セキュリティ人材の“実力”を可視化し、育成につなげる『セキュリティ人材アセスメントサービス』の薦め

セキュリティ人材の育成に、明確な判断基準を持てていますか?

サイバー攻撃の高度化やDXの進展により、企業にはこれまで以上に実践的なセキュリティ対応力の強化が求められています。
一方で、セキュリティ人材の育成や配置については、個々の経験や過去事例に基づいて判断されるケースも多く、客観的な基準を設けられていないという課題があります。

どの人材を、どの部署に、何人配置すべきか分からない

自社のセキュリティレベルを強化したいが、どのスキルを持つ人材を、どの部署や拠点に、何人配置すべきかを判断できない。

資格保有者が即戦力にならない

CISSPなどの資格保有者はいるものの、実際のインシデント対応や実践経験が不足しており、即戦力として活用できない。

育成方法やトレーニング内容が不明確

セキュリティ人材の増員や強化を行ったが、どのスキルを、どのトレーニングで、どのレベルまで強化すべきか分からない。

内製化を進めたいが、対象人材が分からない

外部委託コストが増加してきたので内製化を検討しているが、社内の誰を育成し、どの業務を任せられるのか判断できない。

こうした課題に対し、
セキュリティの実践的なスキルを客観的に可視化し、
人材育成や配置、内製化などの判断材料を提供するのが、
『セキュリティ人材アセスメントサービス』です。

セキュリティ人材アセスメントサービスを導入する理由

セキュリティ人材アセスメントサービスでは、実際のインシデント対応能力を可視化し、スキルギャップを明らかにします。さらに、その結果に基づいて人材育成プランを作成し、トレーニングを実施することで、不足するスキルを計画的に補完し、効率的かつ実効性のある人材育成を支援します。これにより、セキュリティ人材の育成や配置、内製化に関する判断基準を明確にすることが可能です。

インシデント対応能力を可視化

資格や業務経験では判断しにくい、実際のインシデント対応に必要な知識・判断力・対応力を測定し、現在の実力を把握することが可能です。

スキルギャップを明確化

IPAが定めるITSSの評価軸に基づきサンプルプロファイルを設定し、求められる人材像と現状スキルとの差(スキルギャップ)を個人・チーム・組織単位で明確化します。

育成・トレーニングにつなげる

可視化されたスキルギャップを基に、強化すべきスキルとその優先順位を整理し、効果的な人材育成・トレーニング計画の策定につなげます。

セキュリティ人材アセスメントの活用シーン

個人単位にとどまらず、チームやプロジェクト、組織全体での活用が可能です。企業全体のセキュリティ人材育成計画、CSIRTメンバーのスキルレベル標準化など様々なご支援が可能です。

今必要なのは「プラス(+)・セキュリティ人材」

セキュリティ人材アセスメントサービスの対象は、必ずしも専門エンジニアに限られるものではありません。
DXの推進が加速する中で、サイバー攻撃の対象が拡大し、ITを利活用するすべての業務において、セキュリティリスクを「自分ごと」として捉え、企業全体で適切に対応できる「プラス(+)・セキュリティ人材」が求められています。

「プラス(+)・セキュリティ人材」が求められる理由

サイバー攻撃の高度化・巧妙化

サイバー攻撃の対象が広がり、従来の専門部署だけでの対応には限界があります。

DX推進によるリスク拡大

ビジネスのデジタル化が進む中で、ITを利活用するすべての業務においてセキュリティ知識が求められています。

現場での初動対応力の重要性

ユーザー部門など現場の最前線にいる社員が、初期対応やリスクの識別をできるようになることが重要です。

企業全体のセキュリティレベル底上げ

一人ひとりがセキュリティを「自分ごと」として捉え、最低限の対策を講じることで、企業全体のセキュリティレベルを向上させることができます。

出典:JCIC「セキュリティ⼈材不⾜の真実と今なすべき対策とは
~今必要なのは「プラス(+)・セキュリティ⼈材」だ~」

客観的な指標に基づく評価で、人材の実力を可視化

ITSSに基づくセキュリティ人材アセスメントの評価軸

セキュリティ人材アセスメントサービスでは、IPA(独立行政法人情報処理推進機構)が定めるITスキル標準(ITSS)のスキルレベルをベースに評価を行います。業務や職務、役割ごとのサンプルプロファイルを設定し、現状スキルとの比較によってスキルギャップを把握します。
IPAのITSSでは7段階のレベルが設定されていますが、セキュリティ人材アセスメントではレベル4までを対象としています(下図ではレベル5~7の記載は省略しています)。

