2020 Volume 4 Issue 1 Pages 81-101
AI・IoTなどの新たなICTによるデジタルデータの生成・収集・分析の進展と活用拡大により、新たなエコノミーが形成されつつある。一方、デジタル化の進展に伴い、サイバーセキュリティの重要性も高まる中で、我が国においてセキュリティ人材の人的規模などに関する各種報告がなされているが、これらの報告の中でセキュリティ人材の育成に関わる研修に必要な費用・期間をどの程度に推計すれば良いかが明らかにされていない。このことが、企業や地方公共団体がセキュリティ人材の確保に積極的に取り組むことを躊躇する一因になっている面もあると思われる。
本論文では、セキュリティ人材の育成に関わる研修費用・期間の算定を試みる。算定にあたっては、単に研修コースの費用・期間の積算だけでなく、研修に参加する要員が本来の職務に従事していないために発生する社内費用や研修のインターバル、継続的な維持費用も考慮するとともに、企業規模に応じた研修費用・期間の算定を試みる。
具体的には、「研修要領に応じた研修費用・期間算定モデル」により社内費用や研修のインターバルを考慮した研修費用・期間などを試算するとともに、「企業規模に応じた人材構成モデル」により企業規模に応じたモデルを設定して、企業規模ごとの人材育成に関わる研修費用・期間の試算を行った。また、試算結果と経済産業省「平成29年情報処理実態調査」の企業規模ごとのIT分野の人材育成に関する社外教育・研修費用との比較を行った。
本論文により、これまでの各種報告書では提示されていなかったセキュリティ人材の育成に関わる研修費用・期間の算出の考え方と手法の一案を提示できた。我が国の人口動態予測等から産業人口の減少が予測されている中、セキュリティ人材の育成に関わる研修費用・期間を推計することはデータエコノミーの時代の今後の施策を考える上で重要であり、セキュリティ分野の施策推進による企業や地方公共団体等におけるセキュリティ分野の人材確保・スキルアップに寄与できるであろう。
With the progress of digitalization, the importance of cybersecurity is increasing, and various reports on the human scale of cybersecurity personnel have been made in Japan. These reports do not clarify how much to estimate the cost and duration of training related to the development of cybersecurity personnel. This may be one of the reasons why companies and local governments are hesitating to train cybersecurity personnel.
In this paper, I try to calculate the training cost and period related to the development of cybersecurity personnel. In the calculation, not only the cost and period of the training course are estimated, but also the in-house cost, training interval, and continuous maintenance cost incurred because the personnel participating in the training are not engaged in their original duties. At the same time, I try to calculate the training cost and period according to the size of the company.
Specifically, in using the "training cost / period calculation model according to the training procedure", I estimated the training cost / period considering the in-house cost and training interval.
And in using the "human resources composition model according to the company size", I set a model according to the scale and calculated the training cost and period related to human resource development for each company scale. In addition, I compared the estimation results with external education and training costs related to human resource development in the IT field for each company size which was reported in the "2017 Information Processing Survey" by the Ministry of Economy, Trade and Industry.
This paper was able to present a proposal for the concept and method of calculating training costs and periods related to the development of cybersecurity personnel, which was not presented in various reports so far.
AI・IoTなどの新たなICTによるデジタルデータの生成・収集・分析の進展と活用拡大により、新たなエコノミーが形成されつつある2。一方、デジタル化の進展に伴い、サイバーセキュリティの重要性も高まる中で、我が国においてはセキュリティ人材の人的規模などに関する各種報告がなされているが、これらの報告の中でセキュリティ人材の育成に関わる研修に必要な費用・期間をどの程度に推計すれば良いかが明らかにされていない。このことが、企業や地方公共団体がセキュリティ人材の確保に積極的に取り組むことを躊躇する一因になっている面もあると思われる。
セキュリティ人材確保の手段としては、①「外部組織からの即戦力人材の雇用(ヘッドハンティング)」と、②「自組織の人材に所要の外部研修を受講させ、必要に応じてOJTを組み合わせて育成」という大きく2つの方法が考えられる。本論文では②の中のセキュリティ人材の育成に関わる(外部)研修費用・期間の算定を試みる。本論文でここを焦点にする理由は、①の方式は確かに有効であるが、日本全体でセキュリティ人材が不足していると言われている状況下では、多くの企業にとって所要の人的規模の人材を①で全て賄うことは困難であり、いずれにせよ②の方策も取らなければならないからである。また、OJTを含めず(外部)研修費用・期間の算定に限定した論文とする。その理由は、OJTは本来業務の遂行なのか、先輩社員によるOJTなのかの区分が不明確な場合も想定される。このため、OJTに必要な費用・期間の算定が困難な部分があり、(外部)研修費用・期間の算定に焦点を当てることとする。
以下、セキュリティ人材の育成に関わる研修費用・期間に関して、先行研究の状況、セキュリティ体制構築の現状と研修費用・期間算定上の課題について述べたのち、本論文の目的を明らかにする。その後、人材の育成に関わる研修費用・期間の算定に関する仮説を述べた上で、セキュリティ機能定義等の整理とモデルの設定を実施する。最後に、産業横断サイバーセキュリティ人材育成検討会(以下、「CRIC CSF」と記述する。)「サイバーセキュリティ人材育成 研修データベース3」の研修コースなどを参考に、企業におけるセキュリティ人材の育成に関わる研修費用・期間を試算し、その結果を考察する。
