祐華(かみやま・ゆか)
22024年、MS&ADシステムズに入社。大学卒業後IT企業に入社し、3年間インフラエンジニアとして取引先のインフラ機器更改の設計・構築を担当する。休日は、美術館や博物館をめぐり、最近訪れたのは東京国立博物館。
神山)今はシステムズのセキュリティコンサルティンググループ※1で、グループ内の担当する各社に対して、標的型攻撃対策のメール訓練を行うのが主な担当です。あとはサブ担当として、各社のプラットフォーム診断と、ASM※2(アタック・サーフェス・マネジメント)もやらせてもらっています。
※1)セキュリティコンサルティンググループ:システムズのサイバーセキュリティ推進部で、サイバーセキュリティ対策の企画・推進、点検の実施、対策支援などの業務を行っている。
※2)ASM:組織の外部(インターネット)からアクセス可能な IT 資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス。(経産省が2023年にまとめた「ASM導入ガイダンス」より)
ーー2024年にIT企業からシステムズに転職したということですが、前職ではサイバーセキュリティ対策の経験はありましたか?
神山)前職では、サイバーセキュリティの領域には全く関わったことがなくて、基盤・インフラの担当として、古くなったファイヤーウォールの更改などを担っていました。
ーーシステムズのサイバーセキュリティの部署に転職しようと思った理由を教えてもらえますか?
神山)キャリアアップの1つとして、サイバーセキュリティの領域で働いてみたいと考えていたのが1つ。また、前職では、実働部隊として動くことが多かったので、セキュリティ対策の上流側をやってみたいという思いもありました。ただ、先ほどお話ししたように前職では担当したことがなかったので、知識はほとんどありませんでした。
研修で、格段に業務に取り組みやすく
ーー安達さんも話していましたが、神山さんのようにITの素養はあるものの、サイバーセキュリティに関するスキルや知識がない人には、どんな研修や支援のメニューがあるのですか?
神山)サイバーセキュリティに関する研修をたくさん受けさせてもらいました。また、資格では安達さんがお話ししていたCompTIAsecurity+という資格の取得に向けてテキストやeラーニングを用意してもらっています。サイバーセキュリティ以外にもAI領域などのセミナーやeラーンニングも受けています。
初めての領域だと、どこから勉強したらいいかわからないことが多いと思いますが、こうした研修などを準備してもらえたことで、サイバーセキュリティの知識がなかった私でも、格段に業務に取り組みやすかったです。
キャリアビジョンが明確に
ーーこうした育成環境があることで、実務にはどのような効果があると感じていますか?
神山)グループ各社のプラットフォーム診断をしていると、担当者から問い合わせを受けることがあります。私1人では返信できないので先輩に相談しながら回答するのですが、研修や資格の勉強を通して、先輩からの技術的な指摘を受けることがだいぶ減って、スムーズに回答できるようになりました。
ーー実務で学んだことを活かしたり、新たなことを学んだりすることで、今後のキャリアビジョンについて、新たに考えるようになったことはありますか?
神山)当初はサイバーセキュリティの領域に関心があってシステムズに転職しましたが、AI領域の勉強をしている中で、そういったところにも興味がわいてきて、勉強してみようと思っています。また、社内でも「こんな資格を取るといいよ」といったアドバイスをもらっているので、資格の勉強も進めていきたいなと思っています。
その意味では自分自身のキャリアビジョンが、当初に比べると明確になってきたと思っています。
MS&ADインターリスク総研では、企業が直面するサイバーリスクに関する課題を解決するために、最適な対策を提案します
企業の抱えるサイバーリスクを多面的に評価し、多層的に防御する体制構築をワンストップで支援、「組織体制整備」「リスクの特定」「防御」「検知」「対応・復旧」の各フェーズに対応したコンサルティングメニューとデジタルソリューションをそろえていますので、まずはお気軽にご相談ください。
あわせて読みたい
-
コラム/トピックス
MS&ADグループのサイバーセキュリティとは?統括責任者に聞くセキュリティの仕事
MS&ADグループのサイバーセキュリティ対策の統括を務める安達知秀氏に、2回に渡り話を聞くシリーズ。1回目の今回は、グループのサイバーセキュリティ態勢や目下取り組んでいる対策などについて聞きました。
-
コラム/トピックス
MS&ADグループのサイバーセキュリティ統括責任者に聞く セキュリティの仕事の難しさとは?
MS&ADグループのサイバーセキュリティ対策の統括を務める安達知秀氏に、2回に渡り話を聞くシリーズ。2回目の今回は、グループのサイバーセキュリティの仕事の難しさなどについて聞きました。
-
コラム/トピックス
【お客さま事例】イオンペット株式会社様 ~「セキュリティ対策にゴールはない」さらなる対策強化に向け、脆弱性診断とは異なるアプローチとしてASMツールを導入~
ペットとペットオーナーの暮らしを支えるイオンペット株式会社様に「MS&ADサイバーリスクファインダー」をご活用いただくに至るまでの経緯と、活用による成果とご評価、今後の展望についてお話を伺いました。
