ここから本文です

東京電機大・安田学長に聞くセキュリティ人材育成論

ITmedia エンタープライズ 10/13(木) 17:46配信

 サイバー攻撃など顕在化している脅威への対策から、IT活用による将来の成長に向けた安全の実現に至るまでセキュリティの必要性が方々で叫ばれるものの、セキュリティを担う人材が足りないともいわれ続けている。この課題の本質や解決の道筋について、セキュリティ人材の育成に取り組む東京電機大学の安田浩氏、国際電子ビジネス専門学校の淵上真一氏、情報セキュリティ資格の国際団体(ISC)2の小熊慶一郎氏に話を聞いた。

【その他の画像】

●人材不足の本質とは?

 セキュリティ人材の不足が指摘される発端は、情報処理推進機構(IPA)が2012年に公表した「情報セキュリティ人材の育成に関する基礎調査」の報告書だ。報告書では、従業員100人以上の企業で約23万人が情報セキュリティ業務に従事する一方、2万人強の人材が不足し、業務従事者の半数以上がスキル不足とされた。セキュリティ人材は、数も質も足りていないという。

 企業では情報漏えいやシステム障害などをもたらすサイバー攻撃などの脅威が喫緊で対処すべき経営リスクに挙げられ、セキュリティ脅威に強い組織づくりを担う人材の獲得が急務になっている。政府ではIT先端国家の実現にセキュリティが欠かせないとして、企業への取り組みを要請すると同時に、人材育成をはじめとするさまざまな施策を打ち出す。

 日本のIT先端国家実現では、よく2020年の東京五輪が直近の目標年次に挙げられる。安田氏の試算によれば、2012年のロンドン五輪では約2億2100万件のサイバー攻撃が検知されたが、東京五輪では約320億件の攻撃が予想されるという。日本のセキュリティでは人材不足、国産技術の発展、セキュリティ意識向上が課題としてあり、中でも上述の背景から人材需要への対応が急がれている。

 セキュリティの人材不足について淵上氏は、「人数不足ばかりが話題になり、具体的なニーズに基づく人材育成に向けた議論がなされていない」と指摘する。そうした論調は、例えば、「ホワイトハッカーを大量育成へ!」といった見出しのニュースが時折報じられたり、「ホワイトハッカーを雇って対策すれば」と企業経営者がコメントしたりするシーンでも見られる。

 淵上氏によれば、高度なセキュリティ技術を持つホワイトハッカーの育成は課題であるものの、それ以上に企業ではセキュリティとマネジメントに詳しい人材が必要とされている。このため東京電機大学や国際電子ビジネス専門学校は、(ISC)2のセキュリティ資格をもとにしたカリキュラムを組み、セキュリティ人材を目指す社会人や学生の育成に取り組んでいる。

 (ISC)2のセキュリティ資格には、「CISSP」(認定情報システムセキュリティプロフェッショナル)や「SSCP」(システムセキュリティ認定士)、「CCSP」(認定クラウドセキュリティプロフェッショナル)があり、いずれも国際的な資格として認知されている。小熊氏によると、有資格者は世界160カ国で11万人強に上り、国内では1578人(2016年10月1日現在)が認定を受けている。

 有資格者が1000人を超える国・地域は、日本の他に米国や英国、カナダ、韓国、シンガポール、香港など12あるものの、安田氏は「人口比でみると日本の有資格者は少ない」と指摘する。有資格者が少ない根底には、「日本はセキュリティへの関心が低く、必要性を考えてこなかった。そのため脅威を防御できる人材がそもそもいない」と話す。

●どんなセキュリティ人材が必要か

 安田氏によると、企業がセキュリティの脅威へ対応するには、技術でサイバー攻撃を防御することもさることながら、組織全体で対応能力を高める必要がある。推進役となる人材には、セキュリティ分野を広くカバーした知識や理解と、人や組織をマネジメントしていくスキルや知見が求められるという。

 こうした人材育成を目的に東京電機大は、2015年度に「国際化サイバーセキュリティ学特別コース」(CySec)をスタートさせた。防御技術や調査・解析、システム設計・開発などの技術面とサイバーセキュリティの基礎やマネジメント、ガバナンスを学ぶ6コース90講座からなり、サイバーセキュリティの基礎を学ぶコースで(ISC)2のプログラムを取り入れている。

 履修登録者は社会人が毎回40人ほど、学生が40人~80人ほどで、20人前後の社会人が修了認定を受けている。修了者の多くは企業のITエンジニアなど30~40代で、中には50代以上の税理士もいるという。

 また国際電子ビジネス専門学校は、(ISC)2の教育機関向けプログラム「国際アカデミックプログラム(IAP)」を2015年度に日本で初めて導入し、情報スペシャリスト科の4年制課程に認定資格取得のための講座を実施している。20人の受講生はまだ在学中だが、既に複数の企業から入社の要請を受けている生徒もいるという。

 淵上氏は、「技術とマネジメントについてバランスの取れたセンスを持つ若い人材を育成していくために、全国の高等教育機関に先駆けてIAPを導入した」と話す。

●セキュリティ資格者が企業を救う?

 小熊氏によれば、国内の(ISC)2有資格者のほとんどはセキュリティ専業のITベンダーに所属しているが、最近では非IT業種の企業に転職して活躍する人材が徐々に増えつつある。

 企業ではCSIRT(コンピュータセキュリティインシデント対応チーム)の構築などに取り組む動きが広まり、CISSPなどの資格を持つ人材が平時のセキュリティ啓発などやインシデント発生時の対応にあたる体制づくりの中心的な役割を担っているという。「米国などでは企業間取引にCISSP保有者の設置を求められる場合が多く、国内でも同様の動きが広がり始めた。今後は企業のビジネスでセキュリティ資格が必須になっていくのではないか」(小熊氏)

 安田氏は、将来的にセキュリティ資格を持つ人材が税理士や弁護士と同じように、企業から求められる専門家になるべきとも話す。ただ、「セキュリティ資格者が他の専門職と異なるのは、ITは技術が日進月歩で進化するために常に新しい知識を習得しなければならない点にある。いったん資格を取得すればいいというものではなく、CISSPなどを保持するには継続的に教育を受けないといけない」という。

 数も質も足りないとされる日本のセキュリティ人材の課題解決に向けた取り組みは、まだ始まったばかり。企業がセキュリティを強化していく上では、自社が目指すべき具体的な方策やそれを推進していく人材像や育成について取り組むことが求められそうだ。

最終更新:10/13(木) 17:46

ITmedia エンタープライズ