みずほ情報総研「ITベンチャー等によるイノベーション促進のための人材育成・確保モデル事業 事業報告書 第2部 『今後のIT人材需給推計モデル構築等 編』」では、2020年には564,330人の情報セキュリティ人材が必要であると推計されている4。その他に、情報処理推進機構(以下、「IPA」と記述する。)「情報セキュリティ人材の育成に関する基礎調査‐調査報告書‐5」・「情報セキュリティ人材不足数等に関する追加分析について(概要)6」、CRIC CSF「第一期最終報告書7」などでサイバーセキュリティ人材の人的規模について報告されているが、いずれの報告においてもセキュリティ人材の育成に関わる研修費用・期間については報告に含まれていない。
MS&ADインターリスク総研「企業のサイバーセキュリティ対策に関する実態調査報告書8」によると、回答した企業(n=634)の過半数がサイバーセキュリティ体制を構築していない状況(52.9%)であった。
一方、2. 先行研究の状況 に示した各報告書やその他の論文において、セキュリティ人材の育成に関わる研修費用・期間について体系的に整理したものが存在しないため、研修費用・期間をどの程度に算定すれば良いかが明確でないという課題が存在する。
「セキュリティ人材の育成に関わる研修費用・期間の算定要領が明確でないこと」が企業のサイバーセキュリティ体制構築が進まない主な原因ではないと思われるが、研修費用・期間の算定要領が明らかになれば、各企業においてセキュリティ組織の創設に必要な一時的な費用や毎年の維持経費を経営サイドに説明できるようになると思われる。
そこで、「企業規模に応じたセキュリティ人材の育成に関わる研修費用・期間の算定の考え方と手法の一案を提示するとともに、その試算を実施すること」が本論文の目的である。
仮説:セキュリティ人材の育成に関わる研修に関して、研修を受講する要員の研修費用・期間算定のための「研修要領に応じた研修費用・期間算定モデル」及び企業全体での研修費用・期間を算定するための「企業規模に応じた人材構成モデル」を設定することで、企業規模に応じたセキュリティ人材の育成に関わる研修費用・期間を算定できる。
サイバーセキュリティに関するセキュリティ機能定義等については、経済産業省「産業サイバーセキュリティ研究会WG2におけるサイバーセキュリティ人材政策に関する議論の状況について9」にも示されているように、各団体で様々な定義が存在している。
本論文においては、後述する「企業規模に応じた人材構成モデル」につながりやすいCRIC CSF「第一期最終報告書」の定義を利用する。
5.1.2.セキュリティ機能定義とサイバーセキュリティ機能を担う役割(担当)まずCRIC CSF「第一期最終報告書」に基づき、セキュリティ機能定義を表1に、サイバーセキュリティ機能を担う役割(担当)を表2に示す。
| セキュリティ機能定義 | サイバーセキュリティ対策の機能を実現する業務例 |
| サイバーセキュリティ統括 | サイバーセキュリティ対策に関する全社的統括 |
| 事業戦略中期計画 | コンプライアンス、ガバナンス及びリスクマネジメントの観点に基づくセキュリティ対策 |
| 年次計画 | セキュリティ対策に係る実施計画の企画立案規程・ルールの策定 |
| ICT 企画(個別 IT 企画) | 各事業に対する IT 導入・構築運用改善計画の企画立案 ガイドライン・マニュアルの策定 |
| ライセンス管理を踏まえた、リプレース計画の企画立案固定資産管理・ソフトウェア会計管理 | |
| セキュリティ実装計画 | ユーザビリティの観点に基づく機能改善・実装計画の企画立案エンドポイント及びUIに関するセキュリティ機能改善計画の策定 |
| システムセキュリティの観点に基づく機能改善・実装計画の企画システム構成に関するセキュリティ機能改善計画の策定 | |
| IT-BCP | ICT 環境における事業継続計画の策定サイバーセキュリティ保険の導入検討 |
| ディザスタリカバリ | 災害対策(DR)に関する ICT 環境改善計画の策定 |
| 災害対策及び災害発生時に関する稼働計画の策定 | |
| 情報セキュリティ マネジメント |
情報資産保護活動における ICT 環境改善計画の策定情報資産の保護基準・保護方法の改善、情報漏洩保険の導入検討 |
| 情報資産保護活動における ICT 運用改善活動の策定情報資産の棚卸 | |
| セキュリティ対策導入・開発計画 | セキュア構築設計の企画立案 |
| 要件定義及基本設計におけるセキュアデザイン | |
| セキュア運用設計の企画立案詳細設計及び運用改善におけるセキュアデザイン | |
| 多層防御に基づくセキュア設計管理ネットワーク及びシステム構成に対するセキュアデザイン | |
| システムセキュリティ対応 | システム構築及びシステム運用のセキュリティ対策分野に関するプロジェクトマネジメント及びプロジェクト運用支援 |
| セキュリティ製品品質管理 | セキュリティ対策関連の製品・サービスに対する評価検証 |
| 運用テスト パッチ管理 |
脆弱性診断(導入時・運用時)パッチ適用時の評価テスト |
| セキュリティ機能評価/改善 | 全システムに対するパッチ管理及び脆弱性診断に関する計画の企画立案 |
| セキュリティ対策関連の製品・サービスの選定及び実装支援 | |
| セキュリティ対策におけるシステム的機能の継続的改善活動 | |
| ID 管理 アクセス権管理 |
Active Directory※ 管理、シングルサインオン管理 |
| システム、フォルダ等アクセス権管理 | |
| サポート教育 | 社内の ICT リテラシ向上のためのユーザ支援リスク対応教育の企画・計画・実施 |
| CSIRT | コマンダー:インシデント発生時の全社対応及びCISO等補佐 |
| インシデントハンドリング・トリアージ : インシデント発生時の初動対応及び 収束対応 | |
| 脅威情報収集、対策情報収集 : 日常のインシデント情報収集及び社内共有活動 | |
| フォレンジックス :機器の保全、被害拡大抑止、証跡保全活動 | |
| トレーニング : インシデント対応能力向上に向けた教育の企画•計画•実施 | |
| SOC | セキュリティオペレーション業務における導入・構築 |
| セキュリティオペレーション業務における運用管理 | |
| セキュリティオペレーション業務におけるインシデント対応 | |
| OS 管理 | OS・プラットフォーム・ミドルウェア等に対するバージョン管理 |
| アプリケーション管理 | 基幹システム等のアプリケーションに関するバージョン管理 |
| クラウドサービス管理 | クラウドサービス選定及び利用管理、セキュリティ対策 |
| DB 機器管理 | DB 機器等に関するバージョン管理 |
| DB 構成管理 | データマネジメントに必要な DB 管理(データ特性に合わせた DB 構成管理) |
| DB データセキュリティ | DB 設定及び格納されるデータに対するセキュリティ対策 |
| 通信環境管理 | ファイアウォール設定プロキシ設定 |
| WAF設定 (WEBサービスセキュリティ対策) | |
| 通信監視 | 通信監視(死活監視・パケット監視等) |
| 通信遮断管理(IPS/IDS 機能管理)スレット・インテリジェンス(脅威情報)の対策活用 | |
| ヘルプデスク | インシデント発生時の問合せ窓口端末・機器異常(インシデント発生以前)の相談窓口 |
| セキュリティ監査 | 情報セキュリティ監査、物理的セキュリティ監査 |
| システム監査 | システム監査 |
| セキュリティ | 取引先選定 |
| 調達管理 | 製品・サービス調達 |
※CRIC CSF「第一期最終報告書」では「ActiveDirectry」となっているが、正しくは「Active Directory」と考えられるため、本論文では「Active Directory」と記述する。
(出典)CRIC CSF「第一期最終報告書」
| カテゴリ | 役割(担当) |
| 管理職 | CISO、CRO、CIO等 |
| サイバーセキュリティ統括(室等)※ | |
| システム部門責任者 | |
| システム管理者 | |
| ネットワーク管理者 | |
| CSIRT責任者 | |
