450名以上のプロフェッショナルが支援 サイバー人材育成プログラム デロイト トーマツ サイバー アカデミー

官民を狙ったサイバー攻撃が増加の一途をたどる中、デロイト トーマツ グループの一員であるデロイト トーマツ サイバーのサイバーセキュリティ人材育成プログラムが注目を集めている。プログラムを立ち上げた経緯や内容、期待できる効果などについて聞いた。

慢性的に不足する
サイバーセキュリティ人材

伊藤氏
デロイト トーマツ サイバー合同会社
パートナー
伊藤 益光
政府・公共向けサイバーセキュリティサービスのリーダー、およびアセットを活用したビジネスなど新規ビジネスの創出を手掛ける。日本および米国にて、30年以上のサイバーセキュリティおよびテクノロジーリスクのコンサルティング経験を有する。

──近年、企業や官公庁を狙ったサイバー攻撃はますます増加しており、手口も年々巧妙化しています。デロイト トーマツ サイバーは、デロイト トーマツ グループのサイバーセキュリティ専門家集団として、セキュリティ体制の構築やインシデント対応などへの豊富な支援実績を持っていますが、日本の企業や官公庁のサイバーセキュリティ対策における課題は何だと思いますか?

伊藤氏 深刻な課題と言えるのは、やはり慢性的な人材不足です。スマートフォンを活用したサービスの普及やDXの進展などによって、企業や官公庁のシステム、ネットワークがサイバー攻撃にさらされる危険は高まっていますが、それに対応できるサイバーセキュリティ人材の採用と育成がまったく追いついていません。

 そもそも、「どの人材が足りていないのか?」ということすら明確になっていないことが大きな問題です。

 一言でサイバーセキュリティ人材と言っても、その種類は多岐にわたります。対策の方向性を定め体制づくりを行うマネジメント人材、現場を指揮する人材、実際に運用や監視を行うエンジニアなど、階層ごとに専門的な知識やスキルを持った人材が求められます。

 自分たちの組織はどんな脅威にさらされる危険があり、それを防御するにはどんな体制を構築すべきなのか? というところから考え、その体制づくりのために欠けている人材を育成する必要があるのです。

──「どんな人材が必要なのか?」ということが明確でなければ、育成しようもありませんね。

久保氏
デロイト トーマツ サイバー合同会社
マネージングディレクター
経営学修士(MBA)
久保 江里子
2009年にデロイト トーマツ グループに入社。主に組織人事領域において多数のコンサルティング経験を有する。サイバーセキュリティ領域では、人材戦略・人材育成のオファリングならびに社内のサイバー人材育成の企画・実行をリードしている。

伊藤氏 おっしゃる通りです。その点、海外では、大学教育の段階からサイバーセキュリティに関する教育プログラムが整備されています。

 サイバーセキュリティに関する基礎的な知識を体系的に学ばせた上で、階層ごと、役割ごとの人材を育成するプログラムが整っているのです。

 とくに米国では、サイバーセキュリティに関する職種を記述した「NICEフレームワーク」というものがあり、このフレームワークで分類された52の職種ごとに教育プログラムが実践されています。日本でも、サイバーセキュリティに関する職種をなるべく細分化し、それぞれに合ったカリキュラムで人材育成を行うべきだと思います。

久保氏 日本でサイバーセキュリティ人材が不足しているのは、「なりたい」と思う人材が少ないのも大きな原因かもしれません。

 他の職種と違って、サイバーセキュリティ人材に適した人事評価制度・報酬制度がない企業が多いため、キャリアパスの道筋がイメージできないのです。せっかく専門性の高いサイバーセキュリティ人材を採用したのに、すぐに辞められてしまうケースが多いのは、こうした一連の人材マネジメントの仕組みが整っていないことも大きな理由の1つだと考えられます。

あらゆる階層、役職に対応する
人材育成プログラム

──そうしたサイバーセキュリティ人材不足に対応するため、デロイト トーマツ サイバーは「デロイト トーマツ サイバー アカデミー」という人材育成プログラムを提供しているそうですね。どのような経緯で、この人材育成プログラムを立ち上げられたのでしょうか?

伊藤氏 サイバーセキュリティ対策では、攻撃を防御するエンジニアだけでなく、戦略を立て、サイバーセキュリティ体制を構築するマネジメント人材、日々の運用・監視を行う人材など、様々なプロフェッショナルが必要です。

 多様な人材の必要性は、日本の企業や官公庁もある程度認識しているのですが、残念ながら社内にはそうした人材がいない。あるいは、育てたくても育成方法が分からないといった課題を抱えています。

 そうした企業や官公庁向けに、デロイト トーマツ サイバーのプロフェッショナルが講師となって、職種ごとの教育を行うことを目的に立ち上げたのが「デロイト トーマツ サイバー アカデミー」です。

 大きな特徴は、「体系的な学び」と「実践的な学び」を組み合わせていること。まず、サイバーセキュリティに関する基礎的な知識を体系的に学習し、次に「NICEフレームワーク」で定義された52の職種にひも付いた実践的な知識を学んでいただくという2段構えのカリキュラムになっています。

岩永氏
デロイト トーマツ サイバー合同会社
マネージングディレクター
岩永 朝子
大手ITベンダーを経て 2022年6月にデロイト トーマツ サイバーに入社し、新規アセット開発とOperateビジネス拡大を目指し、「デロイト トーマツ サイバー アカデミー」を設立する。現在、WiC(Women in Cyber)にて女性活躍に向けた活動を推進中。

岩永氏 サイバーセキュリティ人材の育成を念頭に置いたプログラムではありますが、一般の社員・職員の方から経営層に至るまで、あらゆる階層や職種の人材を対象としていることも、「デロイト トーマツ サイバー アカデミー」の特徴の1つです。

