Japan
サイト内の現在位置を表示しています。
サイバーセキュリティ人材育成の現実
座談会~その成功のカギはどこにあるのか~特定の企業や組織を狙い撃つ「標的型サイバー攻撃」の被害が世界中で急増しています。あらゆるモノがインターネットでつながるIoT時代では、サイバー攻撃の被害は一企業に止まらず社会全体に多大な影響を与える恐れすらあるのです。
NECはお客さまの重要な情報資産やシステムを守るため、長年にわたり多層的かつ動的なサイバーセキュリティ対策の維持・向上を図ってきました。その体制強化への取り組み、さらには高度なサイバーセキュリティ人材をどのように育成してきたのかを、最前線のキーマンたちが語ります。
サイバーセキュリティ人材は一日にして成らず
先駆者たちが語る人材育成の最前線
サイバー攻撃が日々巧妙化する中、NECでは製品・システム・サービスのセキュリティ対応力を高め、さまざまな領域でお客さまの安全・安心に貢献するため、セキュリティ人材の育成に力を入れてきた。セキュリティの黎明期、何のロールモデルもない時代から人材育成の体系化に力を注いできた谷川哲司と田上岳夫に、これまでの人材育成の重要性やポイントなどについて話を聞いた。
脅威を仕掛けるのも人
対策するのも人
兼サイバーセキュリティ戦略本部
主席セキュリティ主幹
谷川 哲司
世界中でサイバー攻撃による被害が拡大している。現在、さまざまな観点でサイバーセキュリティ対策を強化していく必要がある。特にその中でも急務だといわれるのがサイバーセキュリティに特化した人材育成だ。その背景についてNEC 経営システム本部兼サイバーセキュリティ戦略本部の主席セキュリティ主幹 谷川 哲司は次のように語る。
「近年多発している標的型攻撃、不正アクセス、サービス妨害攻撃といった悪質なアタックは、従来のようにファイアウォールを立てたり、攻撃パターンに合わせたセキュリティパッチを当てるといったレベルでは到底防ぐことができません。攻撃手法がダイナミックに変化しているからです」
それを補うために企業のIT部門やCSIRT(Computer Security Incident ResponseTeam)は日々、効果的な防御策に向けて、インテリジェンス(情報)の収集や攻撃手法の解析・把握、原因究明に向けた活動を行っている。
「セキュリティのスペシャリストには、情報収集から診断、監視、インシデントレスポンス、フォレンジック・解析など、一般的なIT技術者とは異なる特殊なスキルが求められます。また、知識や能力も攻撃者と同等レベルまで高めていかなければ防御しきれません。サイバーセキュリティに特化した人材が必要とされる理由はそこにあります」(谷川)
サイバー攻撃には必ず「攻撃者」が存在する。手の内を見せず、常に相手の裏をかくような攻撃に対処するには、やはり技術と情報を駆使して臨機応変に対抗できる「守護者」が必要になってくる。脅威を仕掛けるのも人間、対策するのも人間という意味で、最終的には技術や情報に加え、人材の質が重要なポイントになってくるわけだ。
「サイバーセキュリティ経営ガイドライン」も指摘する人材の重要性
兼 サイバーセキュリティ戦略本部
シニアエキスパート
田上 岳夫
2015年12月に経済産業省とIPA(独立行政法人 情報処理推進機構)が共同策定した「サイバーセキュリティ経営ガイドライン」(以下、経営ガイドライン)でも、セキュリティ人材を育成することの重要性がうたわれている。
具体的には、サイバーセキュリティが「経営問題」であると明示した上で、経営者が認識すべき内容として、(1)セキュリティ対策におけるリーダーシップの発揮、(2)サプライチェーンを含めた事業体全体を見渡した対応の実施、(3)情報開示・共有などの適切なコミュニケーションが必要であることが「三原則」として記載されている。
「サイバー攻撃が年々激化する中で、実際には高度なスキルを持ったサイバーセキュリティ人材の確保が難しい現状があります。だからこそ経営者は、こうした人材の必要性を明確に理解し、活躍できるキャリアパス、人材育成のための仕組みや制度を構築していかなければならないと国が指摘しているわけです」とNEC 経営システム本部 兼 サイバーセキュリティ戦略本部 シニアエキスパートの田上 岳夫は説明する。
経営者と実務者とをつなぐ「橋渡し人材」
ただ、誰しもがサイバーセキュリティ人材になれるわけではない。サイバー攻撃は海外からの攻撃である場合が多く、日本の警察権力が及ばない場所から予測不能な複合的攻撃をしかけてくる。「そういった複雑で高度な攻撃の全体像を俯瞰して見ながら、技術面でも細かく対応できる知識と感性、さまざまなプレッシャーに負けずに対処法を見出していく強い意志と情熱。これらを備えていることが、サイバーセキュリティ人材の必要条件だと思います」(谷川)。
また、一言でサイバーセキュリティ人材といっても、実はいくつかの種類が存在する。NECでは、サイバーセキュリティの専門知識と攻撃への対処スキルを持つ実務者を「セキュリティ技術者」と定義。なかには、広範なIT知識と解析技術によってさまざまなサイバー攻撃を食い止める「アナリスト」や、突出したスキルを持つ「トップガン」も含まれる。
さらに、セキュリティ技術者のリーダー役として、マネジメント能力やコンサルティング能力を備え、経営者と実務者との橋渡しをする「橋渡し人材」もいる。これは国の指針や経営ガイドラインでも示されている人材層だ。
「サイバーセキュリティの考え方を経営全般で活かすためには、経営者と実務者が双方で、サイバーセキュリティに関する課題や解決の方向性を共有しなければなりません。そこで橋渡し人材は、経営者やCISO(Chief Information Security Officer)が理解できる言葉で、自社が抱えるリスク状況を説明したり、現場の課題を踏まえたセキュリティ投資を提案したり、あるいは経営層の意思を現場に反映させるといった役割を担います」(田上)
ITとセキュリティの高度な知識、経営とマネジメントのスキルをトータルに備えた能力が必要となるため、その育成にはかなりの時間と環境整備が必要になるという。
ハイブリッドな人材を早くから育成
それでは、セキュリティ事業を大きな柱としているNECでは、どのような方法で人材育成を行ってきたのだろうか。
「古くからセキュリティに対する技術開発は行ってきましたが、大きな転機となったのは、サイバーセキュリティ対策の司令塔的な役割を果たすCSIRTを2002年7月に立ち上げたこと。そこから社内に潜む脆弱性情報の収集や管理、技術や経験の蓄積、外部機関との連携といった取り組みが始まりました」(谷川)
同時にNECでは、CSIRTの人員や体制も着実に強化していった。特に2011年以降は標的型攻撃が一気に増加し、攻撃を検知しても対応するための要員が足りない状況になってきた。そこでCSIRT活動に必要な専門技術の能力をスキルマップとして定義し、グループ会社からも高度なスキルを持った人材を積極的に募りながら、プロフェッショナルなセキュリティ人材の育成に向けた取り組みを加速してきたのである。