| セキュリティ担当職 | サイバーセキュリティ事件・事故担当(以下、「事故担当」と記述する。) |
| セキュリティ設計担当 | |
| 構築系サイバーセキュリティ担当(以下、「構築系担当」と記述する。) | |
| 運用系サイバーセキュリティ担当(以下、「運用系担当」と記述する。) | |
| CSIRT担当 | |
| SOC担当 | |
| ISMS担当 | |
| 担当職 | システム企画担当 |
| 基幹システム構築担当 | |
| 基幹システム運用担当 | |
| WEBサービス担当 | |
| 業務アプリケーション担当 | |
| インフラ担当 | |
| サーバ担当 | |
| DB担当 | |
| ネットワーク担当 | |
| サポート教育担当 | |
| ヘルプデスク担当 | |
| 監査・個人情報保護 | 監査責任者 |
| 監査担当 | |
| 特定個人情報取扱責任者 | |
| 特定個人情報取扱担当 | |
| 個人情報取扱責任者 | |
| 個人情報取扱担当 |
※CRIC CSF「第一期最終報告書」では、「サイバーセキュリティ統括(室等)」となっているが、本論文では管理職と担当を分け、以下、「セキュリティ統括室長」及び「セキュリティ統括担当」と記述する。
(出典)CRIC CSF「第一期最終報告書」
次に、CRIC CSF「第一期最終報告書」の「A1.産業横断 人材定義リファレンス」から、各役割(担当)の要求知識と業務区分を整理する。本論文においては、「CSIRT担当」の【要求知識】と【業務区分】の一部を抜粋したものを表3に示す。(その他は、CRIC CSF「第一期最終報告書」の「A1.産業横断 人材定義リファレンス~機能と業務に基づくセキュリティ人材定義~」による。)
| 主な機能概要 | セキュリティ機能定義 | 要求知識 | 業務区分 | |
| セキュリティ対策 (サイバーセキュリティ対応) |
CSIRT | インシデント発生時の全社対応及びCISO等補佐 | 〇 | 3 |
| インシデントハンドリング・トリアージ | 〇 | 3 | ||
| 脅威情報収集、対策情報収集 | 〇 | 3 | ||
| フォレンジックス | 〇 | 3 | ||
| CSIRTトレーニング | 〇 | 3 | ||
| 凡例 【(ICT分野における)要求知識】 〇:必須、△:あると良い、×:なくても良い 【業務区分】 5:業務責任を負う 4:業務責任者を支援・補佐する 3:業務を担当する 2:業務担当者を支援・補佐する 1:業務内容を理解する |
||||
(出典)CRIC CSF 「第一期最終報告書 A1.産業横断 人材定義リファレンス ~機能と業務に基づくセキュリティ人材定義~」の「CSIRT担当」の一部を抜粋して筆者が編集
セキュリティ人材の育成に関わる研修費用・期間を算定するに当たり、研修コースの費用・期間のみを合計すれば良いというわけではない。実際には、研修に参加している間は本来の職務に従事していないため、その分の損失が発生している。また、セキュリティ組織を創設する際の研修費用・期間のみを算定すれば良いというわけではない。実際には、セキュリティ組織創設後に、同じ人材を同一の役割(担当)に就け続ける訳にはいかないため、定期的に後任の人材を育成しておく必要がある。また、サイバーセキュリティの分野は日進月歩で進化しているため、定期的にスキル維持・スキルアップを図るための研修を受けさせる必要もあろう。
そこで、研修を受講する要員の研修費用・期間算定のための「研修要領に応じた研修費用・期間コスト算定モデル」について提示した後に、企業全体での研修費用・期間を算定するための「企業規模に応じた人材構成モデル」を提示する。
5.2.2.「研修要領に応じた研修費用・期間算定モデル」セキュリティ人材の育成に関わる必要な研修費用・期間を算定するに当たり、研修コースの選定要領を明らかにする必要がある。5.1.3に示すようにそれぞれの役割(担当)ごとにセキュリティ機能定義に対応した要求知識と業務区分が求められるため、不足する部分に必要なスキルを研修により修得させる必要がある。不足するスキルが複数ある場合は、それらのレベルアップが可能な研修コースを選定することになる。
その際の研修コースの選定要領としては、不足するスキルに対応した個別の(短期)研修コースを受講させてスキルアップを積み上げていく方法(一つの研修コースで不足する場合には複数受講)と、役割(担当)に必要な研修項目が網羅された(長期)研修コースを受講させる方法があり、そのいずれかを選定することになる。
また、セキュリティ人材の育成に関わる必要な研修費用・期間を算定するに当たり、研修コースの費用・期間のみを合計すれば良いというわけではない。実際には、研修に参加している間は本来の職務に従事していないため、その分の損失が発生している。本論文においては、本来の職務に従事していないために発生する社内費用を加算する考え方を加味した「研修要領に応じた研修費用・期間算定モデル」として、必要な(短期)研修を個別に受講させる場合の【短期研修合算モデル】と必要な研修項目が網羅された(長期)研修プログラムを受講させる場合の【長期研修モデル】について提示する。
5.2.2.1.【短期研修合算モデル】~必要な研修を個別に受講させる場合【短期研修合算モデル】は、ある役割(担当)に従事させようとする要員に個別に研修を受講させる場合のモデルである。その要員の不足するスキルを個別に把握し、それに応じた研修を受けさせるため、要員によっては1つの研修だけでなく、複数の研修を受ける必要がある。ただし、現実の企業においては要員のスキルの現状を正確に把握している企業は必ずしも多いとは言えず、役割(担当)に必須の研修コースがあれば、それを受講させるというのが一般的であろうと思われる。
本論文における試算では、それぞれの役割(担当)に受講させる研修コースは、CRIC CSF の「サイバーセキュリティ人材育成 研修データベース14」に示されている研修コースのうち、◎(必須知識が含まれ、受講をお勧めするコース)を中心に選択する。その際、そのコースを受講する上で前提となる研修コースがある場合、その研修コースを含めて試算する。実際の企業において、ある役割(担当)に従事させようとする要員の不足するスキルが本論文で選択した研修コースのみでは不足する場合、更に別の研修コースを追加する必要がある。
必要な研修回数をN、各短期研修(i=1,2,3,…,N)の費用をCi、受講生が不在するため社内的に発生する費用をFi、年間受講可能な研修回数をK、月ごとの研修回数をKm、研修全体の費用をC、研修全体の期間をTとし、Mを月、Yを年とすると、
N
C =
(Ci + Fi)
i = 1
N≦Kの場合、
T ≒ 1M (In the case of N≦Km),
2M(In the case of Km<N≦2 × Km),
・・・・・・・・・・・・
1Y (In the case of 11 × Km <N≦12 × Km)
N≧Kの場合、N’=N – 12 × Int (N/K)として
T ≒ Int (N/K) × 1Y + 1M (In the case of N’≦Km),
Int (N/K) × 1Y + 2M (In the case of Km<N’≦2 × Km),
・・・・・・・・・・・・
Int (N/K) × 1Y + 1Y (In the case of 11 × Km <N’≦12 × Km)
※N=13, K=12, Km=1の場合、
N’ = N – 12 × Int (N/K) = 13 – 12 × Int(13/12) = 1
T ≒ 1Y + 1M(1年1ヶ月)
・CRIC CSF「サイバーセキュリティ人材育成 研修データベース」の下記の2コースを受講させる場合(コース費用はいずれも2020年8月1日現在の税込価格)
「①TCP/IPプロトコル(NECマネジメントパートナー。以下、同様)」(②「インターネットセキュリティ技術」の前提研修コース)を8月に受講させ、「②インターネットセキュリティ技術」を9月に受講させる場合
まず、「①TCP/IPプロトコル」(コース費用:C1=88,000円)が2020年8月20日~21日(2日間)に開講されるため、これを受講(社内費用:F1=20,000円 × 2(日) = 40,000円とする。)
