必要とされる情報セキュリティ人材の育成 2014年情報セキュリティ最前線

2014/1/20  1/3ページ

2014年の情報セキュリティのカギとなる「人材育成」について、2013年11月20日に東京電機大学で話し合われたシンポジウム「グローバルで活躍するサイバーセキュリティ高度専門技術者育成のための研究討論会」を取材。登壇した経済産業省、内閣官房情報セキュリティセンターなどの官公庁、大学教授に話を聞いた。

求められる情報セキュリティ人材


 シンポジウムでは内閣官房情報セキュリティセンター(NISC)参事官の三角育生氏や、経済産業省商務情報政策局 情報セキュリティ政策室室長の上村昌博氏、同大教授の安田浩氏が登壇。標的型攻撃などのサイバー攻撃をはじめ、多様化・高度化するサイバーリスクに対応する「情報セキュリティ人材」の育成について議論が交わされていた。

東京電機大学で行われたシンポジウムの様子
東京電機大学で行われたシンポジウムの様子

 政府や企業・市民など様々な立場の団体・個人が共有しているサイバー空間。今や情報家電・自動車など、好む・好まざるに限らず共有されている状況だ。このサイバー空間の共有よって、我々の生活の効率化が進んでいるだけでなく、イノベーションや新しい価値を生み出されている。一方で開かれた空間には攻撃をされる隙も多くある。そのため、サイバー空間のセキュリティがこれまで以上に要求されるようになってきている。


 サイバー空間の「セキュリティ」のため、政府による様々な取り決めが行われている。2013年6月10日に行われた情報セキュリティ政策会議ではサイバー攻撃への対策強化を図る「サイバーセキュリティ戦略」が策定された。重要インフラなどの情報システムに関するインシデント認知・解析などの情報を産官学が共有し、サイバー攻撃に対して防御を高めていくことが確認されている。


 また国際間でもサイバーセキュリティに関する戦略の策定が進められている。2013年後半には日米サイバー対話が行われ、日・ASEAN情報セキュリティ政策会議が2013年9月に行われるなど、国際レベルでセキュリティの底上げが話し合われている段階だ。


 こうした戦略会議や国際間の連携が行われる背景には、標的型攻撃や、スタックスネットなどに見られる重要インフラに対するサイバー攻撃が多発していることが挙げられる。


強まるサイバー攻撃の脅威


 NISC内閣参事官の三角氏はシンポジウムで標的型攻撃の脅威について言及している。「標的型攻撃はいったん入り込むと、必ず一定の確率で、成功・着弾する。その後は、内部でクラッキング(システムの破壊・改ざん)が行われる」と三角氏は説明する。標的型攻撃では業務上開かざるを得ないような添付ファイルを送り、開いた瞬間に感染するという手法がよく見られる。

内閣官房情報セキュリティセンター(NISC)
内閣参事官 三角育生氏
内閣官房情報セキュリティセンター(NISC)
内閣参事官 三角育生氏

 また、最近では「水飲み場攻撃」も増えている。攻撃者は、ターゲットとなるユーザがよく見にいくWEBサイト(=水飲み場)に仕掛けを施し、ウイルスに感染させるという仕組みだ。


 このように標的型攻撃や水飲み場攻撃などで、官公庁や企業が狙われ、大規模な社会的混乱や直接的な影響をもたらすリスクが深刻化しているのが実情だ。


 そこでサイバーセキュリティに関する人材の育成が急務となっている。現在、日本国内に実際にセキュリティソフトの開発を行うエンジニアなどの「情報セキュリティ技術者」が約26.5万人存在する(IPA算出)。しかし26.5万人のうち、16万人は十分な技術力水準に達しておらず、そもそも26.5万人が十分な技術を保有していたとしてもまだ8万人の人材が不足している、とされる。


 この質的な不足(16万人)と量的な不足(8万人)を解決するために、SE(システムエンジニア)などIT技術者に対してセキュリティの観点を含むシステム設計やプログラミングなどの実質的な技術を教えていくことが急務だ。現在、日本国内で80万人いるとされるSE。このSEなどを中心に情報セキュリティ技術の教育を行っていくことで、情報セキュリティ技術者の人数の底上げにつなげられるというわけだ。


 具体的にはSEなどに対して情報セキュリティに関する能力向上のカリキュラムやコンテンツを準備し、情報セキュリティに関する資格制度をはじめとした実践的な人材育成を強化する。あらかじめ高度な開発技術を持つ人材についても、SECON(セキュリティコンテスト)などを行っていく。


 また、三角氏は重要インフラなど制御システムへのサイバー攻撃についても注目する。これまで制御システムは独自のものが多かったが、近年ではOSについてもWindowsが目立つようになるなど、システムの汎用化が進んでいるため、制御システムに対するサイバー攻撃の脅威が従来に比べて高まってきている。そのため重要インフラの制御システムに携わる情報セキュリティ人材についても、システム設計やプログラミングをマスターした人が必要されるというわけだ。


 さらに三角氏はグローバル水準以上の人の必要性を説く。国境を越えたグローバルな攻撃がされる以上、日本国内の議論をしても意味がないからだ。「人が育っても、経営者が情報セキュリティを経営戦略のなかでしっかり組み込んでいく必要がある」と三角氏。組織にとってのリスクは何か、日本の経営層は考えなければならないとしている。

>>制御システムに関する人材育成とは?


RPAツール・AIHH

【関連カテゴリ】

情報セキュリティ