LASSIC Media らしくメディア
セキュリティアーキテクト不足を外部支援で補う進め方
LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託
この記事のポイント
- セキュリティアーキテクトは「運用・監視」ではなく「設計・方式策定」を担う役割であり、SOC/CSIRTとは求められるスキルセットが根本的に異なります
- ゼロトラストは単一製品の導入では成立せず、認証基盤・端末管理・ネットワーク制御・ログ解析を統合して設計できる人材が必要です
- 採用が難しい場合でも、設計伴走・アドバイザリ・委託という3つの外部支援モデルで不足を補い、段階的に内製移管へ進む進め方が現実的です
目次
セキュリティアーキテクトとは何か — 設計と運用を分けて理解する
セキュリティアーキテクトとは、認証基盤・端末管理・ネットワーク制御・ログ解析などを統合し、組織のセキュリティ全体を戦略的に設計する役割を指します。インシデント発生時の対応を担うCSIRT(Computer Security Incident Response Team)や、常時監視を行うSOC(Security Operation Center)とは役割が根本的に異なり、「何をどう守るか」という方式そのものを決める職種です。
端的に言えば、SOCは「火が出たら消す」、CSIRTは「火事の後処理をする」役割です。これに対してセキュリティアーキテクトは「火が出ない建物をどう設計するか」を担います。製品を選定し、設定方針を定め、各システムの連携仕様を決める上流工程を担当します。
多くの企業でセキュリティ対策といえばSOC整備やCSIRT設置が話題になります。しかし、守るべき設計が存在しなければ、監視体制を強化しても穴はふさがりません。ゼロトラスト(Zero Trust)の実装が本格化する2025年以降、設計を担えるアーキテクト人材の需要はさらに高まっています。
セキュリティアーキテクトが担う主要な職責
セキュリティアーキテクトが担う職責は、大きく次の5領域に整理できます。
- 認証基盤設計:IdP(Identity Provider)選定、MFA(多要素認証)ポリシー、SSO(シングルサインオン)連携仕様の策定
- 端末管理設計:MDM(Mobile Device Management)・EDR(Endpoint Detection and Response)の導入方針と設定基準の策定
- ネットワーク制御設計:マイクロセグメンテーション(システム間のアクセス範囲を細分化する制御手法)やSASE(Secure Access Service Edge)構成の方式策定
- ログ解析基盤設計:SIEM(Security Information and Event Management)の収集対象・ルール定義・アラート閾値の策定
- ガバナンス整合:設計方針を社内ポリシー・法令・業界標準(ISO 27001、NIST SP 800-207等)と整合させるドキュメント化
これらはいずれも、製品を導入する前に決めるべき「方式」です。設計が曖昧なまま製品だけ購入しても、各システムが連携せず、ゼロトラストの理念である「すべてのアクセスを都度検証する」体制は機能しません。
ゼロトラスト設計が求める統合スキル — 製品導入と方式策定は別物
ゼロトラストとは、社内ネットワークであっても無条件に信頼せず、すべてのアクセスを都度検証するセキュリティモデルを指します。クラウド利用・リモートワーク・サプライチェーンの複雑化を背景に、「境界防御」の限界が明確になるにつれて注目を集めてきました。
ゼロトラストの実装に向けて製品を調達する企業は増えています。しかし、単一製品の導入ではゼロトラストは成立しません。IDP・MDM・EDR・SIEM・ファイアウォール・プロキシなど複数の製品が適切に連携して初めてゼロトラストとして機能します。この「統合」を設計できる人材こそがセキュリティアーキテクトです。
設計を誤ると発生する具体的なリスク
設計が不十分なまま複数製品を導入すると、製品間のログが連携されず、攻撃が段階的に進行しても検知できない状態が生まれます。たとえばIdPと端末管理基盤が別々に動作し、端末の健全性を認証時に参照できない設定になっていれば、マルウェアに感染した端末からのアクセスを認証が許可してしまいます。
