【メモ】セキュリティ人材マップの作り方
はじめに
サイバーセキュリティ組織を立ち上げたものの、どこか中途半端に見える場合、最初に作るべきものは「全員の資格一覧」ではない。まず必要なのは、自組織にどの役割が存在し、どのタスクが自走でき、どこが未整備なのかを見える化するマップである。
本稿では、デジタルスキル標準(DSS)ver.2.0、サイバーセキュリティ人材フレームワーク2026、NIST SSDFを参照しながら、セキュリティ組織の現在地評価と次アクションを決めるための表を作る。DSSはDX推進人材の類型としてサイバーセキュリティを含み、サイバーセキュリティ人材フレームワーク2026は役割・タスク・知識・スキルをより実務寄りに整理している。SSDFは、セキュア開発を開発・運用・調達を含むSDLC全体に組み込むための共通言語として使える。123
ここで扱う人材は2種類に分ける。
| 区分 | 対象 | 位置付け |
|---|---|---|
| 専門 | セキュリティ専門業務 | セキュリティ専門業務を担う人材 |
| + | 現場業務 | 本務の中でセキュリティ観点の整理を支えるセキュアフォロー人材 |
+ は「プラス・セキュリティ」の意味で使う。ここでいうセキュアフォロー人材は、リスクを単独で受容したり、専門判断を肩代わりしたりする人ではない。業務影響、設計上の懸念、運用制約、委託先情報などを整理し、必要なタイミングで専門人材や正式な判断プロセスに載せる人である。
まず作る3つのマップ
作る表は1つに集約しない。マクロとミクロを分ける。
| マップ | 見るもの | 使いどころ |
|---|---|---|
| 全体マップ | 不在役割 | 採用計画 |
| 詳細タスクマップ | 実行可否 | 改善計画 |
| セキュアフォロー成長マップ | 自走範囲 | 育成設計 |
表を作るときの原則は、1セル1項目である。1セルに複数の役割、複数のスキル、複数の担当者を書かない。複数該当するなら行を分ける。この原則を守ると、あとで人数集計、ピボット、フィルタ、タスク別の不足分析がしやすくなる。
Step 1:全体マップで「いない役割」を見る
最初に、組織として必要な役割が存在するかを見る。ここでは個人の細かいスキル評価まではしない。必要人数、現有人数、不足人数だけを入れる。
| 列 | 入力する内容 |
|---|---|
| 区分 | 専門または+ |
| 役割ID | 一意なID |
| 役割名 | 役割を1つだけ記載 |
| スキル領域 | 代表するスキル領域を1つだけ記載 |
| 必要人数 | 当面必要な人数 |
| 現有人数 | 現時点で任せられる人数 |
| 不足人数 | 必要人数から現有人数を引いた数 |
| 打ち手 | 次に行う対策を1つだけ記載 |
この表の目的は、現有人数=0の領域を見つけることだ。たとえば、SOCの監視は存在していても、戦略推進、設計開発、法務、監査が空欄なら、セキュリティ組織は「ある」が、組織としては穴が残っている。
| 区分 | 役割ID | 役割名 | スキル領域 | 必要人数 | 現有人数 | 不足人数 | 打ち手 |
|---|---|---|---|---|---|---|---|
| 専門 | R01 | 戦略策定 | セキュリティ体制運営 | 1 | 1 | 0 | 維持 |
| 専門 | R02 | プロジェクト管理 | セキュリティマネジメント | 2 | 1 | 1 | 育成 |
| 専門 | R03 | 監視 | セキュリティ監視 | 3 | 2 | 1 | 採用 |
| 専門 | R04 | 対処 | インシデント対応 | 3 | 1 | 2 | 育成 |
| 専門 | R05 | 脅威情報分析 | 脅威情報分析 | 1 | 0 | 1 | 外部委託 |
| 専門 | R06 | 脆弱性評価 | 脆弱性診断 | 2 | 1 | 1 | 採用 |
| 専門 | R07 | フォレンジック | デジタルフォレンジック | 1 | 0 | 1 | 外部委託 |
| 専門 | R08 | 運用管理 | アクセス制御 | 2 | 2 | 0 | 維持 |
| 専門 | R09 | 教育 | セキュリティ教育 | 1 | 1 | 0 | 改善 |
| 専門 | R10 | 法務 | プライバシー保護 | 1 | 0 | 1 | 兼務定義 |
| 専門 | R11 | 監査 | セキュリティ監査 | 1 | 0 | 1 | 外部委託 |
| 専門 | R12 | 設計開発 | セキュア設計 | 2 | 1 | 1 | 採用 |
| 専門 | R13 | 研究 | 先端技術調査 | 1 | 0 | 1 | 必要時委託 |
| + | P01 | 事業セキュアフォロー | 業務影響整理 | 5 | 2 | 3 | 育成 |
| + | P02 | PMセキュアフォロー | セキュリティ要件確認 | 8 | 3 | 5 | 育成 |
