令和４年度中小企業サイバー
セキュリティ対策継続支援事業

Point①　担当者に求められるスキルや知識を把握する

担当者の役割として、求められるスキルや知識を把握しましょう。サイバーセキュリティ体制構築・人材確保の手引きでは、各分野に求められる知識・スキルの概観をまとめています。また、巻末には、活用可能な試験・資格の例も記載されています。資格取得を目指すこともスキルを高めます。

区分については以下を想定し、知識・スキルの詳細については各シラバスが参考になります。

1. 主導できるレベル（情報処理安全確保支援士試験レベル）
   https://www.jitec.ipa.go.jp/1_13download/syllabus_sc_ver2_0.pdf
2. コミュニケーションを取れるレベル（情報セキュリティマネジメント試験レベル）
   https://www.jitec.ipa.go.jp/1_13download/syllabus_sg_ver3_3.pdf

「◎」；主導できるレベル（情報処理安全確保支援士試験レベル）
https://www.jitec.ipa.go.jp/1_13download/syllabus_sc_ver2_0.pdf

「○」；コミュニケーションを取れるレベル（情報セキュリティマネジメント試験レベル）
https://www.jitec.ipa.go.jp/1_13download/syllabus_sg_ver3_3.pdf

出典：経済産業省
「サイバーセキュリティ体制構築・人材確保の手引き 」をもとに作成
https://www.meti.go.jp/policy/netsecurity/tebikihontai2.pdf

Point②　担当者自身の得意・不得意を理解する

セキュリティの業務は非常に幅広く、全てを完璧に行うということは非現実的です。自分の得意不得意を意識し、不得意な点をどのようにカバーし対応していくのかを考えることが重要です。

Point③　メンバー・後任を育成する

セキュリティ関連の業務を責任者の立場で取り組む場合には、セキュリティ組織・チームが永続的に活動できるようにすることも重要です。メンバーや担当者の育成や次世代を担う人材の育成にも力を入れる必要があります。

計画

短期的なPDCAとして、人材育成計画を作成します。（組織の成熟度とセットで考える場合には、長期的なPDCAの一環として考える場合もあります。）計画では、組織・チームの強みや弱み、自社で行う業務・役割、求められるスキル、現在のメンバー・担当者の能力を把握し計画を取りまとめます。

実行

計画に基づき育成の取り組みを実行します。セキュリティ組織・チーム内での勉強会や外部セミナーの受講、研修への参加などを行っていきます。参加がしやすい雰囲気作りや業務調整も必要です。また、初めて経験する業務に挑戦させるという方法もあります。業務経験を積むことで担当者としての成長を促します。

評価

参加者がどの程度成長しているかを定期的に評価します。業務と連動させる場合には四半期ごとなどに面談等を行うことで評価することも有効です。セミナー参加などをする場合には参加レポートを書くなどしアウトプットを行う、勉強会などで講師を担当するなどの方法から評価を行うこともできます。

改善

担当者の成長具合に合わせて業務内容などを見直していきます。また、必要であればキャリアの希望などもしっかりと把握をすることが望ましいです。本人の希望するキャリアや業務を担当することでモチベーションが上がり、成長スピードも高まります。