設計フェーズでのミスは、運用開始後に発覚した場合の対処コストが大きくなります。ポリシーの再設計・製品の再設定・関連システムへの影響調査が一括で必要になるためです。セキュリティアーキテクトが不在のまま進めたプロジェクトでこうした手戻りが発生するケースは、実務上めずらしくありません。
ゼロトラスト設計に求められる技術領域
セキュリティアーキテクトがゼロトラスト設計を担うためには、以下の技術領域を横断的に理解している必要があります。
- クラウドサービス(AWS・Azure・GCP)のIAM(Identity and Access Management)設計
- ネットワーク設計(VPN・SD-WAN・ZTNA:Zero Trust Network Access)
- エンドポイントセキュリティ(EDR・MDM・OSポリシー管理)
- 認証プロトコル(OAuth 2.0・SAML・OpenID Connect)
- ログ収集・SIEM運用(各種製品のAPI連携・インジェストルール設計)
これほど広い技術範囲を実務レベルで把握しているエンジニアは、市場における絶対数が少ないのが現状です。IPAや経済産業省もセキュリティ専門人材の不足がDX推進を阻害していると指摘しています*1。
採用が難しい理由 — 希少・広域・育成コストの三重苦
セキュリティアーキテクトの採用が難しい理由は、「人材の希少性」「求めるスキルの広域性」「育成に要するリードタイム」の3点に集約されます。
経済産業省「IT人材需給に関する調査」(2019年)では、高位シナリオで2030年に約79万人のIT人材不足が見込まれています*2。セキュリティ領域は中でも需要と供給のギャップが大きく、設計・方式策定を担えるアーキテクトレベルの人材はさらに少数です。
希少性:運用経験者だけでは補えない
SOCやCSIRTで運用経験を積んだエンジニアは一定数存在します。しかし「監視・対応の実務ができる」ことと「設計・方式策定ができる」ことは別のスキルです。運用経験をベースに設計能力を身につけるには、複数のプロジェクトで上流工程に関わる実務経験が必要で、育成には年単位の時間がかかります。
広域性:一人で横断できる人材が少ない
ゼロトラスト設計では、クラウド・ネットワーク・エンドポイント・認証・ログ解析の5領域を横断的に扱う必要があります。多くのエンジニアはいずれかの領域に専門特化しており、全領域を実装レベルで把握している人材は少ないです。採用市場において、こうした横断型の人材は求人倍率が高く、提示できる年収水準も高くなりがちです。
育成コスト:即戦力が少なく社内育成も難しい
中途採用で即戦力を確保しようとすると採用競争が激しく、時間とコストがかかります。一方、社内育成を選択する場合も、研修費用・資格取得支援・OJT期間中の人件費など相応の投資が必要です。実務的な設計能力が定着するまでには、育成開始から一年を超えるリードタイムを想定する必要があります。
外部支援で補う3つのモデル:設計伴走・アドバイザリ・委託
採用が難しい場合でも、外部支援を活用することでセキュリティアーキテクトの役割を補うことができます。主なモデルは「設計伴走」「アドバイザリ」「委託」の3つです。それぞれ委託できる範囲と自社に残る作業が異なります。
| モデル | 概要 | 自社に残る作業 | 向いているケース |
|---|---|---|---|
| 設計伴走 | 外部アーキテクトがプロジェクトメンバーとして参画し、自社エンジニアと共同で設計を進める形態です。 | 意思決定・承認・社内調整。 設計作業は外部主導で進みます。 |
社内に設計を理解できるエンジニアが一定数いるが、アーキテクチャ判断の最終責任者がいないケース。 |
| アドバイザリ | 外部の専門家が設計方針・製品選定・レビューに関して助言する形態です。実作業は自社で行います。 | 設計実作業・ドキュメント化・実装。 外部はレビューと助言に限定されます。 |
社内に設計を担えるエンジニアがいるが、知識のアップデートや第三者視点での検証を求めるケース。 |
| 委託 | セキュリティアーキテクチャの設計・文書化・PoC(概念実証)まで一括して外部に委託する形態です。 | 要件定義・承認・最終確認。 設計の実行は外部が担当します。 |
社内にセキュリティ設計の知見がほぼなく、まず土台を作ることを優先するケース。 |
