各産業で情報セキュリティ人材不足を解消できない大きな理由
――情報セキュリティ人材の不足が叫ばれて久しいですが、現状はどうなのでしょうか。
個人的には、世間で言われているほどの不足感は覚えていません。人数的不足というより、質とミスマッチの問題だと考えています。今、いろいろな分野で情報セキュリティが必要になっていますが、情報通信、金融、政府・行政サービスなど政府機関がいう重要インフラ分野に人材が偏っていて、IoT、自動車、制御といった産業システムでは欲しいところに質の高い人材を担保できていません。人材不足と言われる最大の理由は、自分たちで育成できない、教育をしても数年で異動させてしまうなど、人材を維持できていないことにあると思っています。
株式会社ラック サイバーセキュリティ事業部 理事。JNSA教育部会WGリーダー。東京電機大学CySec(サイバーセキュリティ国際化コース)講師。CISSP。その他、CompTIA、(ISC)2などのIT関連資格団体で、情報セキュリティ教育に携わっている。
――自動車や制御などの分野ではセキュリティ人材を育成することが難しい?
「情報セキュリティ分野の人がそういった分野の人に教えればよい」とよく言われますが、それは現実的にはあり得ない話です。産業分野によって業務やシステムの内容はまったく異なるからです。その分野の知識や技術、経験がないところにセキュリティを載せようとしても現実味がありません。
例えば、自動車分野なら、自動車に組み込まれるシステムの知識や技術、経験を得たうえで、セキュリティを学ぶ必要があると思います。アプリケーション開発でも、スマートフォンやタブレットなどのモバイル端末向けの場合、PCとは異なる知識・技術が必要になる場面が多々ありますよね。その分野の知識・技術がなければ、中身がまったく分からず完全なブラックボックス状態でセキュリティ対策をすることになり、効果はまったく期待できません。
――お城の本丸の状態が分からないのに、お城の周りを守りなさいというようなものですね。
そうですね。最近、「セキュリティ・バイ・デザイン」が推奨されています。システムの企画や設計の段階から情報セキュリティを組み込んでいきましょう、という考え方です。しかし、実際には多くの企業が、情報セキュリティの技術や人材を後付けしようとしている。このようにミスマッチの問題がある限り、情報セキュリティ分野で何万人もの人材を育成しても、不足感は解消されないでしょう。量の問題ではないのです。
――自動車や制御などの分野ではセキュリティ人材の育成は進んでいないのでしょうか。
制御システムに関しては、CSSC(Control System Security Center:技術研究組合制御システムセキュリティセンター)という経済産業大臣認可の機関で、セキュリティ人材の育成が行われています。しかし、各分野の知識・技術とセキュリティの両方が分かる人は本当に少ないです。技術や知識があっても経験がある人がいない。経験がないと実務的なことは教えられません。教える側にそういった人材がいないと、教育はなかなか浸透しません。
――自分の分野とセキュリティの両方に精通している人材は少ない?
非常に限られていますね。そして、教えられる人はもっと少ない。さらに、教える体制がない。そこが最大のボトルネックだと思っています。
以前の「ワンストップ」サービスの時代には、セールス部門以外が他社製品について知る必要はありませんでした。エンジニアに対しても、自社の製品やサービスに関してのみ教育をしておけばよかった。しかし、モバイルやクラウドの時代になった現在、社内システムも外部にデータセンターを置くなど自社内だけで完結している状態ではなくなり、さまざまな知識・技術が求められるようになってきています。そういった状況下で教育をしていかなければならない難しさもありますね。
――確かに、そういった中でセキュリティ教育を行っていくのは大変です。
あと、弊社のように情報セキュリティに携わっている会社なら、セキュリティのすべてを教えられると誤解されていることも多い。それは、高校教師ならすべての科目を教えられると言っているようなものです。
「サイバー攻撃に対抗するトップガンやホワイトハッカーを育ててほしい」という要望を受けることもあります。ホワイトハッカーという言葉は抽象的で、実際にはどのような職種なのか、どのような役割を担うのか分かりません。いわゆるセキュリティエンジニアがそれに相当しますが、その中でもセキュリティ監視、インシデント対応、脆弱性診断というように、役割は多岐にわたります。業務や役割に応じて育てていかなければなりません。