次に、「②インターネットセキュリティ技術」(コース費用:C2=66,000円)が9月7日~8日(2日間)に開催されるため、これを受講(社内費用:F2=20,000円 × 2(日) = 40,000円とする。)
C1(①) = 88,000, F1 = 40,000
C2(②) = 66,000, F2 = 40,000
したがって、
C = 88,000 + 40,000 + 66,000 + 40,000 = 234,000円
K=2, Km=1なので、
T = 2M(2ヶ月)
【長期研修モデル】は、IPA 産業サイバーセキュリティセンター「中核人材プログラム15」のように、ある役割(担当)に必要な研修項目が網羅された(長期)研修プログラムを受講させる場合のモデルである。この場合は【短期研修合算モデル】と異なり、ある役割(担当)に必要な要求知識と業務区分に応じたスキルを(長期)研修プログラムにより全て修得できると考えられるので、その要員の不足するスキルを個別に把握するというよりも、その(長期)研修プログラムに参加させられるレベルにあるかどうかをチェックして要員を選考すれば良いことになる。
研修の費用をCT、期間をTT、受講生が長期不在するため社内的に発生する年間費用をF、研修全体の費用をC、研修全体の期間をTとすると、
C = CT + F × TT
T = TT
・IPA 産業サイバーセキュリティセンター「中核人材プログラム」を受講させる場合
研修費用CTには、受講料金5,000,000円(2020年度価格)以外に、住宅手当、交通費、学会参加費・シンポジウム講演会費、国内外の出張時の宿泊費等も必要であり、それらは受講生の状況により様々であるが、今回はまとめて2,000,000円とする。従って、
CT = 5,000,000 + 2,000,000 = 7,000,000円
研修期間TTは、
TT = 1Y(1年)
受講生が長期不在するため社内的に発生する年間費用Fは、受講生の社内での役職等により異なる。
本論文では、社内的に発生する年間費用として10,000,000円とする。
F = 10,000,000円
従って、
研修全体の費用Cは、
C = CT + F × 1 = 7,000,000 + 10,000,000 = 17,000,000円
研修全体の期間Tは、
T = 1Y(1年)
企業全体での研修費用・期間を算定するため、表2及び日本セキュリティオペレーション協議会(ISOG-J)の「SOCの役割と人材のスキル16」を参考に、企業規模に応じた人材構成モデルを設定する。実際の企業においては、業種や守るべきシステムの違いなどにより必要なセキュリティ組織は異なるであろう。企業の業種や守るべきシステムの違いなどに応じた人材構成に基づくセキュリティ人材の育成に関わる研修費用・期間については今後の課題とし、本論文では企業規模に限定して試算を行う。企業規模に限定しているが、業種の特性などでセキュリティ組織が異なる企業においても、本論文で提示するモデルを基に、自社に合わせてセキュリティ組織を修正して活用することで企業全体での研修費用・期間の算定が可能になると思われる。
まず、大きくは2つのモデルを設定する。モデル1は事業本部を保有する企業規模大の組織モデルであり、SOCを自社で保有する場合とSOCを保有しない場合(SOCを外注する場合や常時監視は機材のみで対応する場合など)のモデルである(図1、表4)。ただし企業規模大の中でも、更に企業規模に応じてセキュリティの各役割(担当)に従事する人材数が増減することを考慮した人材数を割り当てるものとする。具体的には表4.モデル1での各役割(担当)の人数に示すように、事業本部の数nを基準に各役割(担当)の人材数を設定する。なお、本論文では後述する「6.5.2. 経済産業省 情報処理実態調査(IT要員の人材育成支出額)と試算結果(セキュリティ要員の年間維持経費(社外経費))との比較」に反映させるため、n=5, 1(5個・1個の事業本部を保有)の試算を行う。またモデル2は事業本部を保有しない企業規模中~規模小の組織であり、SOCを保有しない場合のみのモデルである(図2、表5)。モデル2においても規模中〜規模小の3つのパターンについて試算を行う。
ただし、情報セキュリティの担当組織は各企業で異なるため、これらの人材構成モデルは企業における情報セキュリティ人材の育成費用・期間を算定するための一例である。
① モデル1(企業規模大+SOC有/無)
図1.モデル1の組織図
| モデル | 区分 | 各役割(担当)の人数 (※ n:事業本部の数) |
| モデル1規模大+SOC有/無 | 管理職 | CIO、CISO、セキュリティ統括室長、ICT企画部長、システム部門責任者× (n+1) (各事業本部× 1、管理部門× 1)、システム管理者× (n × 4+1)(各事業本部× 1、各事業部× 1、管理部門× 1)、ネットワーク管理者× (n+1)、CSIRT責任者 |
| 管理職 以外 |
セキュリティ統括担当× n | |
| CSIRT担当× (n+3) | ||
| SOC× (n × 3+3) ただし、SOC無の場合は0 | ||
| その他のセキュリティ担当職×(n × 2) 事故担当、セキュリティ設計担当、構築系担当、運用系担当、ISMS担当 | ||
| 担当職×(n × 2)(人数が各係の数以下の場合は兼務するものとする。) システム企画担当、基幹システム構築担当、基幹システム運用担当、WEBサービス担当、業務アプリ担当、インフラ担当、DB担当、ネットワーク担当、サポート教育担当、ヘルプデスク担当 | ||
| 監査責任者、監査担当× n | ||
| 特定個人情報取扱責任者、特定個人情報取扱担当× 2、個人情報取扱責任者、個人情報取扱担当× (n × 4+1) |
図2.モデル2の組織図
| モデル | 区分 | 各役割(担当)の人数 | ||
| 規模中(合計12名) | 規模やや小(合計6名) | 規模小(合計3名) | ||
| モデル2規模中~小+SOC無 | 管理職 | CIO(CISO)、システム管理者、CSIRT責任者 | CIO(CISO)、CSIRT責任者 | システム管理者 |
| 管理職 以外 |
CSIRT担当× 2 | CSIRT担当× 1 | CSIRT担当× 1 | |
| SOC × 0 | SOC × 0 | SOC × 0 | ||
| その他のセキュリティ担当職(2) 事故担当、セキュリティ設計担当 | その他のセキュリティ担当職(1) 事故担当 | その他のセキュリティ担当職(0) | ||
| 担当職(1) システム企画担当、基幹システム運用担当 | 担当職(0) | 担当職(0) | ||
| 監査責任者、監査担当 | 監査責任者 | 監査責任者(0) | ||
| 特定個人情報取扱責任者、個人情報取扱責任者 | (特定)個人情報取扱責任者 | (特定)個人情報取扱責任者 | ||
| 備 考 | 示されていない役割(担当)は、他の役割(担当)の者が兼務 | |||
5.2.3で整理した各人材構成モデル(モデル1、モデル2)での各役割(担当)の人数に応じて、5.1.3で明らかにした、要求知識・業務区分などに必要な研修コースを受講させるものとする。ただし、研修コースの前提知識として他の研修コースを受講しておく必要がある場合は、それらの研修コースをまず受講させた後、対象の研修コースを受講させるものとする。研修コースは、CRIC CSF の「サイバーセキュリティ人材育成 研修データベース」の研修コースなどの中で、2020年度に開講しているコースを参考に設定する。(IPA産業サイバーセキュリティセンター 戦略マネジメント系セミナーは2019年度税込価格、それ以外のコース経費は2020年8月1日現在の税込価格である。)
その際、社内経費は1日当たり20,000円、1年間の長期研修の場合は10,000,000円が発生すると設定する。また複数の研修コースを受講する場合は受講した内容を復習等によりしっかり修得させるという視点から同一の月に2つ以上の研修コースを受講させるのではなく、インターバルを取って翌月に次の研修コースを受講させるものとする。
各要員が保有するスキルと、研修により新たに取得すべきスキルはそれぞれ千差万別であるので、本論文での試算はあくまでも一例である。
