【報告】パネルディスカッション「標的型攻撃が増大 !! 今、求められるセキュリティ人材とは」

2012年11月29日、「OGCシンポジウム2012～スマートジャパン実現に向けて」が霞が関プラザホールで開催された。そこで行われたパネルディスカッション　「標的型攻撃が増大!!　今、求められるセキュリティ人材とは」を報告する。
システムのオープン化、ネットワーク化が進展するとともに、企業情報システムを標的としたセキュリティインシデントの増加が危惧されている。企業、そして国を挙げて、どのように対応すべきか。情報セキュリティ人材の必要性を確かめるとともに、人材育成における課題、組織のあり方をめぐり、パネリストがディスカッションを繰り広げた。

[パネリスト]　（敬称略）
江口純一
経済産業省　商務情報政策局　情報処理振興課長

平山孝雄
株式会社シマンテック総合研究所
サイバーディフェンスアカデミー校長

山崎文明
ネットワンシステムズ株式会社
情報セキュリティ担当フェロー

樂満俊幸
ＮＥＣラーニング株式会社
テクノロジー研修事業部　エキスパート

[ファシリテータ]
大城　卓
新日鉄住金ソリューションズ株式会社
社会公共ソリューション事業本部　取締役本部長

情報セキュリティ人材がなぜ、いま必要なのか

「セキュリティ対策を講じる一般企業の立場から言えば、インシデント対応に、これまで以上に高い専門性が必要だ。特に、攻撃された事実にさえ気付かないように密かに情報システムに入り込むような、手法の巧妙化、隠蔽化が深刻化している」と、新日鉄住金ソリューションズ株式会社社会公共ソリューション事業本部　取締役本部長の大城卓氏は、高度な知見を有する情報セキュリティ人材の必要性を指摘する。

経済産業省商務情報政策局情報処理振興課長の江口純一氏も、「『不特定多数のシステムにウイルスをまき散らして、スキルをひけらかす』といった愉快犯型が減り、昨今は、明らかに情報窃取を目的とする、特定システムに狙いを定めた確信犯型の手口が急増している。適切な情報セキュリティを整備するには、情報システム、業務設計、ビジネスモデル設計の段階からビルトイン型の情報セキュリティ対策を行うことが重要だ」と述べた。このように脅威の質、対策の方向性が見直しを迫られる中で、情報セキュリティ人材のあるべき姿が問い直されている。

江口氏は、「セキュリティの専門知識に加えて、ビジネスやシステムのライフサイクル上全ての段階で総合的な視点を持つことが望ましい」と人材像を描く。

NECラーニング株式会社　テクノロジー研修事業部　エキスパート樂満俊幸氏は、「網羅的なスキルを持っていること、テクノロジーやマネジメントに加えて、コミュニケーションやヒアリング、資料作成の能力といったヒューマンスキルを備えていることが不可欠だ」と述べた。

セキュリティ人材の育成における課題とは

そのようなセキュリティ人材の育成における実態はどうなっているのか。

樂満氏が紹介した「IPA主催情報セキュリティ人材育成検討委員会」調査結果（ http://www.ipa.go.jp/security/fy23/reports/jinzai/index.html ）によれば、情報セキュリティ人材の育成が必要と考える企業は回答者全体の7割を越えるものの、具体的な育成の取り組みをしていない、と回答した企業が4割以上に達した。「対策費が割高に思える、費用対効果が見えにくい、経営層の意識の低さ、他の業務部門に人材を優先的に割り当てる、などが主な理由だった」と樂満氏は説明する。

海外における人材育成の取り組みはどうか。進んでいるのが、米国だ。
ネットワンシステムズ株式会社情報セキュリティ担当フェローの山崎文明氏は、「米国国土安全保障省（DHS）をはじめ政府および軍が連携して情報セキュリティ人材のエリートを育成している。陸海空のサイバー部隊のチームを攻守に分けた対抗戦といった実践と座学を組み合わせて教育効果を高めているのが特徴。また、突出した人材だけでなく、一般国民に対しても大統領自ら、サイバーセキュリティの重要性について国民に向けてメッセージを発信するなど、サイバーセキュリティに関する実装対策基準の創設等との取り組みと併せてベースラインを高めていく啓発活動が行われている」と説明した。

海上自衛隊、米太平洋艦隊勤務経験などを有する株式会社シマンテック総合研究所サイバーディフェンスアカデミー校長の平山孝雄氏は、米国防総省（DoD）における人材育成を紹介した。「DoDでは、陸海空軍の情報システム部門を横断した統合的な訓練・人材育成を推進し、組織内では情報セキュリティに関する有資格者別に人材を配置している。実践的な人事戦略であり、日本の企業が情報人材の育成・配置する上でも参考になるだろう」と語った。

セキュリティ人材を生かす組織のあり方を問う

日本では、情報セキュリティ人材の育成もさることながら、組織内における十分な活用がなされていないことも大きな課題だ。

米国の事例を紹介した山崎氏は、「米国では、CIOを筆頭に、チーム体制で全社のセキュリティ対策に取り組んでいるのが特徴だ。経営の構造が日米では異なるので単純には比較できないとしても、日本でもまずは組織の中における情報セキュリティ人材の位置づけを明確にした体制作りに改めてほしい。特定の企業だけが情報セキュリティ水準を高めても、他の企業・団体が脆弱であれば、そこがさまざまな脅威を市場全体に拡散する役目を果たしてしまう恐れがある。網羅的なセキュリティ対策を国レベルで講じる大局的な視点が不可欠だ」と指摘する。

平山氏は、「米国の企業ではPCの社外持ち出しが容認されている。当社（シマンテック）もそうだ。VPNで接続し、家でも出張先でも接続し、仕事をできる状態が整っている。その代り、情報を紛失した際は退職さえ迫られるような体制が珍しくない。厳しいルールが徹底される半面で、情報セキュリティの有資格者の待遇は社内でも高く、全社的なガバナンスを統括している。中には、自身の評価が不満で他社に転職する有資格者さえいる。米国は国策として情報セキュリティの強化に取り組んでいるが、日本でも、企業・団体など組織全体での情報セキュリティ人材に対する評価、待遇を見直す意識改革が必要ではないか」と語った。

これを受けて樂満氏は「前述のIPAの調査結果を見ても、日本でもトップの意識変革や情報セキュリティ人材に対する待遇面での配慮を求める声があがっている。ただ、企業の自助努力だけでなく、減税や優遇措置といった、国からの支援も必要だ」との見解を示した。

江口氏は、「突出した情報セキュリティ人材については、官民協働セキュリティキャンプやCTF大会など情報セキュリティ関連コンテストを開催している。また、情報セキュリティ人材に係るスキル標準の整備や人材育成支援、さらに、情報処理技術者試験（情報セキュリティ関係）における出題内容などについても、国として引き続き検討していく」と語った。

（文責・柏崎吉一／エクリュ）