Shoeisha Technology Media

資格Zine(しかくジン)

記事種別から探す

専門企業ラックのエキスパートがずばり指摘! 情報セキュリティ人材が育たない背景と育てるために改めるべきこと

  • LINEで送る
  • このエントリーをはてなブックマークに追加

 「教えられる人がいない」――来る東京オリンピックに備え、育成が急務とされる情報セキュリティ人材。最も不足している現場は、実はIoTや自動車、制御系などの産業分野だと、株式会社ラック 理事 ITプロフェッショナル統括本部 サイバーセキュリティ事業部 長谷川長一氏は明かす。本稿では、情報セキュリティの講師・教育コンサルタントである同氏に、情報セキュリティ専門会社の視点から、情報セキュリティ人材を取り巻く状況と、人材育成を阻んでいる問題、これから情報セキュリティ人材を目指す人へのアドバイスなどを聞いた。

各産業で情報セキュリティ人材不足を解消できない大きな理由

――情報セキュリティ人材の不足が叫ばれて久しいですが、現状はどうなのでしょうか。

 個人的には、世間で言われているほどの不足感は覚えていません。人数的不足というより、質とミスマッチの問題だと考えています。今、いろいろな分野で情報セキュリティが必要になっていますが、情報通信、金融、政府・行政サービスなど政府機関がいう重要インフラ分野に人材が偏っていて、IoT、自動車、制御といった産業システムでは欲しいところに質の高い人材を担保できていません。人材不足と言われる最大の理由は、自分たちで育成できない、教育をしても数年で異動させてしまうなど、人材を維持できていないことにあると思っています。

株式会社ラック 理事 ITプロフェッショナル統括本部 サイバーセキュリティ事業部 長谷川長一氏
長谷川長一氏
株式会社ラック サイバーセキュリティ事業部 理事。JNSA教育部会WGリーダー。東京電機大学CySec(サイバーセキュリティ国際化コース)講師。CISSP。その他、CompTIA、(ISC)2などのIT関連資格団体で、情報セキュリティ教育に携わっている。

――自動車や制御などの分野ではセキュリティ人材を育成することが難しい?

 「情報セキュリティ分野の人がそういった分野の人に教えればよい」とよく言われますが、それは現実的にはあり得ない話です。産業分野によって業務やシステムの内容はまったく異なるからです。その分野の知識や技術、経験がないところにセキュリティを載せようとしても現実味がありません。

 例えば、自動車分野なら、自動車に組み込まれるシステムの知識や技術、経験を得たうえで、セキュリティを学ぶ必要があると思います。アプリケーション開発でも、スマートフォンやタブレットなどのモバイル端末向けの場合、PCとは異なる知識・技術が必要になる場面が多々ありますよね。その分野の知識・技術がなければ、中身がまったく分からず完全なブラックボックス状態でセキュリティ対策をすることになり、効果はまったく期待できません。

――お城の本丸の状態が分からないのに、お城の周りを守りなさいというようなものですね。

 そうですね。最近、「セキュリティ・バイ・デザイン」が推奨されています。システムの企画や設計の段階から情報セキュリティを組み込んでいきましょう、という考え方です。しかし、実際には多くの企業が、情報セキュリティの技術や人材を後付けしようとしている。このようにミスマッチの問題がある限り、情報セキュリティ分野で何万人もの人材を育成しても、不足感は解消されないでしょう。量の問題ではないのです。

――自動車や制御などの分野ではセキュリティ人材の育成は進んでいないのでしょうか。

 制御システムに関しては、CSSC(Control System Security Center:技術研究組合制御システムセキュリティセンター)という経済産業大臣認可の機関で、セキュリティ人材の育成が行われています。しかし、各分野の知識・技術とセキュリティの両方が分かる人は本当に少ないです。技術や知識があっても経験がある人がいない。経験がないと実務的なことは教えられません。教える側にそういった人材がいないと、教育はなかなか浸透しません。

――自分の分野とセキュリティの両方に精通している人材は少ない?

 非常に限られていますね。そして、教えられる人はもっと少ない。さらに、教える体制がない。そこが最大のボトルネックだと思っています。

 以前の「ワンストップ」サービスの時代には、セールス部門以外が他社製品について知る必要はありませんでした。エンジニアに対しても、自社の製品やサービスに関してのみ教育をしておけばよかった。しかし、モバイルやクラウドの時代になった現在、社内システムも外部にデータセンターを置くなど自社内だけで完結している状態ではなくなり、さまざまな知識・技術が求められるようになってきています。そういった状況下で教育をしていかなければならない難しさもありますね。

――確かに、そういった中でセキュリティ教育を行っていくのは大変です。

 あと、弊社のように情報セキュリティに携わっている会社なら、セキュリティのすべてを教えられると誤解されていることも多い。それは、高校教師ならすべての科目を教えられると言っているようなものです。

 「サイバー攻撃に対抗するトップガンやホワイトハッカーを育ててほしい」という要望を受けることもあります。ホワイトハッカーという言葉は抽象的で、実際にはどのような職種なのか、どのような役割を担うのか分かりません。いわゆるセキュリティエンジニアがそれに相当しますが、その中でもセキュリティ監視、インシデント対応、脆弱性診断というように、役割は多岐にわたります。業務や役割に応じて育てていかなければなりません。


  • LINEで送る
  • このエントリーをはてなブックマークに追加

著者プロフィール

  • 坂井 直美(サカイ ナオミ)

    SE、通信教育講座の編集、IT系出版社の書籍編集を経てフリーランスへ。IT分野で原稿を書いたり編集したり翻訳したり。

  • 市古 明典(資格Zine編集長)(イチゴ アキノリ)

    うさぎ化してますが、1972年の子年生まれ。宝飾店の売り子、辞書専門編集プロダクションの編集者(兼MS Access担当)を経て、2000年に株式会社翔泳社に入社。月刊DBマガジン(休刊)、IT系技術書・資格学習書の編集を担当後、2014年4月より開発者向けWebメディア「CodeZine」の編集に参加。資格学習書と開発者向けWebメディア両方の経験を活かして、ITエンジニアのスキルアップを支援できればと思い「資格Zine」を立ち上げた。なお、9月から翌年2月まではNFL観戦のため、常時寝不足。

バックナンバー

連載:2017年2~3月特集「情報セキュリティ人材の需要 最新動向」
All contents copyright © 2015-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.0