6.1.1.「管理職」に従事させるために必要な就任前研修と費用・期間5.2.3で整理した各人材構成モデル(モデル1、モデル2)での各役割(担当)のうち、「管理職」に必要な研修について、CIO・CISOには経営判断に資する研修コースを受講させ、セキュリティ統括室長及びCSIRT責任者はサイバーセキュリティ一般の基礎知識があるとの前提の下、実習が含まれている研修コースを受講させ、それ以外の管理職にはサイバーセキュリティの基礎から学べる研修コースを受講させるものとする。次の①~③の各役割(担当)については就任前の研修コースを次の通りに設定する。
IPA産業サイバーセキュリティセンター 戦略マネジメント系セミナー17
・モデル1(SOC有/無)のうち、n>=5(5個以上の事業本部を保有する企業)のセキュリティ統括室長
大きな組織の中核人材ということで、1年間の研修コースであるIPA 産業サイバーセキュリティセンターの中核人材プログラムを受講
・モデル1(SOC有/無)のうち、n<=4(4個以下の事業本部を保有する企業)のセキュリティ統括室長
日本IBM インシデント・レスポンス研修 -プロが教えるCSIRT要員育成コース
日本IBM インシデント・レスポンス研修 -プロが教えるCSIRT要員育成コース
ネットワークシステム基礎:下記「TCP/IPプロトコル」受講の前提となる研修コース
TCP/IPプロトコル:下記「インシデントレスポンス概説~組織内CSIRTによる~」受講の前提となる研修コース
インシデントレスポンス概説~組織内CSIRTによる~
①~③の管理職に応じた就任前研修の費用・期間を表6に示す。
| No | 研 修 名 | コース経費※1 | 期間 | 社内経費 | コース名 | 企業等 | |
| 1 | CIO研修 | 50,000(円) | 2(日) | 40,000(円) | 戦略マネジメント系セミナー | IPA | |
| 2 | CISO研修 | 50,000(円) | 2(日) | 40,000(円) | |||
| 3 | セキュリティ統括室長研修(モデル1(n>=5)) | 7,000※2 (千円) |
1(年) | 10,000 (千円) |
中核人材育成プログラム | ||
| 4 | セキュリティ統括室長研修(モデル1(n=<4)) | 440,000(円) | 4(日) | 80,000(円) | 日本IBMインシデント・レスポンス研修–プロが教えるCSIRT要員育成コース | アイ・ラーニング | |
| 6 | セキュリティ統括室長研修(モデル2)/CSIRT責任者研修 | 440,000(円) | 4(日) | 80,000(円) | 日本IBMインシデント・レスポンス研修–プロが教えるCSIRT要員育成コース | アイ・ラーニング | |
| 7 | ICT企画部長/システム部門責任者/システム管理者/ネットワーク管理者研修 | (その1) | 71,500(円) | 2(日) | 40,000(円) | ネットワークシステム基礎 | NECマネジメントパートナー |
| 8 | (その2) | 88,000(円) | 2(日) | 40,000(円) | TCP/IPプロトコル | ||
| 9 | (その3) | 38,500(円) | 1(日) | 20,000(円) | インシデントレスポンス概説~組織内CSIRTによる~ | ||
| 備 考 | ※1:コース経費は、IPA産業サイバーセキュリティセンター 戦略マネジメント系セミナーが2019年税込価格、その他のコースは2020年8月1日現在の税込価格(他の表も同様) ※2:セキュリティ統括室長研修(モデル1(n>=5))のコース経費には、受講料500万円以外に、住宅手当、交通費、学会参加費、シンポジウム講演会費、国内外出張時の宿泊費等の200万円を含む。 |
||||||
5.2.3で整理した人材構成モデルでの各役割(担当)のうち、セキュリティ統括担当については、実習が含まれている研修コースを受講させ、すぐに職務に従事できるようにするものとする。その他の「管理職以外の役割(担当)」に必要な研修については、サイバーセキュリティ分野の幅広い知識を修得させるために、必須!! セキュリティ基礎知識(eラーニング) (NECマネジメントパートナー)(以下、「セキュリティ基礎(e)」と記述する。)をまず受講させ、その後、それぞれの役割(担当)に必要な知識等を修得できる研修コースを受講させるものとする。
ただし、「セキュリティ担当職」以外の、「担当職」(システム企画担当など)については、いわゆる「プラス(+)・セキュリティ人材19」のため、就任前にはセキュリティ基礎(e)の受講のみとし、職務に従事している間にスキルアップの視点からそれ以外の研修コースを受講させるものとする。
「管理職以外の役割(担当)」に応じた就任前研修コースの費用・期間を表7に示す。
| No | 研 修 名 | コース 経費(円) |
期間 | 社内経費(円) | コース名 | 企業等 | |
| 1 | セキュリティ統括担当研修 | 440,000 | 4(日) | 80,000 | 日本IBMインシデント・レスポンス研修 –プロが教えるCSIRT要員育成コース | アイ・ラーニング | |
| 2 | CSIRT/SOC /セキュリティ設計担当/構築系担当/運用系担当初級研修 | (その1) | 5,720 | 1(日) | 20,000 | セキュリティ基礎(e) | NECマネジメントパートナー |
| 3 | (その2) | 71,500 | 2(日) | 40,000 | ネットワークシステム基礎 | ||
| 4 | (その3) | 88,000 | 2(日) | 40,000 | TCP/IPプロトコル | ||
| 5 | (その4) | 66,000 | 2(日) | 40,000 | インターネットセキュリティ技術 | ||
| 6 | 事故担当初級研修 | (その1) | 5,720 | 1(日) | 20,000 | セキュリティ基礎(e) | |
| 7 | (その2) | 71,500 | 2(日) | 40,000 | ネットワークシステム基礎 | ||
| 8 | (その3) | 88,000 | 2(日) | 40,000 | TCP/IPプロトコル | ||
| 9 | (その4) | 38,500 | 1(日) | 20,000 | インシデントレスポンス概説 ~組織内CSIRTによる~ | ||
| 10 | ISMS初級研修 | (その1) | 5,720 | 1(日) | 20,000 | セキュリティ基礎(e) | |
| 11 | (その2) | 11,000 | 2 (時間) |
5,000 | わかる!はじめてのISMS(eトレーニング) | ||
| 12 | 担当職初級研修 | 5,720 | 1(日) | 20,000 | セキュリティ基礎(e) | ||
| 13 | 監査初級研修 | (その1) | 5,720 | 1(日) | 20,000 | セキュリティ基礎(e) | |
| 14 | (その2) | 104,280 | 2(日) | 40,000 | 情報セキュリティ監査人研修 | ||
| 15 | 個人情報初級研修 | (その1) | 5,720 | 1(日) | 20,000 | セキュリティ基礎(e) | |
| 16 | (その2) | 11,000 | 3 (時間) |
7,500 | 個人情報保護入門~プライバシーマークと個人情報保護法(マイナンバー対応)~(eトレーニング) | ||
表8は、各役割(担当)における就任前人材育成費用・期間をまとめたものである。
| 役割(担当) | 人材育成費用・期間 | |||||||
| コース数 | コース費用 | 研修 期間 |
社内経費 | 合計費用 | トータル期間 | |||
| CIO、CISO | 1 | 50,000(円) | 2D | 40,000(円) | 90,000(円) | 1M | ||
| セキュリティ統括室長 | (n>=5) | 1 | 7,000 (千円) |
1Y | 10,000 (千円) |
17,000 (千円) |
1Y | |
| (n<=4) | 2 | 466,182(円) | 6D | 120,000(円) | 586,182(円) | 2M | ||
| CSIRT責任者 | 1 | 440,000(円) | 4D | 80,000(円) | 520,000(円) | 1M | ||