3つのモデルの中で最も一般的に活用されているのが「設計伴走」です。外部の専門家が社内チームと共に動くため、設計知識が社内に蓄積されやすく、プロジェクト終了後の内製移管に向けた基盤が整いやすいというメリットがあります。
外部支援を選ぶ際に確認すべき3点
外部支援パートナーを選定する際は、以下の3点を優先して確認することをお勧めします。
- 実績領域の一致:ゼロトラスト設計の支援実績があるか、特にクラウド環境(AWS・Azure・GCP)での設計経験があるかを確認します
- ドキュメント納品の範囲:設計書・方式書・ポリシードキュメントが納品物として定義されているかを確認します。成果物が曖昧なまま委託すると、社内への知識移転ができません
- 内製移管のロードマップ:支援終了後に自社エンジニアが設計を引き継げる体制を、契約段階から明確にしておきます
進め方の4ステップ:現状評価→方式設計→PoC→内製移管
セキュリティアーキテクト不足を外部支援で補いながらゼロトラスト設計を進める場合、以下の4ステップが実務上の標準的な流れです。
- 現状評価(アセスメント):現在の認証基盤・端末管理・ネットワーク構成・ログ収集の状態を棚卸しし、ゼロトラスト実装に向けたギャップを特定します。外部支援パートナーと共同でアセスメントシートを作成することで、設計の出発点が明確になります。
- 方式設計(アーキテクチャ策定):ギャップを埋めるための設計方針・製品選定・統合仕様を定めます。この段階が本記事の核心であり、セキュリティアーキテクトの専門性が最も求められるフェーズです。外部アーキテクトが主導し、自社の承認者が意思決定します。
- PoC(Proof of Concept・概念実証):本番移行前に限定環境で設計の検証を行います。複数製品の連携動作・ポリシーの適用範囲・例外処理を確認し、設計の修正箇所を特定します。
- 内製移管:PoC後の本番展開と並行して、外部アーキテクトが担っていた設計・運用判断の業務を自社エンジニアへ移管します。引き継ぎドキュメントの整備と、OJT形式での知識移転を組み合わせて進めることが大切です。
4ステップを通じて重要なのは、最初から「完全内製化」を目標に設定しないことです。まず外部支援でゼロトラストの土台を作り、そのうえで段階的に自社能力を高める順序が、現実的な進め方として機能します。
内製採用と外部活用の比較
「採用で確保する」か「外部支援を活用する」かを判断する際の参考として、以下に主要な観点を整理します。
| 観点 | 内製採用 | 外部支援活用 |
|---|---|---|
| スピード | 採用活動から即戦力化まで年単位のリードタイムがかかります。 | 契約後すぐに設計に着手できます。 |
| コスト | 採用費・人件費・研修費が継続的に発生します。 | プロジェクト単位でのスポット契約も可能で、固定費を抑えられます。 |
| 知識の蓄積 | 在籍し続ける限り、組織に知識が蓄積されます。 | 契約終了後の引き継ぎ体制を明確にしておく必要があります。 |
| 採用リスク | 市場での競争が激しく、採用できないリスクがあります。 | 専門パートナーに依頼することで人材確保の不着実性を回避できます。 |
| 組織への浸透 | 社内ポリシーや既存システムへの理解が深まりやすいです。 | 初期はオンボーディングに時間がかかります。 |
| 向いている局面 | 中長期で自社にセキュリティ設計能力を持ちたい場合。 | 直近のゼロトラスト実装を推進したい場合や、まず設計基盤を作りたい場合。 |
どちらかを選ぶ「二択」である必要はありません。当面は外部支援でプロジェクトを進めながら、並行して採用・育成活動を続けるハイブリッドな進め方が、多くの企業に合っています。
委託時の注意点:機密管理・責任分界・内製移管
セキュリティアーキテクチャの設計は、自社のシステム構成・ポリシー・脆弱性に関する機密情報を扱います。外部支援を活用する際は、以下の3点を契約段階で明確にしておくことが大切です。
機密管理:開示情報の範囲と管理手順を定める
設計作業では、現行ネットワーク構成図・IAMポリシー設定・認証フローの詳細が共有されます。NDA(秘密保持契約)の締結は前提として、共有する情報の範囲を最小化する原則(最小権限の考え方)をパートナー側にも適用します。アクセス制御・通信の暗号化・作業終了後のデータ削除手順を確認します。
