ユーザー企業のIT部門は、新しいビジネス環境に対応するために、その役割の変更・拡大と、それに伴う人材の育成を迫られていますが、多くの企業では、具体的な役割と必要とされる要員スキルを明確にできないため、取り組みの第一歩が踏み出せずにいます。
この記事では、UISS(※)を活用して、IT部門の役割を定義し、現在の要員スキルを評価した上で、今後の人材育成計画を立案する方法を全4回にわたって解説します。
※IPA(独立行政法人情報処理推進機構)が、ユーザー企業のIT部門が必要とするスキルおよび知識を、網羅的かつ体系的に整理・一覧化したものである。「情報システムユーザースキル標準(略称UISS)」として、2006年に初版が公開され、最新版として2012年に公開されたVer2.2が最新版となっている。
連載第4回の今回は、UISSを活用した人材育成計画の立案について解説します。
IT部門に求められる役割と人材育成方法(全4回)
第4回「UISSを活用した人材育成計画」
スキル評価結果の集計と分析
前回「UISSを活用した要員スキル評価」で行ったスキル評価の結果は、いろいろな集計方法が考えられますが、まずは概要レベルで集計してみましょう。
中項目「セキュリティ」について、各小項目の評価レベル3以上の人数を部署ごとに集計したものが以下の表になります。
評価レベル3は、「要求作業の達成度」のレベルが「独力でできる」と定義されていますので、評価レベル3以上の人数を集計することで、中項目「セキュリティ」に含まれる小項目の各タスクの遂行にあたり即戦力となれる要員が、どの部署にどの程度存在するが一目でわかるようになります。
さらに、この集計結果を、第2回「UISSを活用したIT部門の役割定義」で作成したIT組織とタスクのマッピング結果と比較することで、各部署の現状と課題が分析できます。
この例の場合、以下のようなことがわかります。
- システム企画部には、「セキュリティ」領域で即戦力となるスキルを持った要員がほとんどいない。
- システム開発部には、主管となる「セキュリティ基準の策定」以外の分野では、即戦力となるスキルを持った要員がほとんどいない。
- 運用管理部には、主管となる「セキュリティの分析」以外の分野では、即戦力となるスキルを持った要員がほとんどいない。
- 基盤技術部には、部分的に主管となっている「セキュリティの見直し」だけではなく、他の分野についても、少数ではあるが即戦力となるスキルを持った要員がいる。
結論として、基盤技術部以外は、「セキュリティ」領域における要員スキルは、現在主管部門として対応している範囲内に限定されており、現在の役割の変更や拡大が必要になった場合の受け皿となりうるのは、基盤技術部のみと考えられます。
次に、詳細レベルの集計を行ってみましょう。
運用管理部の要員数を、中項目「セキュリティの分析」に含まれる各小項目について、評価レベルごとに集計します。
これにより、「セキュリティの分析」タスクの遂行に必要なスキルレベルと要員数が、このタスクを主管している運用管理部において十分に確保されているかを検証することができます。
この例の場合、以下のようなことがわかります。
- 要員数の合計としては、充足しているように見えるが、その大部分が独力ではタスクを遂行できないレベル2以下であり、レベル3以上の少数の要員に負荷が集中していることを示している。
- この傾向は、「再発防止策の実施」、「セキュリティの評価」といった難易度のタスクについて、一層顕著にあらわれており、経験を蓄積し、改善に結びつけるプロセスが機能していないことを示している。
人材育成計画の立案(戦略レベル)
人材育成計画には、戦略レベルのものと戦術レベルのものがあります。
戦略レベルの人材育成計画は、経営層の承認を受けて実行されるもので、既存人材の活用だけではなく、新規採用及び外部リソースの活用も視野に入れており、組織変更や新組織設立を伴う場合もあります。
今回の例でいえば、全社的なコンプライアンス強化の一環として、IT部門に全社的なセキュリティ強化の目標が与えられたことを受けて立案される、「セキュリティ」領域全般を主管する部門の選定と、中途採用及び外部コンサルタントとの契約も視野に入れた人材育成計画が戦略レベルのものといえます。
第2回「UISSを活用したIT部門の役割定義」で行ったIT組織とタスクのマッピングの結果として指摘されていたように、全社としての情報セキュリティに対する取り組みの主体となる部門が明確にされていなかったため、これまでの情報システム本部のセキュリティに対する取り組みは、あくまでも受動的なものでした。しかし、今回は経営判断として、情報セキュリティの主管部門としての役割と権限が与えられたわけですから、今後は、体制整備と人材育成に積極的に取り組む必要があります。
したがって、この場合の人材育成計画のポイントは、全社のセキュリティ強化を推進する主管部門を設定することと、「セキュリティ」領域における高度なスキルを有するコア人材を育成し、主管部門に配置することの2点となります。
主管部門の設定については、前述の要員スキル評価の概要レベルでの集計結果が参考になります。この結果を見る限り、「セキュリティ」領域全般について少数ではあるが即戦力となるスキルを持った要員がいる基盤技術部を、全社のセキュリティ強化を推進する主管部門として設定することが最適な選択といえます。
これからの情報システム本部は、主管部門として全社のセキュリティ強化を推進するためのコア人材を育成しなければなりません。コア人材には、他部門も巻き込んだリーダーシップを発揮し、経営層に対する提言、提案を行うスキルが必要で、この要件を満たすUISSでのスキル評価レベルは、レベル4以上となります。
