1年間でCISSP保有者が100名増加、総勢300名以上に。NECがお客様のDX推進に携わる全ての人材に、国際的なセキュリティ資格の取得を推進する理由

日本電気株式会社（以下、NEC）は、2019年から社内のCISSP (Certified Information Systems Security Professional)保有者の拡大に取り組んでいる。CISSPとは、国際的に権威のある情報セキュリティ・プロフェッショナル認定資格のこと。2022年には、CISSPの認定機関である非営利会員団体の(ISC)²と戦略的提携を結び、わずか1年で社内の同資格保有者を100名増加させ、2023年3月時点で300名を超えている。

これまでNECは、お客様に提供する製品・システム・サービスをセキュアに開発・運用することを第一に考えてサービス提供を行ってきた。その実現には、予算編成から企画提案、設計開発、運用まで、各フェーズに関わる全ての従業員が、セキュリティに対する適切な知識、スキルを持つ必要がある。つまり、製品やサービスの提案をする営業担当者から、システムを構築するエンジニア、その後のシステム運用を担うメンバーまで、全員が同じ知識を持ち、適切なセキュリティ実装ができる状態を目指さなくてはならない。

そこで、全社的なセキュリティ人材の育成の一つとして始めたのが、CISSP保有者を拡大させる取り組みだ。今でこそ300名を超える保有者が誕生しているが、強い志をもって険しい道のりを進んできたという。本ストーリーでは、NECサイバーセキュリティ戦略統括部タレントマネジメントグループの木村俊介と伊藤綾乃から、取り組みの狙いや裏側について話を聞いた。

（左からNECサイバーセキュリティ戦略統括部タレントマネジメントグループの木村俊介、伊藤綾乃）

技術とマネジメントの両方を習得できるCISSP

CISSPという資格の存在を知らない人も多いかもしれない。CISSPは、米国の非営利会員団体 (ISC)²が認定を行っている情報セキュリティ・プロフェッショナル認定資格のこと。情報セキュリティに対する深い理解と幅広い知識を有することを証明する、国際的に権威のある資格だ。

米国やヨーロッパでは広く知られており、日本においてもセキュリティ技術者をはじめ、システム開発に携わる人々を中心に少しずつ認知度を高めている。

情報セキュリティに関する資格は他にもあるが、その中でNECがCISSPを採用した理由は大きく3つあった。1つ目はセキュリティスキルの向上とその裏付けとなること。2つ目は、ビジネス観点でのリスクを評価できる人材育成ができること。3つ目は、システム提案から設計・開発、デリバリ、運用の全てのフェーズで適切なセキュリティ実装を行う人材を配置ができること。世界中の多様なお客様とともに、システムの開発・運用を行うNECだからこその選択だった。

企画提案から設計開発・運用まで、セキュリティ実装を担う人材を育てる。安全・安心を担保するために。

資格保有者を増やす第一歩として、2019年に社内でCISSPのオフィシャルセミナーを開催した。初回はサイバーセキュリティ専門組織のメンバーを集めて実施。その後は積極的な広報活動や口コミの広がりにより、部署の垣根を超えてさまざまな職種のメンバーが参加するようになった。今では1回のオフィシャルセミナーに50名ほどの参加者が集まるまでに規模が拡大している。

CISSP保有者が増えていくことで、社内のコミュニケーションにも変化が起こっている。

「社内で使用しているチャットツールにCISSP保有者を集めたコミュニティがあり、セキュリティ対策の困りごとを誰でも相談できる場として使われています。いわゆる知恵袋のようなもので、相談に対してCISSP保有者が専門的な知見を交えて解説してくれるのです。しかし、その解説を理解するには相談する側にも一定の知識が必要になります。それをきっかけに、CISSPの資格取得を目指すメンバーも現れて、いい循環が生まれています」（木村）

2023年3月時点で、社内のCISSP保有者は300名を超えている。数字だけを見ると多くの資格保有者が誕生しているように思えるが、NECは更に多くのセキュリティ人材を育成したいと考えている。

