日本企業の約9割が人材不足

　調査時期は、3か国とも7月下旬～9月下旬にかけて。日本は1800社、米国は547社、豪州は530社から聴取した。同様の調査は20回目。それによると、CISOを設置している企業の割合は、日本は全体の39.4％で、米国の96.2％、豪州の96.0％と比べて大幅に低かった。日本企業を従業員規模別に見ると、従業員が1万人以上の企業でも65.3％にとどまっていた。

　情報セキュリティの管理や社内システムのセキュリティ対策に従事する人材の充足状況について、「どちらかといえば不足している」と「不足している」の合計は、日本企業が89.8％となり、前年度の90.4％とほぼ同じ。米国の9.7％、豪州の10.8％と比較して、日本では圧倒的なセキュリティ人材不足の課題が浮き彫りとなっている。この状況は、例えば12年度の調査でも84.4％だったように、過去10年以上改善が見られていない。

　セキュリティ人材が不足していると感じる日本企業に対して、不足している人材の種別を調査したところ、「セキュリティ戦略・企画を策定する人」が最も多く50.9％、続いて「セキュリティリスクを評価・監査する人」が38.0％となり、マネジメント層の不足が結果に表れていた。

求められる「業務内容」「人材のスキル」の定義付け

　これらの結果を踏まえると、多くの日本企業は、セキュリティ担当者が自社のセキュリティ戦略立案からリスク評価、インシデント（事件・事案）対応に至るまで、さまざまな業務をこなしている状況が推察できる。

　NRIセキュアは、CISOを中心に経営層が一体となって人材と技術のバランスの取れたセキュリティ業務の推進体制を早急に整備すべきとしている。具体的には、セキュリティ担当者がいま実施している業務を棚卸し、今後のサイバー攻撃の動向や想定リスクを踏まえて、自社にとって適切なセキュリティ業務内容と人材のスキルを明確に定義する必要がある。

　業務内容に応じた育成支援やリスキリングなど、人材育成にこれまで以上の積極的な投資が伴うことも予想される。また人手に依存しがちなセキュリティ設計や業務プロセスを抜本的に見直し、セキュリティ確保の観点から、業務の定型化や標準化、ツールやシステムなどによる自動化・効率化を同時に進めることが有効としている。

　日本企業が新規のセキュリティ対策に投資する予算については、21年度の調査と比べて「増加した、または増加する見込み」と回答した割合が高い結果となった。この傾向は、自社の情報システムのうち、コーポレートIT（基幹業務、経理、人事システムなど）およびビジネスIT（オンラインショッピングサイト、スマホアプリなど）のどちらの用途にも見られ、また従業員規模が大きい企業ほど、「増加」とする回答の割合が高くなっている。