| ICT企画部長、システム部門責任者、システム管理者、ネットワーク管理者 | 3 | 198,000(円) | 5D | 100,000(円) | 298,000(円) | 3M | ||
| セキュリティ統括担当 | 1 | 440,000(円) | 4D | 80,000(円) | 520,000(円) | 1M | ||
| CSIRT担当、SOC担当、セキュリティ設計担当、構築系担当、運用系担当 | 4 | 231,220(円) | 7D | 140,000(円) | 371,200(円) | 4M | ||
| 事故担当 | 4 | 203,720(円) | 6D | 120,000(円) | 323,720(円) | 4M | ||
| ISMS担当 | 2 | 16,720(円) | 2D | 25,000(円) | 41,720(円) | 2M | ||
| 「担当職」 | 1 | 5,720(円) | 1D | 20,000(円) | 25,720(円) | 1M | ||
| 監査 | 2 | 110,000(円) | 3D | 60,000(円) | 170,000(円) | 2M | ||
| (特定)個人情報保護 | 2 | 16,720(円) | 2D | 27,500(円) | 44,220(円) | 2M | ||
| 備 考 | D:日、M:月、Y:年 トータル期間:複数の研修を受講する場合のインターバルを考慮した期間 |
|||||||
各役割(担当)については、5年間で人員を入れ替えるとの想定で、必要な人員数を5年間で育成するものとする。その際、育成しても様々な事情により途中で別の役割(担当)に就任させたり、退職したりする人員が発生することも考えられるので、必要な人員数の2割増(1.2倍)の人員数を育成することとする。
6.3.要員のスキル維持のための研修コースの設定と費用・期間の試算要員のスキル維持については、5年の期間中それぞれの役割(担当)に応じた就任後の研修コースを受講させるものとする。
表9は、各役割(担当)における要員のスキル維持費用・期間である。なお、セキュリティ関係職務である、セキュリティ統括室長、CSIRT責任者、セキュリティ統括担当、CSIRT担当、SOC担当、事故担当、セキュリティ設計担当、構築系サイバーセキュリティ担当、運用系サイバーセキュリティ担当、及びISMS担当については、スキル維持講習も職務の一環とみなして、社内経費については積算から除外する。具体的には、
| 役割(担当) | 研修要領 | 人材育成費用・期間 | ||||
| コース 数 |
コース 費用(円) |
日数 | 社内経費 (円) |
5年費用 (円) |
||
| CIO・CISO | 毎年 | 1 | 250,000 | 2 | 200,000 | 450,000 |
| セキュリティ統括室長、CSIRT責任者 | 5年間で1回 | 1 | 220,000 | 4 | ― | 616,000 |
| 他の4年間 | 1 | 396,000 | 2 | ― | ||
| ICT企画部長、システム部門責任者、システム管理者、ネットワーク管理者 | 毎年 | 1 | 275,000 | 1 | 100,000 | 375,000 |
| セキュリティ統括担当、CSIRT担当、SOC担当、事故担当 | 5年間で1回 | 1 | 220,000 | 2 | ― | 220,000 |
| セキュリティ設計担当、構築系担当、運用系担当 | 5年間で1回 | 1 | 99,000 | 1 | ― | 99,000 |
| ISMS担当 | 5年間で1回 | 1 | 22,000 | 1 | ― | 22,000 |
| 「担当職」、「監査」、「個人情報保護」 | 5年間で1回 | 1 | 20,000 | 1 | 20,000 | 40,000 |
表10は、モデル1(保有する事業本部数が5でSOCを自社で保有。以下、「n=5及びSOC有」と記述する。)の「組織創設経費」と「年間維持経費」である。
すなわち、組織創設経費はセキュリティ組織を新たに創設する際に必要な経費であり、年間維持経費は、創設したセキュリティ組織を維持するために必要な経費で、表11に示す、5年間で要員を入れ替えるために必要な経費「c. 継続育成経費(5年)」を5で割った「d. 継続育成経費(1年)」と、表12に示す、5年間の要員のスキル維持に必要な経費である「e. 要員スキル維持経費(5年)」を5で割った「f. 要員スキル維持経費(1年)」の合計である。なお、表11の人数は表10の人数の2割増(1.2倍)を四捨五入した人数である。
| 役割(担当) | 人数 | a. 組織創設経費(千円) | b. 年間維持経費(千円) (d+f) | ||||
| 社外経費 | 社内経費 | 計 | 社外経費 | 社内経費 | 計 | ||
| CIO | 1 | 50.0 | 40.0 | 90.0 | 60.0 | 48.0 | 108.0 |
| CISO | 1 | 50.0 | 40.0 | 90.0 | 60.0 | 48.0 | 108.0 |
| セキュリティ統括室長 | 1 | 7,000.0 | 10,000.0 | 17,000.0 | 1,569.9 | 2,000.0 | 3,569.9 |
| ICT企画部長 | 1 | 198.0 | 100.0 | 298.0 | 94.6 | 40.0 | 134.6 |
| システム部門責任者 | 6 | 1,188.0 | 600.0 | 1,788.0 | 607.2 | 260.0 | 867.2 |
| システム管理者 | 21 | 4,158.0 | 2,100.0 | 6,258.0 | 2,145.0 | 920.0 | 3,065.0 |
| ネットワーク管理者 | 6 | 1,188.0 | 600.0 | 1,788.0 | 607.2 | 260.0 | 867.2 |
| CSIRT責任者 | 1 | 440.0 | 80.0 | 520.0 | 211.2 | 16.0 | 227.2 |
| セキュリティ統括担当 | 5 | 2,200.0 | 400.0 | 2600,.0 | 748.0 | 96.0 | 844.0 |
| CSIRT担当 | 8 | 1,849.8 | 1,120.0 | 2,969.8 | 814.4 | 280.0 | 1,094.4 |
| SOC担当 | 18 | 4,162.0 | 2520,.0 | 6682,.0 | 1,809.4 | 616.0 | 2,425.4 |
| 事故担当 | 2 | 407.4 | 240.0 | 647.4 | 169.5 | 48.0 | 217.5 |
| セキュリティ設計担当 | 2 | 462.4 | 280.0 | 742.4 | 132.1 | 56.0 | 188.1 |
| 構築系担当 | 2 | 462.4 | 280.0 | 742.4 | 132.1 | 56.0 | 188.1 |
| 運用系担当 | 2 | 462.4 | 280.0 | 742.4 | 132.1 | 56.0 | 188.1 |
| ISMS担当 | 2 | 33.4 | 50.0 | 83.4 | 15.5 | 10.0 | 25.5 |
| 担当職 | 10 | 57.2 | 200.0 | 257.2 | 53.7 | 88.0 | 141.7 |
| 監査 | 6 | 660.0 | 360.0 | 1,020.0 | 178.0 | 108.0 | 286.0 |
| (特定)個人情報 | 25 | 418.0 | 687.5 | 1,105.5 | 200.3 | 265.0 | 465.3 |
| 合 計 | 120 | 25,447.1 | 19,977.5 | 45,424.6 | 9,740.2 | 5,271.0 | 15,011.2 |
| 役割(担当) | c. 継続育成経費(5年) (千円) | d. 継続育成経費(1年) (千円) | |||||
| 人数 | 社外経費 | 社内経費 | 計 | 社外経費 | 社内経費 | 計 | |
| CIO | 1 | 50.0 | 40.0 | 90.0 | 10.0 | 8.0 | 18.0 |
| CISO | 1 | 50.0 | 40.0 | 90.0 | 10.0 | 8.0 | 18.0 |
