実務担当者が語る産業サイバーセキュリティ人材のキャリアプランと組織の課題

より全体をカバーし、より持続可能な体制を構築したい

長谷川 ：みなさん背景が異なりますが、産業サイバーセキュリティ分野におけるご自身のキャリアをどう捉え、どのような道を目指されているのでしょうか。

繁田 ：学生時代からセキュリティの研究室に所属していました。この分野は今もなお情熱を持って取り組めるライフワークです。当初はIT分野のセキュリティが中心でしたが、中核人材育成プログラムでICSやOTの考え方を学んだことで、守るべき対象がエネルギー供給という社会インフラ全体へ広がりました。

　将来は、現場の運用から技術的な深掘り、そしてグループ全体のアーキテクチャー設計までを俯瞰できる「エンタープライズアーキテクト」として関わっていきたいと考えています。

西澤 ：IT系統で採用されましたが、最初は駅の現場に配属され切符の発売や改札業務に携わっていました。日々の業務を通じて、多様なサービスや業務がシステムによって支えられていることを実感し、システムに関わる仕事を改めて意識するようになりました。その中で、業務や組織の枠を超えて幅広く関われる分野としてセキュリティに関心を持ち、現在の業務に携わっています。

　セキュリティ業務に関わり始めてから最初の1年で70以上のシステムに関わりました。鉄道輸送という重要インフラを守る責任の重さと、やりがいを肌で感じました。鉄道事業法にサイバーセキュリティの文言が加わるなど法的要請も強まるなかで、自分の好きな乗り物に関するシステムとセキュリティという軸を掛け合わせた、自分ならではの貢献を続けていきたいです。

水田 ：配電の現場一筋だった私にとって、システム領域は未知の連続でした。中核人材育成プログラムでもコマンドプロンプトの操作からのスタートでした。1年間の訓練を経て、複雑なセキュリティ運用をいかに工夫して効率化するか、限られたリソースでいかに防御力を高めるかというプロセスに関心を持つようになりました。

　今後は、個人の知見として完結させるのではなく、セキュリティの強度を落とさずに後続へノウハウを引き継いでいける、組織として継続可能な仕組みの構築に注力したいです。

人事異動により継続性が薄れノウハウ伝承が困難に

長谷川 ：サイバーセキュリティ人材は流動性が高く、他社からの採用やプロモーションの機会不足、高い業務ストレスなどが離職要因に挙げられています。直面している壁がありますか。

水田 ：懸念は人材の継続性とノウハウの伝承です。多くの現場社員にとってセキュリティは“副次的な業務”だと捉えられやすく、意識が離れてしまうことがあります。本社の担当者も異動のたびにゼロから学び直す非効率が発生しがちです。

　そこで私たちは、運用手順だけでなく“考え方”までを盛り込んだ業務のマニュアル化を進めています。2年間の実践で、後任者が自律的に動けるようになるなど一定の効果を確認できました。ただ、言語化しにくい職人的な感覚をいかに共有していくのかが課題です。現場を熟知した「プラス・セキュリティ人材」を育てる重要性を感じています。

西澤 ：重要インフラを安定的に運用していくためには、人事異動を前提にした知識共有や業務理解の継続的な取り組みが不可欠です。ITシステムのように一律のセキュリティ対策を適用することが難しいOT環境においては、現場のセキュリティへの理解や意識の醸成が結果としてシステム全体のレジリエンス向上につながると考えています。

　当社ではセキュリティに関する勉強会やサイバーインシデントを想定した訓練も実施しています。参加者の関心は高く、そこでの意見交換が新たな気づきを生んでいます。セキュリティを特別な取り組みにせず、システム運用業務の一部として継続的に根付かせていくことが重要だと考えています。

繁田 ：多くの事業会社において、専門人材を中長期で育成するには、ジョブローテーション制度が壁になります。専門性を磨いた人材が制度上、別の部署へ異動せざるをえない状況が、組織としてのノウハウ蓄積を阻害します。

　そのため当社では2025年度から、セキュリティ職を突き詰められる新しい職位の枠組みを設けました。ジョブローテーションという前提を維持しつつも、高度な専門性を発揮したい人が、そのキャリアを全うできる選択肢を用意したのです。職務の位置付けを明確にし、セキュリティベンダーへの人材流出を食い止め、自組織内で中核人材を育て続ける土壌を作っていきたいです。

セキュリティ部門の仕事内容を可視化し現場部門の人材を引き込む

長谷川 ：現在、採用ポジションの62％が空席になっているなど、人材供給が追いついていません。未来の担い手を惹きつけるためには、どんなアイデアがありますか。

西澤 ：知識や経験がゼロの状態からでも「まずはやってみる」人を増やすことが重要です。そのためには、セキュリティの窓口を広く開けておく必要があります。

　セキュリティは財務、法律、設計、保守現場など、あらゆる専門分野と高い親和性を持っています。それぞれのバックグラウンドを持つ人が自分の視点でセキュリティを考えられれば相乗効果が生まれ、組織全体の防御力が底上げされます。訓練や演習を通じて、まずは、セキュリティ分野の多様性に触れられる機会を増やすべきだと考えます。

水田 ：セキュリティを好きになってもらうことが大切です。規約で縛り、業務を制限する規制者としての側面ではなく、システムを安全に稼働させ、作り方次第で運用の大幅な効率化を可能にする「業務の強固な土台である」と伝えるべきです。

　セキュリティには絶対の正解がありません。自分の頭で考え、最適な答えを模索するプロセスそのものに面白みがあります。知識がない状態からでも、ちょっとした好奇心から一歩踏み込んでもらえるよう、心理的な障壁を取り除いていきたいです。

繁田 ：セキュリティ部門が何を実施しているかを見える化し、興味をひきつける仕掛けを増やすことです。当社では、攻撃手法を学び防御のポイントをつかむようなハンズオン演習を部門外の方々にも提供しています。社内公募や一時的な所属を認める「社内インターン」の仕組みも整備し、実務を通じた成功体験を提供しています。

　他部門の優秀な人材に、セキュリティの醍醐味を知ってもらう入り口を増やすことが、結果として組織全体のレジリエンス向上につながると確信しています。

長谷川 ：教育や実体験を通じた入り口の拡大、そしてセキュリティのポジティブな価値の訴求。これらの取り組みは、人材不足という難局を打破するための希望になると感じます。本日は、ありがとうございました。