レベル1

  • 情報技術に携わる者に最低限必要な基礎知識を有している。
  • スキル開発においては、自らのキャリアパス実現に向けて積極的なスキルの研鑽が求められる。

レベル2

  • 上位者の指導の下に、要求された作業をこなせる。
  • プロフェッショナルとなるために必要な基本的知識・技能を有する。
  • スキル開発においては、自らのキャリアパス実現に向けて積極的なスキルの研鑽が求められる。

レベル3

  • 要求された作業を全て独力で遂行できる。
  • スキルの専門分野確立を目指し、プロフェッショナルとなるために必要な応用的知識・技能を有する。
  • スキル開発においても自らのスキルの研鑽を継続することが求められる。

レベル4

  • プロフェッショナルとしてスキルの専門分野が確立し、自らのスキルを活用することによって、独力で業務上の課題の発見と解決をリードする。
  • 社内において、プロフェッショナルとして求められる経験の知識化とその応用(後進育成)に貢献しており、ハイレベルのプレーヤとして認められている
  • スキル開発においても自らのスキルの研鑽を継続することが求められる。

参考:IPA:「ITスキル標準とは -ものさしとしてのスキル標準」より

セキュリティ人材アセスメント報告書(イメージ)

評価結果は、個人・チーム・組織単位で可視化することが可能です。
この結果を基に、客観的な指標に基づいた人材育成・配置の検討を支援します。

導入効果

セキュリティ人材アセスメントサービスを導入することで、以下のような効果が期待できます。

不足スキルを明確にし、
短期間での人材育成を実現

サイバーセキュリティ人材として不足するスキルを明確にすることで、的確な教育に集中でき短期に育成することができる。

必要な教育に集中投資することで、
育成コストを最適化

各対象者に必要な教育に集中投資し、現状スキルと重複する教育への支出を削減することでコストを最適化することができる。

組織全体のインシデント対応力向上と
被害最小化

実効性のある人材育成により組織全体のインシデント対応力を向上し、万が一の際の被害最小化につなげることができる。

サービス提供の流れ

セキュリティ人材アセスメントサービスは、サイバーセキュリティアカデミーのファーストステップに位置付けられます。アセスメント結果に基づいて人材育成プランを検討のうえ、推奨のトレーニングメニューをご提案します。

  1. STEP 1 ヒアリングベースのプラン作成

    お客様が求める人材像に応じたスキルプランを作成します。

  2. STEP 2 アセスメントの実施

    対象者の現状スキルを測定し、スキルギャップを可視化します。

  3. STEP 3 アセスメント報告書の作成・報告

    スキルギャップを踏まえた人材育成プランをご提示します。

  4. STEP 4トレーニングの実施(※)

    育成プランに沿ったトレーニングを実施します。

  5. STEP 5フィードバック・効果測定(※)

    トレーニング後の効果測定を行い、フィードバックします。

※トレーニング後に目標に対する効果測定テスト+講師所見フィードバックを行い、アセスメント結果の精度を高めます。
なお、トレーニングの実施はセキュリティ人材アセスメントサービスの費用に含まれません。

サイバーセキュリティアカデミーのステップアップサービス体系

価格

セキュリティ人材アセスメントサービス基本料金
300,000円(税別)

【実施内容】

  • ヒヤリングシート記入
  • アセスメントの実施
  • アセスメント報告書の作成と報告会
  • フィードバック報告

※上記基本料金には最大5名分のアセスメント費用が含まれています。
※6名からは追加費用¥30,000/1名になります。
※報告会は原則Webでの実施となります。
※本サービスは、アセスメント報告書ご提出をもって検収とさせて頂きます。