 サイバー攻撃は、一般の社員・職員の方が不審なメールをうっかり開いたり、パスワードを盗まれたりすることが発端となるケースが多いので、基礎的な防御知識を一般社員・職員の方に学んでもらうためにご利用いただく例もあります。

 経営層の方々の場合、「自社の経営と企業ブランドを守るため、サイバーセキュリティに関する知識を基礎から学んでおきたい」というニーズが高いようです。

 もちろん、システムの構築・運用を担当する情報システム部門や、サイバーセキュリティの専門部署であるSOC(セキュリティ・オペレーション・センター)やCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)など、専門部署のプロフェッショナル人材を育成するための高度なカリキュラムも提供しています。

 ベーシック(初級)からスタンダード(中級)、アドバンス(上級)まで、レベルに応じたプログラムを用意しており、職種ごと、階層ごとに適切なプログラムを選べる仕組みになっています。

 忙しい役職や職種の方でも学べるように、受講期間や時間帯は柔軟に設定できますし、eラーニングも用意しています。

座学・ワークショップのプログラム*1

座学・ワークショップのプログラム
階層や職種、レベルに応じて、ベーシック(初級)、スタンダード(中級)、アドバンス(上級)の3つの学習カテゴリを用意。座学の他、インシデントへの対処を模擬的に訓練する机上演習、実機演習などのプログラムもある。

サイバーセキュリティ人材育成の
プラットフォームを目指す

──企業や官公庁ごとに、整えるべきサイバーセキュリティ体制は異なるものですが、それぞれのニーズに合わせたプログラムが組めるわけですね。

久保氏 「デロイト トーマツ サイバー アカデミー」では、プログラムを提供するに当たって、まず、どのようなサイバー戦略やセキュリティ体制を実現しようとされているのかを理解します。その上で、必要なサイバーセキュリティ人材を特定し、採用・育成の計画作りを行い、実際のカリキュラムを提供するのです。

 さらに、育成した人材をどのように配置・ローテーションし、活躍した人材をどのように処遇するのかという人事評価制度・報酬制度まで設計します。これによって、優秀なサイバーセキュリティ人材の流出を食い止め、むしろ活躍を促すことでサイバーセキュリティ体制が強化されるという“好循環”が生まれます。

 私たちは、これを「セキュリティ人材のタレントループ」と呼んでいます。

岩永氏 サイバー戦略を出発点とすることで、「どんな人材を確保・育成すべきか?」「そのためには、どんな教育を施すべきなのか?」という方向性が明確になります。

 方向性が定まらない状態で学びの機会だけを提供するのは、無駄な投資となる恐れがありますし、実効性のあるサイバーセキュリティ対策には結びつきません。

 「セキュリティ人材のタレントループ」を回しながら、戦略にひも付いた人材の育成と活躍を促していくことが、継続的なサイバーセキュリティ対策の強化につながるのです。

サイバー人材タレントループにおける重要検討事項​

サイバー人材タレントループにおける重要検討事項
「デロイト トーマツ サイバー アカデミー」では、サイバー戦略を起点とし、戦略遂行のために必要な人材の特定、その人材の教育、評価のループを回す「セキュリティ人材のタレントループ」に基づいてプログラム作りを行う。

──サイバーセキュリティ人材の育成プログラムを提供している企業や団体は他にもありますが、デロイト トーマツ サイバーが提供するプログラムだからこそ発揮できる強みは何でしょうか?

伊藤氏 やはり、サイバーセキュリティに関する専門性の高さが何よりの強みだと言えます。

 デロイト トーマツ サイバーには、サイバーセキュリティ対策の戦略作り、体制づくり、実際のインシデントへの対応といった実務経験が豊富な人材だけでなく、ホワイトハッカー、AIの専門家、量子コンピュータのスペシャリストなど、様々なバックグラウンドを持った450名以上のプロフェッショナルが在籍しています。

 そうした多彩な人材が講師となって、企業や官公庁ごとのニーズに合わせた実践的な教育プログラムを提供できるのが、大きな価値であると自負しています。

 また、デロイトネットワークは世界中に広がっているので、米国や英国など、サイバーセキュリティ人材育成で世界をリードする国々の教育方法をいち早く採り入れることができます。例えば、米国のデロイトは世界でもとくに厳しい米軍のサイバーセキュリティを担う人材育成にも関わっているため、そうした知見も採り入れながら質の高いプログラムを提供しています。

──最後に、サイバーセキュリティ人材の確保と教育に悩んでいる企業、および官公庁へメッセージをお願いします。

久保氏 サイバー攻撃から企業や官公庁を守るのは、ソリューションだけではなく、人の力が不可欠となります。その人の力を最大化するには、育てるだけでなく、成果をしっかり評価・処遇し、さらなる成長や活躍の道筋を描き・示すことが大切です。ぜひ、人事評価なども含めた「タレントループ」に基づく人材育成を実践してください。

岩永氏 私たちデロイト トーマツ サイバーのビジョンは、「日本のサイバーセキュリティのプラットフォーム」になること。その一環として、「デロイト トーマツ サイバー アカデミー」も「サイバーセキュリティ人材を育成するためのプラットフォーム」に発展させていきたい。そのために、今後は国や他の企業、学術機関などとの連携をより緊密にしながら、プログラムの充実を図っていきます。

伊藤氏 産官学など「オールジャパン」の連携によって日本のサイバーセキュリティ対策を強化していくことが、我々の究極の目標です。

 ぜひ一緒に、サイバーセキュリティ人材不足という深刻な問題の解決に取り組んでいきましょう。