責任分界:設計ミスが発生した場合の帰責を明確にする
設計の瑕疵(かし)がのちのインシデントにつながった場合の責任の所在を、契約書に明記します。特に「提案通りに実装した結果として生じたリスク」の帰責区分を、発注側と受注側の双方が理解した状態で合意することが大切です。
内製移管:引き継ぎ成果物を契約に含める
外部支援終了後に自社で設計を維持できる状態にするために、設計書・方式書・ポリシードキュメントを納品物として契約に含めます。さらに、自社エンジニアへの引き継ぎセッション(レビュー・Q&A)の実施回数を契約に盛り込むことで、知識移転を着実にします。
まとめ:セキュリティアーキテクト不足に対処する3つの判断軸
本稿ではセキュリティアーキテクトの役割・ゼロトラスト設計に必要なスキル・採用難の背景・外部支援の活用方法を整理しました。要点を3つに集約すると次のとおりです。
第一に、セキュリティアーキテクトは「監視・対応」ではなく「設計・方式策定」を担う職種であり、SOCやCSIRTとは役割が根本的に異なります。まずこの区別を明確にし、自社で不足しているのが運用力なのか設計力なのかを特定することが出発点です。
第二に、ゼロトラストは複数技術の統合設計が前提であり、製品を購入するだけでは成立しません。設計を担える人材が不在のまま製品導入を進めると、後工程での手戻りが大きくなります。
第三に、採用が難しい場合でも「設計伴走・アドバイザリ・委託」の外部支援モデルを活用することで、ゼロトラスト設計を前進させることができます。外部支援で土台を作り、段階的に内製移管するアプローチが現実的な進め方です。
よくある質問
セキュリティアーキテクトとセキュリティエンジニアの違いは何ですか?
セキュリティアーキテクトは「何をどう守るか」という設計・方式策定が主な職責です。セキュリティエンジニアは設計を実装・運用する役割を担います。規模の大きな組織では両者を分担しますが、中堅企業ではアーキテクト的な判断も担えるエンジニアをシニアポジションで確保するケースが多いです。
ゼロトラスト設計の外部支援はどの程度の期間・規模になりますか?
プロジェクトの規模や現状のシステム複雑度によって異なります。現状評価から方式設計・PoCまでを外部支援で進める場合、数か月から半年程度の期間を見込むケースが多いです。ただし費用・期間の目安は組織規模や対象システムの範囲に大きく依存するため、まずアセスメントから始めることで見積もりの精度が高まります。
外部支援が終わった後、自社で設計を維持するにはどうすればよいですか?
外部支援の契約段階で、設計書・方式書・ポリシードキュメントを納品物に含めることが大切です。また、引き継ぎセッションを複数回設定し、自社エンジニアが設計の意図と変更手順を理解した状態で終了することをお勧めします。社内に設計を担える人材が育つまでの間は、スポット的にアドバイザリ契約を継続する選択肢もあります。
SOCやCSIRTとセキュリティアーキテクトは同時に必要ですか?
役割が異なるため、両方の機能が必要です。ただし優先順位は自社の状況によって変わります。ゼロトラスト設計がない状態でSOCを強化しても、守るべき設計の穴から攻撃が進む可能性があります。まず設計(アーキテクチャ)を整備し、そのうえで監視・対応体制(SOC/CSIRT)を整えるという順序が、セキュリティ対策の費用対効果を高めます。
セキュリティアーキテクトの確保に役立つ資格はありますか?
設計能力を証明する代表的な資格として、CISSP(Certified Information Systems Security Professional:情報システムセキュリティの国際資格)や、クラウドベンダーのセキュリティ専門資格(AWS Security Specialty・Azure Security Engineer等)があります。ただし資格はスキルの一指標であり、実際の設計業務経験と合わせて評価することが大切です。
著者:テレリモ総研編集部 鈴木 亮佑
ご不明な点はお問い合わせフォームからもご連絡いただけます。
- *1 出典:IPA(独立行政法人情報処理推進機構)「IPA 情報処理推進機構」(各種公表資料)
- *2 出典:経済産業省「IT人材需給に関する調査」(2019年)