| セキュリティ統括室長 | 1 | 7,000.0 | 10,000.0 | 17,000.0 | 1,400.0 | 2,000.0 | 3,400.0 |
| ICT企画部長 | 1 | 198.0 | 100.0 | 298.0 | 39.6 | 20.0 | 59.6 |
| システム部門責任者 | 7 | 1,386.0 | 700.0 | 2,086.0 | 277.2 | 140.0 | 417.2 |
| システム管理者 | 25 | 4,950.0 | 2,500.0 | 7,450.0 | 990.0 | 500.0 | 1,490.0 |
| ネットワーク管理者 | 7 | 1,386.0 | 700.0 | 2,086.0 | 277.2 | 140.0 | 417.2 |
| CSIRT責任者 | 1 | 440.0 | 80.0 | 520.0 | 88.0 | 16.0 | 104.0 |
| セキュリティ統括担当 | 6 | 2,640.0 | 480.0 | 3,120.0 | 528.0 | 96.0 | 624.0 |
| CSIRT担当 | 10 | 2,312.2 | 1,400.0 | 3,712.2 | 462.4 | 280.0 | 742.4 |
| SOC担当 | 22 | 5,086.8 | 3,080.0 | 8,166.8 | 1,017.4 | 616.0 | 1,633.4 |
| 事故担当 | 2 | 407.4 | 240.0 | 647.4 | 81.5 | 48.0 | 129.5 |
| セキュリティ設計担当 | 2 | 462.4 | 280.0 | 742.4 | 92.5 | 56.0 | 148.5 |
| 構築系担当 | 2 | 462.4 | 280.0 | 742.4 | 92.5 | 56.0 | 148.5 |
| 運用系担当 | 2 | 462.4 | 280.0 | 742.4 | 92.5 | 56.0 | 148.5 |
| ISMS担当 | 2 | 33.4 | 50.0 | 83.4 | 6.7 | 10.0 | 16.7 |
| 担当職 | 12 | 68.6 | 240.0 | 308.6 | 13.7 | 48.0 | 61.7 |
| 監査 | 7 | 770.0 | 420.0 | 1,190.0 | 154.0 | 84.0 | 238.0 |
| (特定)個人情報 | 30 | 501.6 | 825.0 | 1,326.6 | 100.3 | 165.0 | 265.3 |
| 合 計 | 141 | 28,667.5 | 21,735.0 | 50,402.5 | 5,733.5 | 4,347.0 | 10,080.5 |
| 備 考 | 人数は、各役割(担当)に必要な人員数の2割増(1.2倍)の人員数 | ||||||
| 役割(担当) | e. 要員スキル維持経費(5年) (千円) | f. 要員スキル維持経費(1年) (千円) | |||||
| 人数 | 社外経費 | 社内経費 | 計 | 社外経費 | 社内経費 | 計 | |
| CIO | 1 | 250.0 | 200.0 | 450.0 | 50.0 | 40.0 | 90.0 |
| CISO | 1 | 250.0 | 200.0 | 450.0 | 50.0 | 40.0 | 90.0 |
| セキュリティ統括室長 | 1 | 849.3 | 0 | 849.3 | 169.9 | 0 | 169.9 |
| ICT企画部長 | 1 | 275.0 | 100.0 | 375.0 | 55.0 | 20.0 | 75.0 |
| システム部門責任者 | 6 | 1,650.0 | 600.0 | 2,250.0 | 330.0 | 120.0 | 450.0 |
| システム管理者 | 21 | 5,775.0 | 2,100.0 | 7,875.0 | 1,155.0 | 420.0 | 1,575.0 |
| ネットワーク管理者 | 6 | 1,650.0 | 600.0 | 2,250.0 | 330.0 | 120.0 | 450.0 |
| CSIRT責任者 | 1 | 616.0 | 0 | 616.0 | 123.2 | 0 | 123.2 |
| セキュリティ統括担当 | 5 | 1,100.0 | 0 | 1,100.0 | 220.0 | 0 | 220.0 |
| CSIRT担当 | 8 | 1,760.0 | 0 | 1,760.0 | 352.0 | 0 | 352.0 |
| SOC担当 | 18 | 3,960.0 | 0 | 3,960.0 | 792.0 | 0 | 792.0 |
| 事故担当 | 2 | 440.0 | 0 | 440.0 | 88.0 | 0 | 88.0 |
| セキュリティ設計担当 | 2 | 198.0 | 0 | 198.0 | 39.6 | 0 | 39.6 |
| 構築系担当 | 2 | 198.0 | 0 | 198.0 | 39.6 | 0 | 39.6 |
| 運用系担当 | 2 | 198.0 | 0 | 198.0 | 39.6 | 0 | 39.6 |
| ISMS担当 | 2 | 44.0 | 0 | 44.0 | 8.8 | 0 | 8.8 |
| 担当職 | 10 | 200.0 | 200.0 | 400.0 | 40.0 | 40.0 | 80.0 |
| 監査 | 6 | 120.0 | 120.0 | 240.0 | 24.0 | 24.0 | 48.0 |
| (特定)個人情報 | 25 | 500.0 | 500.0 | 1,000.0 | 100.0 | 100.0 | 200.0 |
| 合 計 | 120 | 20,033.3 | 4,620.0 | 24,653.3 | 4,006.7 | 924.0 | 4,930.7 |
6.4.1と同様の計算を行うことにより、各モデルにおける企業規模に応じた研修費用・期間の試算結果は表13のとおりとなる。ただし、これらの費用にはそれぞれの要員の人件費、「SOC無」でSOCを外注する場合の外注費用は含まれていないことに注意する必要がある。また、試算結果は筆者が設定した条件でのあくまでも一例である。
| モデル (事業本部数 + SOC有/無) | 人数 | 組織創設経費(千円) | 育成 期間 |
年間維持経費(千円) | ||||
| 社外経費 | 社内経費 | 計 | 社外経費 | 社内経費 | 計 | |||
| モデル1 (n=5 + SOC 有) |
120 | 25,447 | 19,978 | 45,425 | 最大 1年 |
9,740 | 5,271 | 15,011 |
| モデル1 (n=5 + SOC 無) |
102 | 21,285 | 17,458 | 38,743 | 最大 1年 |
7,931 | 4,655 | 12,586 |
| モデル1 (n=1 + SOC 有) |
40 | 6,555 | 3,427 | 9,983 | 最大 4カ月 |
2,983 | 1,105 | 4,097 |
| モデル1 (n=1 + SOC 無) |
34 | 5,168 | 2,588 | 7,755 | 最大 4カ月 |
2,405 | 909 | 3,313 |
| モデル2 (規模中 + SOC 無) |
12 | 1,845 | 955 | 2,800 | 最大 4カ月 |
769 | 271 | 1,040 |
| モデル2 (規模やや小 + SOC 無) | 6 | 1,052 | 468 | 1,519 | 最大 4カ月 |
480 | 142 | 621 |
| モデル2 (規模小 + SOC 無) |
3 | 446 | 268 | 713 | 最大 4カ月 |
192 | 78 | 270 |
| 備 考 | それぞれの計の値は、四捨五入の関係で合計値が一致しない場合がある。 | |||||||
経済産業省「平成29年情報処理実態調査20」(表3-1-4-3)におけるIT要員の人材育成に関する支出額(総従業者規模別)(以下、「IT要員の人材育成支出額」と記述する。)は、社内で雇用するIT要員の人材育成のための教育・研修費用等として実際に社外に支払った金額であり、表14のとおりである。なお「平成29年情報処理実態調査」(表3-1-4-3)には、人材育成に関する支出額(百万円)として全企業合計支出額を記載してあるため、表14ではこの値を全企業合計(百万円)として記載し、1社当たり(万円)の欄を新たに設けた。1社当たりの人材育成に関する支出額は、全企業合計の値を回答企業数で割った値である。また表13との比較のため、201〜250人及び251〜300人の部分は各々の全企業合計の和を各々の回答企業数の和で割った値でまとめて集計した。