| + | P03 | 開発セキュアフォロー | 設計懸念整理 | 6 | 1 | 5 | 育成 |
| + | P04 | 運用セキュアフォロー | 運用リスク整理 | 4 | 1 | 3 | 育成 |
| + | P05 | 調達セキュアフォロー | 委託先確認 | 3 | 0 | 3 | 育成 |
| + | P06 | 法務セキュアフォロー | 契約論点確認 | 2 | 0 | 2 | 兼務定義 |
Step 2:専門人材と+人材の責任境界を決める
全体マップに+を入れる理由は、専門部署が全部を引き取らないためである。一方で、現場側に重い判断を背負わせるためでもない。境界を先に決める。
| 区分 | 担うこと | 担わないこと |
|---|---|---|
| 専門 | 専門判断を行うこと | 現場業務の事実確認を全件代行すること |
| + | 必要情報を整理すること | リスク受容を単独で行うこと |
SSDFでも、セキュア開発にはサイバーセキュリティ担当だけでなく、開発者、プロジェクトリード、プロダクトオーナー、運用・プラットフォームエンジニアなどSDLC関係者の役割定義とロール別教育が必要になる。4
| 区分 | 役割名 | 担うこと | 担わないこと |
|---|---|---|---|
| + | 事業セキュアフォロー | 業務影響を整理する | リスク受容の単独判断 |
| + | PMセキュアフォロー | 未決事項を拾い上げる | セキュリティ要件の最終承認 |
| + | 開発セキュアフォロー | 設計論点を整理する | 高度な脆弱性評価 |
| + | 運用セキュアフォロー | 変更情報を整理する | インシデントの最終判定 |
| + | 調達セキュアフォロー | 責任分界を整理する | 委託先リスクの最終評価 |
| + | 法務セキュアフォロー | 契約条項を整理する | サイバーリスク全体の判断 |
Step 3:詳細タスクマップで「できない業務」を見る
次に、タスク単位で現在地を測る。全体マップが「人がいるか」を見る表なら、詳細タスクマップは「実際にできるか」を見る表である。
| 列 | 入力する内容 |
|---|---|
| 区分 | 専門または+ |
| 業務領域 | 業務領域を1つだけ記載 |
| タスクID | タスク単位の一意なID |
| タスク | 実行する行動を1つだけ記載 |
| 担当役割 | 全体マップの役割名を1つだけ記載 |
| 必要レベル | そのタスクに必要なレベル |
| 現在レベル | 現時点の実行レベル |
| 判定 | 判定語を1つだけ記載 |
| 証跡 | 確認できる証跡を1つだけ記載 |
| 不足理由 | 主な不足を1つだけ記載 |
| 次アクション | 次に行うことを1つだけ記載 |
判定は感覚で書かず、レベル差で決める。
| レベル | 意味 |
|---|---|
| 0 | できない |
| 1 | 説明を受ければ理解できる |
| 2 | 手順があれば実行できる |
| 3 | 独力で実行できる |
| 4 | 標準化できる |
| 条件 | 判定 |
|---|---|
| 現在レベルが必要レベル以上 | できる |
| 現在レベルが必要レベルより1低い | 部分的 |
| 現在レベルが必要レベルより2以上低い | 弱い |
| 現在レベルが0 | できない |
| 区分 | 業務領域 | タスクID | タスク | 担当役割 | 必要レベル | 現在レベル | 判定 | 証跡 | 不足理由 | 次アクション |
|---|---|---|---|---|---|---|---|---|---|---|
| 専門 | 統括 | T001 | セキュリティ年度計画を作成する | 戦略策定 | 3 | 2 | 部分的 | 年度計画 | 人員計画と接続していない | 不足人数を追記する |
| 専門 | 統括 | T002 | セキュリティ予算を整理する | 戦略策定 | 3 | 2 | 部分的 | 予算資料 | リスク低減効果が説明できていない | 説明欄を追加する |
| 専門 | 規程 | T003 | セキュリティ規程を更新する | プロジェクト管理 | 3 | 3 | できる | 規程 | なし | 年次レビューを継続する |
| 専門 | 規程 | T004 | 例外申請を承認する | プロジェクト管理 | 3 | 1 | 弱い | 申請書 | 承認基準が曖昧 | 承認基準を定義する |
| + | 企画 | T005 | 新規サービスの業務影響を整理する | 事業セキュアフォロー | 2 | 1 | 弱い | 企画書 | 共有観点が定まっていない | 業務影響欄を追加する |
| + | 企画 | T006 | 判断が必要な論点を相談できる状態にする | 事業セキュアフォロー | 2 | 1 | 弱い | 相談記録 | 相談条件が不明確 | 相談条件を定義する |
