「プラス・セキュリティ人材」とは、サイバーセキュリティ分野を専門としない従業員のうち、自らの業務にプラスしてセキュリティに関する知識・能力を身に付けている人材のことを言う。2019年2月に一般社団法人日本サイバーセキュリティ・イノベーション委員会（JCIC）が公開したレポートで提唱された、比較的新しい概念だ。

セキュリティ人材不足が叫ばれて久しいが、同レポートではセキュリティに特化したセキュリティ専門人材だけでなくプラス・セキュリティ人材も大幅に不足していると述べられている。さらに、2020年6月に公開されたJCICのレポートでも、近い将来にプラス・セキュリティ人材不足が現実のものになると触れられていることから、プラス・セキュリティ人材不足は喫緊の課題であることが分かる。

プラス・セキュリティ人材が重要視されている大きな理由は、業務のデジタル化にある。業務のデジタル化が進むことで、情報システム部などに在籍するセキュリティ専門の人材に加え、対策をしなければセキュリティ上の問題が生じる可能性のある業務を担う人材が増えているのだ。

例えば、経済産業省が発表している「サイバーセキュリティ体制構築・人材確保の手引き」では、プラス・セキュリティが特に重要な人材として、DX推進におけるサイバーセキュリティ上のリスクアセスメントを行うDX推進部門の担当者や、自社の契約書ひな型に盛り込むセキュリティ対策について検討する法務部担当者、入退室管理用指紋認証システムの管理を兼務する総務部担当者など、さまざまな部門の人材像を挙げている。

現在は、部門を問わず一定のセキュリティ知識・能力を持つプラス・セキュリティ人材が必要な時代なのである。

ここで気になるのが人材育成だ。プラス・セキュリティ人材の育成には何が求められるのだろうか。

人材育成の考え方として、例えば経済産業省の「サイバーセキュリティ体制構築・人材確保の手引き」では「山脈型モデル」を紹介している。これは、最初に本来の業務に近しい一つの領域の専門性を高め、次にその習得したスキル・知識に関連する別の領域の専門性も高めていく、というもの。同資料には例として、コンプライアンス担当者がデータ保護対策や関連法律・ガイドラインに関する知識を習得するケースが挙げられている。こうすることで、複数の専門性を持つプラス・セキュリティ人材の育成が望めるというわけだ。

育成方法としては自社で取り組む以外にも、外部研修を受講するケースも見受けられる。例えばとあるIT企業では、プラス・セキュリティの知識獲得などを目的にエンジニアや営業職に従事する約200名の従業員が教育講座を受講すると発表している。

ただ、これほど重要性が高いにもかかわらず、プラス・セキュリティ人材の認知度は高いとは言えない。ベンダーとして、プラス・セキュリティ人材の必要性を幅広く企業に共有しつつ、最適なセキュリティ商材の提案を行いたい。