「サイバーセキュリティ人材フレームワーク(案)」に関するパブリックコメント募集が実施されています
2月17日、内閣官房国家サイバー統括室人材政策班は、「サイバーセキュリティ人材フレームワーク(案)」に関するパブリックコメント募集を開始しました。
これは、サイバー攻撃の巧妙化・深刻化によりサイバーセキュリティ人材の確保・育成が急務となるなか、必要数・不足数は増加傾向にあることから、効率的・効果的に育成・確保を図るため、職種別の役割と、それぞれに求められるタスク・知識・スキルを体系的に整理するとともに、能力等に応じたレベルを設定し、官民共通の枠組み(フレームワーク)として設定するもので、体制整備等にあたり、一律の履行を求めるものではなく、利用主体の取組みを支援するための「指針」と位置付けられるものです。
人材像は、次の13の職種ごとにT(タスク)、K(知識)、S(スキル)を定義の上、4段階にレベル分けされています。
●監督・ガバナンス
・意思決定・戦略策定
・戦略推進・プロジェクト管理
・教育・訓練
・法務
・監査
●設計・開発
・設計開発
●導入・運用
・監視
・情報収集・分析・共有
・運用管理
●保護・防御
・脆弱性評価
・対処
・フォレンジック
●研究
・研究
策定により、求人(採用)や評価、配置、キャリアパスの可視化等人材マッチングに係る様々な場面で活用されることをねらっているため、手引き書もあわせて示すこととされていて、手引き書(案)の構成イメージとしては、利用主体ごとに、次の記載方針が示されています。
●小規模組織(中小企業、小規模自治体 等)
→ 小規模組織におけるセキュリティ対策の考え方(役割に基づく体制の一例等)
→ モデルケースに基づく活用例 等
●大規模組織(中堅・大企業、政府機関 等)
→ 担当者を採用するときの職務記述書の作成方法
→ レベルを踏まえた人事評価等にあたっての活用方法 等
●教育機関(専門人材、専門人材を目指す学生等)
→ 専門人材に求められるスキルセットを踏まえたセルフアセスメントの実施方法
→ スキルギャップを埋めるための学習方法 等
●個人(専門人材、専門人材を目指す学生等)
→ 専門人材に求められるスキルセットを踏まえたセルフアセスメントの実施方法
→ スキルギャップを埋めるための学習方法 等
●個人(プラス・セキュリティ人材)
→ 各役割の概要
→ プラス・セキュリティ人材に求められるスキルセットを踏まえたセルフアセスメントの実施方法
→ スキルギャップを埋めるための学習方法 等
例えば、小規模組織向け手引き書では次の3つのモデルケースにおける活用例が記載されています。
ケース1:サイバーセキュリティ対策はこれまで外部業者に任せており、「自組織でやるべきこと」をあまり意識できていなかったという悩みを抱えているが、セキュリティはよくわからないという従業員が大半のケース
ケース2:製造業で取引先から経済産業省の「セキュリティ対策評価制度」への対応を要求されているが、PCを苦手とする従業員が多いケース
ケース3:代表+アシスタントで構成され、サイバーセキュリティ対策は代表者が実質一人ですべて対応しているが、やるべきこと(タスク)が何かを把握したいケース
詳細は、下記リンク先にてご確認ください。