〜「外部委託」か「自社で育成」か、2つの選択肢を考察する〜
🧩 なぜ中小企業にとって「セキュリティ人材の確保」が難しいのか?
サイバー攻撃が日々巧妙化する中、セキュリティ対策は企業規模を問わず「経営リスク対策」として避けて通れません。
しかし現実は厳しく、特に中小企業では以下のような理由からセキュリティ人材の確保が困難です。
- 専門人材に支払うだけの給与水準を用意できない
- セキュリティを本業にする社員が1人もいない(いわゆる“ひとり情シス”状態)
- 育成ノウハウや教育機会が限られている
このような状況下で、企業が取れる現実的な対策は主に次の2つに集約されます。
✅ 選択肢①:セキュリティ専業会社への業務委託
◾ メリット
- 即戦力が得られる:高度な専門知識を持つプロに任せられる
- 最新情報に基づいた対策が可能:脅威情報や技術動向のキャッチアップも任せられる
- 必要な範囲だけ契約できる:コストを最小限に抑えやすい(月額契約やスポット対応も可)
◾ デメリット
- 社内にノウハウが蓄積されない
- 業者依存になりがち:外部の対応スピードや方針に左右される
- 継続的な費用が発生する
- 社外の人材ゆえに、自社の社員のようにはいかない領域が存在する
セキュリティ専業会社には自社が欲しいと思うようなセキュリティ人材が在籍しています。セキュリティ人材もセキュリティ専業会社なら自分がやりたい仕事ができる環境が揃っているので、こうした会社に在籍することを望みます。
故に、自社で無理にセキュリティ人材を採用しようとするより、こうしたセキュリティ専業会社に業務を委託した方が確実で効率的です。
✅ 選択肢②:自社内でセキュリティ人材を育てる
◾ メリット
- 自社独自のセキュリティ文化を醸成できる
- 長期的にはコスト効率が良くなる:教育コストが抑えられれば人件費だけで運用可能
- 社員が日常的なリスクに気づきやすくなる:現場での情報が活かせる
◾ デメリット
- 育成に時間と手間がかかる
- 教育機会や講師の確保が難しい
- 担当者の退職リスクに備える必要がある
セキュリティ専業会社に委託する方法では優秀なセキュリティ人材に業務を委託することができますが、社外の人材であるので、おいそれと自社の重要な情報に触れさせるわけにもいかないということがあります。
また、契約に基づく業務である以上、払った費用分の仕事しかしてもらえないので、いざという時の対応などを考えれば、やはり自社の社員を人材として育てるほうが有利です。
例えば、セキュリティ侵害が検知された際には、被害の拡大を防ぐために業務を止めるべきかどうかなどの判断を迅速に行わなければなりませんが、こうした判断を適確に行える人材が社内にいなければ対応は後手後手となってしまいます。
🎯 結論:段階的な「ハイブリッド戦略」が現実的
現実的で効果的な方策としておすすめなのが、**「初期は外部委託 → 徐々に社内人材の育成へシフト」**する段階的な戦略です。
🌱 初期:
- セキュリティ専業会社に基本対策の設計と運用を委託
- 社内のIT担当者を外部研修や訓練に参加させ、将来的な内製化を見据える
🌿 中期:
- 一部の運用(ログ監視、パスワード管理など)を社内で引き受ける
- 定期的な訓練(例:標的型攻撃メール訓練)を通じて全社員のリテラシー向上を図る
🌳 長期:
- 専任または兼任のセキュリティ推進リーダーを育成
- 一定のインシデント対応を自社で完結できる体制を目指す
幾ら優秀なセキュリティ人材であっても、自社の社員ではないのであれば、自社の社員と同様に働いてもらえるわけではありません。また、自社の内情や業務に精通しているわけでもないので、踏み込める領域と踏み込めない領域がどうしても生じてしまいます。
また、セキュリティ専業会社も、クライアントが何を要望しているのかがわからなければ適切な提案はできません。優秀なセキュリティ人材を効率的、且つ、効果的に活用するには、セキュリティ人材をどのように活用することが望ましいかを考えることができる人材が社内に必要です。
「ウチにはセキュリティのことがわかる人材がいないので、全部貴社にお任せしますよ」というような丸投げ姿勢はダメだということです。
セキュリティ専業会社が抱えるようなセキュリティの専門家(セキュリティ技術者)を育てる必要はありませんが、セキュリティ専業会社を使いこなせるだけの知識を備えた社内人材を育成することはどの企業においても必要なことだと言えます。
ホワイトハッカーのようなセキュリティ技術に長けた人材を育てるというのではなく、セキュリティについて語れるだけの知識と実務経験を持った人材を育てるというのであれば、今いる社員のスキルアップの延長線上にあるものとして、中小企業であっても無理なく取り組むことができるはずです。
セキュリティ専業会社などが提供するサービスを活用し、各社員が持つ既存のスキルに「セキュリティ」のスキルをプラスする。これが中小企業がセキュリティ人材不足に立ち向かう現実解です。
📝 まとめ
| 観点 | 業務委託 | 社内育成 |
|---|---|---|
| 即効性 | ◎ | △ |
| コスト | △(継続費用) | △(教育コスト) |
| ノウハウ蓄積 | × | ◎ |
| 柔軟性 | ◎ | △ |
| 長期的な自立性 | △ | ◎ |
中小企業にとって重要なのは、最初から完璧を目指さず、段階的に強化していくことです。
外部の力を上手に借りながら、自社のセキュリティレベルを一歩ずつ高めていく。その柔軟な姿勢が、今後ますます重要になっていくのは間違いありません。
標的型攻撃メール訓練はセキュリティ教育の一つに過ぎませんが、継続して実施していくことで、自社のセキュリティ人材育成に大いに役立ってくれることと思います。
なお、これは弊社が提供する標的型攻撃メール対応訓練実施キットの宣伝になりますが、キットを使うのが初めてだったり、キットを活用するだけの手が足りないというお客様には、キットを活用した訓練実施作業の一部、もしくは全部を弊社で代行するということも行っております。
いきなり内製で訓練を実施するのは不安というお客様も、弊社が伴走して訓練を実施させていただくことで、いずれは訓練の実施そのものを内製に切り替えていくといったことが可能です。
いずれは内製での訓練実施もしてみたいとお考えのお客様は、是非、キットの活用をご検討いただければと思います。