コア人材の育成については、UISSで別紙として提供されている「情報処理技術者試験区分と本スキル標準のタスクの関係」が参考になります。
この資料によると、「セキュリティ」領域におけるスキル評価レベル4に対応する情報処理技術者試験区分は「情報セキュリティスペシャリスト」となっています。
ただし、「情報セキュリティスペシャリスト」は2017年に廃止され、その後継として「情報処理安全確保支援士」が設定されましたので、現在では、「情報処理安全確保支援士」試験の合格が「セキュリティ」領域のコア人材として認められる基準となります。
人材育成計画の立案(戦術レベル)
一方、戦術レベルの人材育成計画は、IT部門内の承認を受けて実行されるもので、原則として既存人材を研修、勉強会、OJT、メンター制度といったトレーニングによりスキルアップさせることで課題を解決しようとするものです。
今回の例でいえば、要員スキル評価により顕在化した「セキュリティ分析」タスクにおける運用管理部内での負荷の偏りと、一部タスクの機能不全の解決を目的として立案される研修カリキュラムとその実施計画が戦術レベルのものといえます。
レベル2以下の要員をレベル3に引き上げるための研修計画の立案には、UISSの「研修ロードマップ」が参考になります。
「研修ロードマップ」では、タスクの中項目ごとに、スキル評価レベルのアップに利用できる研修コースが「研修コース_中項目対応表」としてまとめられています。
中項目「セキュリティの分析」の部分を抜粋して、レベル1から3について、まとめたものが以下の表になります。
つまり、現在、評価レベル2の要員がレベル3にスキルアップするために必要な研修は、「IT統制」、「セキュリティ技術中級」、「セキュリティ管理中級」の3つのコースでカリキュラムを組めばよいことになります。
さらに「研修ロードマップ」では、各研修コースの研修方法、研修期間、関連知識などについてもまとめられており、例えば、「セキュリティ技術中級」コースについては、以下のようになっています。
出典:UISS Ver2.2
研修計画立案者は、ここに提示された「研修期間」を目安に研修実施スケジュールを組むことができます。
また、外部の研修機関を利用する場合には、ここに提示された「スキル修得目標」や「関連知識」を基準に、提供される研修コースの内容の適合度合いを検証することができます。
まとめ
要員スキル評価の結果は、いろいろな集計方法が考えられます。例えば、中項目「セキュリティ」について、各小項目の評価レベル3以上の人数を部署ごとに集計することで、小項目の各タスクの遂行にあたり即戦力となれる要員が、どの部署にどの程度存在するが一目でわかるようになります。
さらに、この集計結果を、IT組織とタスクのマッピング結果と比較することで、各部署の現状と課題が分析できます。
中項目「セキュリティの分析」に含まれる各小項目について、このタスクを主管する運用管理部の要員数を、評価レベルごとに集計することもできます。
これにより、「セキュリティの分析」タスクの遂行に必要なスキルレベルと要員数が、このタスクを主管している運用管理部において十分に確保されているかを検証することができます。
人材育成計画には、戦略レベルのものと戦術レベルのものがあります。
戦略レベルの人材育成計画は、経営層の承認を受けて実行されるもので、既存人材の活用だけではなく、新規採用及び外部リソースの活用も視野に入れており、組織変更や新組織設立を伴う場合もあります。
一方、戦術レベルの人材育成計画は、IT部門内の承認を受けて実行されるもので、原則として既存人材を研修、勉強会、OJT、メンター制度といったトレーニングによりスキルアップさせることで課題を解決しようとするものです。
戦略レベルの人材の育成計画の例として、全社的なコンプライアンス強化の一環として、IT部門に全社的なセキュリティ強化の目標が与えられたことを受けて立案される、「セキュリティ」領域全般を主管する部門の選定と、中途採用及び外部コンサルタントとの契約も視野に入れた人材育成計画が考えられます。
この場合のポイントは、全社のセキュリティ強化を推進する主管部門を設定することと、「セキュリティ」領域における高度なスキルを有するコア人材を育成し、主管部門に配置することの2点となります。
主管部門の設定については、前述の要員スキル評価の概要レベルでの集計結果が参考になります。
コア人材の育成については、UISSで別紙として提供されている「情報処理技術者試験区分と本スキル標準のタスクの関係」が参考になります。
戦術レベルの人材育成計画の例として、要員スキル評価により顕在化した「セキュリティ分析」タスクにおける運用管理部内での負荷の偏りと、一部タスクの機能不全の解決を目的として立案される研修カリキュラムとその実施計画が考えられます。
研修計画の立案には、UISSの「研修ロードマップ」が参考になります。
「研修ロードマップ」では、タスクの中項目ごとに、スキル評価レベルのアップに利用できる研修コースが「研修コース_中項目対応表」としてまとめられていますので、ここで列挙されているコースからカリキュラムを組むことができます。
さらに「研修ロードマップ」では、各研修コースの研修方法、研修期間、関連知識などについてもまとめられており、研修計画立案者は、ここに提示された「研修期間」を目安に研修実施スケジュールを組むことができます。
また、外部の研修機関を利用する場合には、ここに提示された「スキル修得目標」や「関連知識」を基準に、提供される研修コースの内容の適合度合いを検証することができます。
IT部門に求められる役割と人材育成方法(全4回)
第4回「UISSを活用した人材育成計画」