| + | 要件定義 | T007 | セキュリティ要件の確認が必要な箇所を整理する | PMセキュアフォロー | 2 | 1 | 弱い | 要件定義書 | 相談タイミングが遅い | 要件定義チェックリストに確認条件を入れる |
| + | 設計 | T008 | 設計上の懸念点を整理する | 開発セキュアフォロー | 2 | 0 | できない | なし | 何を相談すべきか分からない | 設計相談テンプレを作る |
| 専門 | 設計 | T009 | 脅威モデリングをレビューする | 設計開発 | 3 | 1 | 弱い | レビュー記録 | レビュー観点が属人的 | レビュー観点表を作る |
| + | 開発 | T010 | 判断に迷うSAST検出を整理する | 開発セキュアフォロー | 2 | 2 | できる | CIログ | なし | 確認条件を明文化する |
| + | 開発 | T011 | SCAの検出結果を確認する | 開発セキュアフォロー | 2 | 1 | 部分的 | CIログ | ライブラリ更新判断が難しい | 依存関係更新ルールを作る |
| 専門 | 脆弱性 | T012 | 脆弱性診断を計画する | 脆弱性評価 | 3 | 2 | 部分的 | 診断計画 | 対象選定が属人的 | 対象選定基準を定義する |
| 専門 | 脆弱性 | T013 | 診断結果のリスクを評価する | 脆弱性評価 | 3 | 3 | できる | 診断報告書 | なし | 是正期限管理へ接続する |
| + | 脆弱性 | T014 | 脆弱性修正の業務制約を整理する | 開発セキュアフォロー | 2 | 2 | できる | チケット | 期限超過理由が見えにくい | 制約欄を追加する |
| 専門 | 監視 | T015 | EDRアラートを確認する | 監視 | 3 | 3 | できる | アラート記録 | なし | 対応品質を定期確認する |
| 専門 | 対処 | T016 | インシデント初動を判断する | 対処 | 3 | 2 | 部分的 | 手順書 | 判断者が限定される | 代理判断者を定義する |
| + | 対処 | T017 | インシデント時の業務影響を共有する | 事業セキュアフォロー | 2 | 1 | 弱い | なし | 報告様式がない | 影響報告テンプレを作る |
| + | 運用 | T018 | セキュリティ確認が必要な変更情報を整理する | 運用セキュアフォロー | 2 | 1 | 弱い | ログ設定 | 確認タイミングが定まっていない | 確認条件を作る |
| 専門 | 教育 | T019 | 職種別教育を設計する | 教育 | 3 | 1 | 弱い | 研修資料 | 全社一律研修のみ | PM向け研修を設計する |
| 専門 | 監査 | T020 | 是正状況を確認する | 監査 | 3 | 0 | できない | なし | 監査機能が未整備 | 四半期レビューを設ける |
Step 4:セキュアフォロー成長マップを作る
セキュアフォロー人材は、専門人材の代替ではない。ただし、本務の中でセキュリティ観点を扱う経験を積むことで、専門人材に近いタスクへ進める人もいる。そこで、移行判定までは行わず、どのレベルでどのタスクを自走できるかだけを整理する。
| レベル | 位置付け | 自走できる範囲 |
|---|---|---|
| 1 | 気づく | 決められた観点で確認できる |
| 2 | 整理する | 必要情報を集めて説明できる |
| 3 | 案を作る | 専門人材がレビューできる形にできる |
ここでのレベル3は、専門人材として任命する判定ではない。専門人材のレビューを受けながら、専門業務に近い成果物を作れる状態である。採用や異動の判定は、このマップとは別に本人希望、組織都合、実績、評価プロセスを踏まえて行う。
| 区分 | 対象領域 | レベル | タスクID | タスク | 自走条件 | 接続する専門役割 |
|---|---|---|---|---|---|---|
| + | 事業 | 1 | SF-BIZ-01 | 業務影響を記録する | 指定テンプレを使える | 戦略策定 |
| + | 事業 | 2 | SF-BIZ-02 | 業務影響を説明する | 影響範囲を説明できる | プロジェクト管理 |
| + | 事業 | 3 | SF-BIZ-03 | リスク論点を整理する | 判断材料を作成できる | プロジェクト管理 |
| + | PM | 1 | SF-PM-01 | セキュリティ確認項目を拾う | チェックリストを使える | プロジェクト管理 |
| + | PM | 2 | SF-PM-02 | 未確認事項を管理する | チケットで追跡できる | プロジェクト管理 |