| 総従業者 規模別 |
回答 企業 数 |
人材育成に関する支出額 | 総従業者 規模別 |
回答 企業 数 |
人材育成に関する支出額 | ||
| 全企業合計(百万円) | 1社当たり (万円) |
全企業合計(百万円) | 1社当たり (万円) |
||||
| ~100人 | 152 | 43 | 28 | 301〜1,000人 | 546 | 991 | 181 |
| 101~200人 | 239 | 93 | 39 | 1,001〜5,000人 | 509 | 2,605 | 512 |
| 201~250人 | 60 | 120 | 150 | 5,001人〜 | 103 | 4,666 | 4,530 |
| 251~300人 | 72 | 78 | |||||
(出典)経済産業省「平成29年情報処理実態調査(表3-1-4-3) 」を基に筆者が編集
表15は、表14のIT要員の人材育成支出額と表13の中の年間維持経費(社外経費)との比較である。IT要員の人材育成支出額の内訳には、いくつかの企業における組織創設費用も含まれている可能性があるが、どれくらいの割合で組織創設費用が含まれているのかは不明のため、試算結果の年間維持経費(社外経費)との比較を実施する。
| No | 総従業者規模 | ①IT要員の人材育成支出額(万円) | 対応させるモデル | ②セキュリティ要員の年間維持経費(社外経費)(万円) | ②/① |
| 1 | 5,001人以上 | 4,530 | モデル1(n=5+SOC有) | 974 | 21.5 % |
| 2 | 1,001~ 5,000人 | 512 | モデル1(n=1+SOC無) | 241 | 47.1 % |
| 3 | 301~ 1,000人 | 181 | モデル2(規模中+SOC無) | 77 | 42.5 % |
| 4 | 201~ 300人 | 150 | モデル2(規模やや中+SOC無) | 48 | 32.0 % |
| 5 | 101~ 200人 | 39 | モデル2(規模小+SOC無) | 19 | 48.7 % |
表15から、セキュリティ要員の年間維持経費(社外経費)は、IT要員の人材育成支出額の21.5%〜48.7%との試算結果が得られた。
企業がセキュリティ要員にのみ、このように高い割合の研修費用を掛けるとは考えられないため、試算結果の経費が高めの値となっていることがわかる。
この原因としては、各モデルで設定した要員の数が多すぎる可能性がある。特にモデル1(n=1+SOC無)及びモデル2(規模中〜規模小)においては32.0%〜48.7%となっており、本モデルが大規模な企業の研修期間・費用の算定に合致したモデルとなっている可能性がある。企業が本モデルを活用する際にはこの点を考慮して、自社の状況に合わせた要員数に修正して算定する必要がある。
一方で、企業がI T分野やセキュリティ分野で人材育成のための研修費用をあまり掛けていない可能性があることも一因として考えられる。これは、IT人材白書201921 図表3-2-16「ユーザー企業のIT人材の“質”に対する不足感」における、2018年度調査で「大幅に不足している 33.8%」、「やや不足している 54.1%」(合計87.9%)という数字にも現れていると思われる。
なお、100人以下の人材育成に関わる研修費用については引き続き検討が必要であるとともに、今回試算した費用にはそれぞれの要員の人件費や「SOC無」においてSOCを外注する場合の外注費用は含まれていないので注意する必要がある。
表13から、最も人員数の少ないモデル2(規模小+SOC無)の場合でも、今回の試算では組織創設経費が約71.3万円(社外44.6万円、社内26.8万円)、年間維持経費が約27.0万円(社外19.2万円、社内7.8万円)掛かることがわかる。規模の小さい企業に対して、セキュリティ組織創設経費及び維持経費の助成施策について検討することも一案であろう。
セキュリティ人材の育成に関わる研修費用・期間をどの程度に推計すれば良いかが明確でないという課題に対して、「仮説:セキュリティ人材の育成に関わる研修に関して、研修を受講する要員の研修費用・期間算定のための「研修要領に応じた研修費用・期間算定モデル」及び企業全体での研修費用・期間を算定するための「企業規模に応じた人材構成モデル」を設定することで、企業規模に応じたセキュリティ人材の育成に関わる研修費用・期間を算定できる。」との仮説を立てて、その検証を実施した。
具体的には、「研修要領に応じた研修費用・期間算定モデル」により本来の職務に従事していないために発生する社内費用を加算して研修要領に応じた研修費用・期間を算定するとともに、「企業規模に応じた人材構成モデル」により企業規模に応じたモデルを設定して、企業規模ごとの人材育成に関わる研修費用・期間の試算を行った。その際、各要員のスキルを維持しつつ組織を継続的に維持できるように5年間で人材を入れ替えるための育成経費を考慮して年間の維持費を試算した。また、経済産業省「平成29年情報処理実態調査」(表3-1-4-3)におけるIT要員の人材育成に関する支出の状況(総従業者規模別)を基に、IT要員の人材育成経費と試算結果(セキュリティ要員育成年間維持経費(社外経費))との比較及び考察を行った。
今回の仮説・検証により、これまでの報告書で提示されていなかったセキュリティ人材の育成に関わる研修費用・期間の算出の考え方及び手法の一案を提示できた。
我が国の人口動態予測等から産業人口が減少することが予測されている中、セキュリティ人材の育成に関わる研修費用・期間を推計することはデータエコノミーの時代の今後の施策を考える上で重要であり、セキュリティ分野の施策推進による企業や地方公共団体等におけるセキュリティ分野の人材確保・スキルアップに寄与できるであろう。
1 富士ソフト株式会社 顧問、日本セキュリティマネジメント学会会員
2 総務省「平成30年版 情報通信白書」、60頁 他
3 CRIC CSF「サイバーセキュリティ人材育成 研修データベース」
4 みずほ情報総研「ITベンチャー等によるイノベーション促進のための人材育成・確保モデル事業 事業報告書 第2部『今後のIT人材需給推計モデル構築等 編』」、平成28年3月、219頁
5 IPA「情報セキュリティ人材の育成に関する基礎調査‐調査報告書‐」、2012年4月
6 IPA「情報セキュリティ人材不足数等に関する追加分析について(概要)」、2014年7月
7 CRIC CSF「第一期最終報告書」、2016年9月
8 MS&ADインターリスク総研「企業のサイバーセキュリティ対策に関する実態調査報告書」、2019年11月13日調査、8頁
9 経済産業省「産業サイバーセキュリティ研究会WG2におけるサイバーセキュリティ⼈材政策に関する議論の状況について」、8頁
10 CRIC CSF「第一期最終報告書」、19-21頁
11 CRIC CSF 「第一期最終報告書」、22-23頁
12 CRIC CSF 「第一期最終報告書 A1.産業横断 人材定義リファレンス~機能と業務に基づくセキュリティ人材定義~」
13 同上の表では、「セキュリティ機能定義 最終報告」となっているが、本論文では「セキュリティ機能定義」と記述する。
14 CRIC CSF「サイバーセキュリティ人材育成 研修データベース」
15 IPA「第4期中核人材育成プログラム受講要領」
16 日本セキュリティオペレーション協議会「SOCの役割と人材のスキル」
17 IPA産業サイバーセキュリティセンター「戦略マネジメント系セミナー」
18 本セミナーはIPAのホームページにセミナー名の記載はあるが、2020年度の開催日・費用についての記載がないので、費用は2019年度の税込価格を記述
19 JCIC「セキュリティ人材不足の真実と今なすべき対策とは~今必要なのは「プラス(+)・セキュリティ人材だ~」
20 経済産業省「平成29年情報処理実態調査」、平成29年10月27日
21 IPA 「IT人材白書2019」、図表3-2-16、2019年5月24日、161頁