その理由の1つは国内におけるセキュリティ人材の不足だ。(ISC)²の調査によると、日本では2021年に約4万人のセキュリティ人材が不足しており、2022年には約5万5800人にまで増加している。セキュリティ人材が減ってしまったかのように見えるが、実はその逆でセキュリティ人材の人数は増加傾向にある。2021年は約27万6500人だった状況から、2022年には約38万8000人に増えているのだ。つまり、セキュリティ人材の需要に対して供給が追いついていないのである。

セキュリティ人材の育成を推進する理由として、政府が推進していることも挙げられる。政府主導で教育プログラムの提供や、セキュリティ人材のスキルを定義づける等、さまざまな施策を打ち出している。セキュリティの知識を学び、生かし、社会に貢献することが国内の企業に求められているのだ。

加えて、一番大きな理由はNECの情報セキュリティに対する考え方にあるという。

「NECは、情報セキュリティの確保を経営課題の一つとして位置付けています。企画提案段階から設計開発・運用まで、適切なセキュリティの知識とスキル を持った人材が担当することで、より安全で安心なシステムを提供できると考えているからです。社会から継続的に信用される企業になるためには、適切にセキュリティ実装したシステムを世の中に提供しなくてはいけません。CISSP保有者を増やすことは、信頼を得るための土台づくりとしても大切なことなのです」（伊藤）

2019年から始まった、CISSP保有者を増やすための取り組み

2019年からCISSP保有者を拡大する取り組みを始めたが、最初から年100名規模で拡大してきたわけではない。お客様からのDX化の相談が急増する中で、ビジネス観点でのセキュリティリスク低減に向けて、この取り組みを加速する必要があった。その解決策として踏み切ったのが、(ISC)²との戦略的提携だ。以降、NECでは資格保有者を増やすために、あらゆる施策を打ち出した。

CISSPの資格は、セキュリティ関連の情報を網羅的に学ぶ必要があり、決して簡単に取得できる資格ではない。年に2〜3回開催しているオフィシャルセミナーでは、 講義形式で要点を教えるだけでなく、その後の資格取得までを全面的に支援している。前述した社内のコミュニティを使って、勉強法やコツを教えてより自信を深める ことも重要だ。

加えて、セキュリティアウェアネス（注1）を向上させるために、NECグループ内で毎年社内CTFも実施している。CTF（Capture the Flag）とはセキュリティ技術を競うオンラインコンテストのことで、ゲーム感覚でセキュリティの技術や知識を身につけられる。

(注1) 人がITシステムを利用する際にセキュリティリスクを理解し問題発生時の正しい対処が意識できること

こうした多くの施策を打ち出す中で、従業員のCISSPへの興味関心が高まっていった。今ではあらゆる部署にCISSP保有者がいる状態を実現できている。

CISSPの必要性を地道に伝え続ける。資格取得の空気を醸成するまで

セキュリティの知見を持つことの重要性を認識してはいるものの、「なぜCISSPの資格を取得しなくてはいけないのか」といった疑問が当初はよく寄せられていた。というのも、資格取得に向けたオフィシャルセミナーは5日間連続、かつ終日の時間を確保してもらう必要がある。もちろんセミナーを受講している間も業務を止めることはできないため、資格を取得する本人だけでなく、上司やプロジェクト関係者の理解も必要になってくるのだ。NECでは、CISSP取得による報償などは設けていない。個人のスキル向上だけでなくビジネス面でも効果があるのかを何度も説明していくことは、本取り組みの推進者にとって骨の折れる仕事だった。

他にも、CISSPの合格者の声や活躍を発信し、資格取得後のキャリアパスをイメージしやすくすることで、資格保有者としての自信を深めることにつなげている。こうした取り組みを積み重ねることで、資格が取得しやすい空気を全社的に醸成してきた。