| + | PM | 3 | SF-PM-03 | セキュリティ対応計画案を作る | 対応期限を整理できる | プロジェクト管理 |
| + | 開発 | 1 | SF-DEV-01 | SAST結果を確認する | 検出結果を読める | 設計開発 |
| + | 開発 | 2 | SF-DEV-02 | 修正方針を整理する | 修正案を説明できる | 設計開発 |
| + | 開発 | 3 | SF-DEV-03 | 設計レビュー案を作る | レビュー観点を提示できる | 設計開発 |
| + | 開発 | 1 | SF-DEV-04 | SCA結果を確認する | 依存関係を確認できる | 脆弱性評価 |
| + | 開発 | 2 | SF-DEV-05 | 脆弱性修正を調整する | 修正期限を管理できる | 脆弱性評価 |
| + | 開発 | 3 | SF-DEV-06 | 脆弱性対応方針案を作る | 優先順位案を作成できる | 脆弱性評価 |
| + | 運用 | 1 | SF-OPS-01 | ログ保存状況を確認する | 保存有無を確認できる | 運用管理 |
| + | 運用 | 2 | SF-OPS-02 | ログ不足を整理する | 不足項目を説明できる | 運用管理 |
| + | 運用 | 3 | SF-OPS-03 | ログ改善案を作る | 取得方針を提案できる | 運用管理 |
| + | 調達 | 1 | SF-PROC-01 | 委託先情報を収集する | 指定項目を集められる | 法務 |
| + | 調達 | 2 | SF-PROC-02 | 責任分界を整理する | 不足項目を説明できる | プロジェクト管理 |
| + | 調達 | 3 | SF-PROC-03 | 委託先確認案を作る | 確認観点を提示できる | 監査 |
| + | 法務 | 1 | SF-LEGAL-01 | 個人情報論点を拾う | 該当有無を確認できる | 法務 |
| + | 法務 | 2 | SF-LEGAL-02 | 契約論点を整理する | 確認事項を説明できる | 法務 |
| + | 法務 | 3 | SF-LEGAL-03 | 確認プロセス改善案を作る | 再発防止案を提示できる | 法務 |
Step 5:90日アクションへ落とす
表を作って終わりにしない。最後に、90日で動かす項目だけを抜き出す。
| 期間 | やること | 成果物 |
|---|---|---|
| 1から2週目 | 既存のセキュリティ業務を棚卸する | 業務一覧 |
| 1から2週目 | 既存の担当者を棚卸する | 担当一覧 |
| 1から2週目 | 既存の証跡を棚卸する | 証跡一覧 |
| 3から4週目 | 全体マップを作る | 役割別の必要人数 |
| 3から4週目 | 不在役割を確認する | 役割別の不足人数 |
| 5から6週目 | 詳細タスクマップを作る | タスク別の現在レベル |
| 5から6週目 | 弱いタスクを抽出する | タスク別の不足理由 |
| 7から8週目 | +人材のセキュアフォロー範囲を決める | 部門別のセキュアフォロー役割定義 |
| 9から12週目 | 不足が大きい領域から対策を決める | アクションリスト |
優先順位は、表の列に入れなくてもよい。まずは不足人数、判定、不足理由で並べ替え、会議体で次アクションを決める。表に優先度列を入れると、初回から主観的な議論が増えやすい。
運用時の注意点
このマップは、人事評価のために最初から使わない方がよい。初回の目的は、個人の点数付けではなく、組織としての欠落を見つけることである。
特に避けたいのは次の運用である。
| 避けたい運用 | 理由 |
|---|---|
| 資格名だけで充足判定する | 実務タスクができるか分からない |
| 専門人材と+人材を同じ責任で扱う | 現場側に過剰な判断責任が乗る |
| 1セルに複数項目を書く | 改善追跡ができなくなる |
| 最初から全タスクを精密評価する | 改善に進まない |
| 移行判定まで同時に行う | 育成マップと人事判断が混ざる |
最初の一周では、粗くてもよいので表を埋める。2周目で、証跡の粒度やレベル定義を直せばよい。
まとめ
セキュリティ組織の強化は、「専門人材を何人採るか」だけでは進まない。専門人材が担うべき役割と、現場側でセキュリティ観点を拾うセキュアフォロー人材の役割を分け、業務プロセス上で接続する必要がある。
そのための最初の作業は明確である。
- 全体マップで、いない役割を見つける。
- 詳細タスクマップで、できないタスクを見つける。
- セキュアフォロー成長マップで、+人材がどのタスクまで自走できるかを決める。
- 90日アクションに落とす。
この順で進めると、セキュリティ組織が「あるが中途半端」という状態を、採用、育成、委託、標準化の具体的な判断へ変えやすくなる。