2026.01.30

組織に求められるセキュリティ人材の確保と育成

サイバーセキュリティに関する知見や経験を有する人材の確保や、従業員に対するセキュリティ教育、意識向上等は、多くの企業において重要な課題となっています。

今回は、そうしたセキュリティ人材の確保や育成に関して参考となるガイド文書や制度等について解説します。

●サイバーセキュリティ体制構築・人材確保の手引き

組織のサイバーセキュリティ体制の強化を進める上で参考となるのが、サイバーセキュリティ経営ガイドラインの「付録F　サイバーセキュリティ体制構築・人材確保の手引き第2.0版」（以下「本手引き」と表記）です。

「サイバーセキュリティ経営ガイドライン概説」の第4回でも解説しているように、本手引きは、同ガイドラインにおいて示されている重要１０項目のうち、次の２項目について具体的な検討を行う場合の参考としていただくことを目的として提供されています。

指示２サイバーセキュリティリスク管理体制の構築
指示３サイバーセキュリティ対策のための資源（予算、人材等）確保

これらのうち、指示３における検討のポイントとして次の内容が示されており、特に「プラス・セキュリティ」の取組みの重要性が強調されています。

「サイバーセキュリティ体制構築・人材確保の手引き」（第2.0版）概要版より
(https://www.meti.go.jp/policy/netsecurity/tebikigaiyou2.pdf)

●組織に求められるプラス・セキュリティ人材とは

本手引きでは、自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力を身につけること、あるいは身につけている状態のことを「プラス・セキュリティ」と定義しています。そして、「プラス・セキュリティ」の状態にある人材、あるいは状態にあることが求められる業務に従事している人材が「プラス・セキュリティ人材」です。

なお、本手引きでは、プラス・セキュリティやプラス・セキュリティ人材について正しく理解するため、次のように補足しています。

①「プラス・セキュリティ」人材という人材を別に確保する必要はない
通常業務に従事する人材が、サイバーセキュリティの知識やスキルを習得することが「プラス・セキュリティ」の取組みに相当します。同様に、「プラス・セキュリティ」知識がこれまでのサイバーセキュリティ知識とは別に存在するわけではありません。

②「プラス・セキュリティ」は、DXに取り組んでいなくても必要
DXへの取組みの有無に関わりなくITを活用して事業を行うすべての企業等で必要です。

③「プラス・セキュリティ」の取組は技術系以外でも必要
サイバーセキュリティに関する知識の中には、情報の保護方法と法律との関係、ステークホルダーからの信頼感醸成のための情報提供のあり方等、法務や広報のような技術系以外の業務に従事する人材が活用することで有効に機能するものもあります。

④「プラス・セキュリティ」で求められる知識・スキルには高度なものもある
「プラス」の語感から付加的な印象を受けるかもしれませんが、「プラス・セキュリティ」の対象となる業務で求められるセキュリティの知識・スキルと、サイバーセキュリティの専門業務で用いられる知識・スキルとの間でレベルに明確な違いがあるわけではありません。どちらの業務においても、平易なものから高度なものまで幅広く活用します。

●プラス・セキュリティ人材の育成方法

プラス・セキュリティ人材の育成には、サイバーセキュリティに関する知識・スキル・経験を習得するための教育機会の提供や人材の育成・配置を行うことが必要です。その主なポイントを次に示します。

(1) 各分野に求められる知識・スキルを踏まえ、教育プログラムや試験・資格を活用

(2) 本人の希望を踏まえた上で、キャリアデザインを含めた育成計画を策定・実行

例えば、国家サイバー統括室（NCO：National Cybersecurity Office）では、次のようなプラス・セキュリティ人材の教育カリキュラムの例を公開しています。

NCO「プラス・セキュリティ知識補充講座カリキュラム例」より
(https://security-portal.nisc.go.jp/dx/pdf/plussecurity_curriculum.pdf)

また、各分野の人材が必要な知識・スキルを身に着けるため及びこれを評価する一つの方法として、試験・資格の活用が有効です。
本手引きでは、巻末資料２に活用可能な試験・資格の例が数多く挙げられていますが、それらのうち、IPAで実施しているセキュリティに関する２種類の資格・試験制度の概要を次に示します。

「サイバーセキュリティ体制構築・人材確保の手引き」（第2.0版）より
(https://www.meti.go.jp/policy/netsecurity/tebikihontai2.pdf)

●キャリアデザインを含めた人材育成計画の検討

「プラス・セキュリティ」を必要とする部署においては、自部署の業務にはサイバーセキュリティに関してどのようなリスクがあって、どのように対応する必要があるかについて、業務の分析を行ったり、必要に応じて社内のサイバーセキュリティ対策の関係者と協議したりする人材を育成する必要があります。

このような人材を育成するには、サイバーセキュリティ対策において、どのような点を意識し、自らの業務に照らしてどのような対策をとる必要があるのかを考えるといった経験が有用です。とはいえ、そうした経験を自部署内のみで経験することは困難な場合があるため、本人の希望を踏まえた上で、セキュリティ担当部署との兼務、もしくは異動により実践経験を積んだり、セキュリティ委員会やリスクマネジメント委員会等のメンバーとして経験を積んだりすることが考えられます。

●セキュリティプレゼンター制度の概要

自組織でセキュリティ人材を確保・育成することが困難な場合等には、IPAのセキュリティプレゼンター制度を活用することも有用です。

セキュリティプレゼンターとは、情報セキュリティに関する知識とスキル・技術を持ち、IPAのセキュリティ対策資料等を活用して、中小企業等に対して情報セキュリティの普及啓発を行う人材であり、2025年11月の時点で全国から約1,800名が登録されています。

IPA「セキュリティプレゼンター一覧」
(https://www.ipa.go.jp/security/sme/presenter/eid2eo0000002r6h-att/presenter_list.pdf)

セキュリティプレゼンターには、情報処理安全確保支援士、システム監査技術者（情報処理技術者試験）、CISA（公認情報システム監査人）等の情報セキュリティ関連資格保有者の他、中小企業診断士、ITコーディネータ、社会保険労務士、税理士などの資格保有者もおり、様々な視点からの支援活動を行っています。

IPA「セキュリティプレゼンター制度について
(https://www.ipa.go.jp/security/sme/presenter/index.html)