最近では、コロナ禍で働き方が多様になり、お客様のセキュリティ意識も高まっているという。「コロナ禍含めこのような社会情勢の急激な変化やお客様からのニーズに対して、的確に人材を配置していくことが必要あり、その仕組みを作ることが私たちグループの役目だと思っているので、これからもセキュリティ人材の育成には力を入れたいと考えています」（木村）

セキュリティは特別なものではなく、“あって当たり前”になる社会を目指すために。

実際にCISSPを取得した人たちは、どのように資格を活用しているのか。ここでは3名の体験談を紹介する。専門職に限らず営業・SE職まで、同資格の取得を推進することで、ポジティブな変化が各所で生まれ始めている。

7月5日に開催した「今組織に求められるセキュリティスキルとは　～CISSPホルダーに聞く資格取得メリットの本質～」での対談より

（ https://jpn.nec.com/cybersecurity/movie/230705sec/ ）

左から、 CISSP認定主任講師の淵上真一さん、営業推進の神原武さん、SEの吉村崇志さん、ビジネス開発の中崎暁子さん

■神原武さん（NEC PFテックセールス統括部 営業推進）

お客様にセキュリティ製品を提案するうえで、体系的に理解しておきたいと考えてCISSPのオフィシャルセミナーを受講しました。もともとセキュリティの知識はなかったのですが、資格を取ることでお客様や社内からセキュリティに関わる提案の引き合いをいただいたり、名刺に入れたCISSPのマークを見てお客様との会話のきっかけになったり、お客様からの信頼獲得にもつながっていると感じます。

■吉村崇志さん（NEC エンタープライズデジタル基盤統括部 SE）

セキュリティ対策の導入、セキュリティ設計のレビューなど行っている中で、キャリアアップとして信頼できる国際資格を取得したいと思いCISSPの勉強を始めました。資格を取得したことで、初対面の相手やお客様にセキュリティ有識者だと示すことができ、知識ベースを理解してもらえるためその後の会話がスムーズになりました。幅広いセキュリティに関する知識を体得したことで自信もつきました。

■中崎暁子さん（NEC セキュリティ事業統括部 ビジネス開発）

セキュリティビジネスに携わる中で、充実した内容や対外的な資格としてCISSPの取得が社内で推奨されていたため、自分もチャレンジしてみようと思いました。すでに他のセキュリティ資格を持っていたので、技術に関する知識はある状態でしたが、CISSPの特徴であるビジネス視点やリスクマネジメントの観点はとても学びになりました。資格を取ってからより俯瞰的にセキュリティについて考えられるようになり、海外の法規制やお客様側の立場なども意識するようになりました。

現在もCISSP保有者が増え続けているNEC。資格取得をサポートしている伊藤と木村は、この先セキュリティ人材が増えていくことでどんなインパクトがあると考えているのだろうか。

「セキュリティ部門だけでなく、営業担当者やシステムエンジニアなどの関連部門社員がCISSP資格を持つことで、NECが提供するサービスの安全性が向上することが期待できます。また、NECは『海底から宇宙まで』というキーワードを掲げているくらい、幅広い業界の社会インフラを支えているので、あらゆるサイバー空間を安全・安心にかつ快適に利用できる環境を提供することもできるのではないかと思います」（伊藤）

「セキュリティ人材が増えることで、セキュリティは特別なものではなく“あって当たり前”のものだという意識が広まっていけばよいなと考えています。DX化がどんどん進んでいく中で、基盤となるのがセキュリティです。セキュリティ対策を万全にしておくことで、時代の変化にスピード感をもって対応できるようになりますから、知見を持った人が増えて、企業が当たり前にセキュリティ対策を講じられるようになるとよいですね」（木村）

今や企業経営に切っても切れないセキュリティの問題。それを解決する一助となれるよう、これからもNECはセキュリティ人材の育成に邁進していく。

＜NECのサイバーセキュリティ人材育成について＞

https://jpn.nec.com/cybersecurity/jinzai/