セキュリティ人材が不足している昨今、人材育成は企業の急務となっている。BLUE 代表取締役の篠田佳奈氏は、いくつもの国際的なセキュリティ人材育成プロジェクトに関わり、そのなかで人が育つ場面を目にしてきた。技術の先にある“人”が育つ環境とはどのようなものなのか。
5月14日~15日に開催された「TECH+フォーラム ODEX併催 セキュリティ 2026 May. 未来を守るセキュリティ戦略会議」に同氏が登壇。「なぜ人が足りないのか。なぜ育たないのか。なぜ組織とコミュニティが噛み合わないのか。そして、AI時代に何が変わり、何が変わらないのか」と聴講者に問いかけたうえで、国際コミュニティでの経験を基に、人材育成の本質について語った。
-
CODE BLUE発起人である篠田佳奈氏が登壇
「セキュリティの人材不足」が意味するものは何か
昨今のAIの劇的な進化により、攻撃も防御も大きく変わってきている。AIによって攻撃のコストが下がり、専門知識を持たない初学者でも高度な攻撃が可能になった。防御側でもAIによる自動化が進んでおり、検知や対応のスピードが向上している。こうしたなかで、篠田氏は技術を使う人間はどうなっていくのかに目を向けている。
セキュリティ人材が不足しているとよく言われるが、同氏は「単に人数の話として片づけられるものではなく、その中身は混沌としている」と指摘する。人材が足りないと言っても、技術職が足りないのか、どの技術職が足りないのかがはっきりしていないことも多い。セキュリティを理解しているプロジェクトマネージャーが慢性的に不足しているという調査結果もあるが、企業がほしいスキルを定義できていない場合も少なくない。逆に若者側では、どんなにスキルを向上させてもAIに代替されるのではないかという不安がある。人材不足は、簡単に整理できる問題ではないのだ。
国際大会で目にした“人が育った”場面
篠田氏は、実際に“人が育った”場面をいくつか見てきた。その1つが、情報セキュリティの技術や知識を駆使して問題を解くコンテスト・CTF(Capture The Flag)の現場だ。世界最大級の規模のセキュリティイベント・DEF CONで開催されるCTFを筆頭に、世界のCTFでは人が変わる瞬間があると同氏は言う。それは、国際大会において、自分が世界に通用するのではないかと気付いた瞬間だ。「自分はイケるかもしれない」と気付いたときにスイッチが入り、目の色が変わって最新技術を貪るように学習するようになる。自発的な強い学習意欲が生まれるのだ。
CTFでは、同レベルで会話ができ、同等のスキルで問題を解く世界の仲間との友情が生まれる。国境を越えた国際チームが結成されることもあり、その国際チームがCTFを主催するようになる。社会人となって共に仕事をすれば国際的なプロジェクトにもつながっていく。「日本人がそのなかにいることを誇らしく思う」と篠田氏は話す。
ロールモデル効果も国際大会における重要なポイントだ。誰かを見て、自分にもできそうだと思うことで後に続く人材が生まれてくる。そのため同氏は、優秀なプレイヤーに「背中を見せるようにしてほしい」と話している。そういったCTFの環境下では、ネット以外に社会との接点がなかった引きこもりの若者が頭角を現し、就職して上場企業の役員として活躍している例も少なくないそうだ。
CTF参加者の成長について篠田氏は「重要なのは、誰かが教えたわけではないということ」だと指摘する。人材育成といえば教える側と教わる側という構図の、上から下に流れる“エデュケーション”を連想する。しかしCTFにおいては、共通の挑戦に向かって一緒に動くこと、つまり下から上に流れる“ラーニング”が機能しているのである。
場が人を引き寄せる循環のエコシステム
篠田氏は、GCC(Global Cybersecurity Camp)やICC(International Cybersecurity Challenge)といった国際的なセキュリティ人材育成プロジェクトにも関わっており、そこである循環が生まれるのを目にしている。プロジェクトに参加した若者がその翌年、コミュニティに属したいとまた戻ってくるのだ。受講生としては一回しか参加できない決まりなので、スタッフやコーチ、あるいは主催者側として戻ってくるのだそうだ。
「世界と関わる経験をし、つながることの価値を肌で感じた人が、本能的にそれを次の世代に渡したいと思って戻ってくる。外につながった人が育てる側に回る。この循環が自然に生まれていました。誰かが『戻ってきなさい』と言ったわけではなく、場が人を引き寄せた結果です」(篠田氏)
情報セキュリティの国際会議であるCODE BLUEでも同様のことが起きている。学生時代にスタッフとして関わった人物が、業界の第一線の人材とつながりを持ったことが縁となって就職。その後、後輩を連れてスタッフとして戻ってきたり、協賛企業の担当者になったりという例が数多くあるという。学生の人材育成事業であるセキュリティ・キャンプでも同様で、キャンプの現場を動かしているリーダーや講師の多くはその修了生だ。育てた人材が戻ってきて、次は育てる側に回るというエコシステムができあがっている。
「コミュニティが入口となり、横のつながりを保ちながら社会に出て、企業とコミュニティの間で価値が循環していく。その価値は企業に採用や次の人材を見出すというかたちで結果につながってくる。設計した結果というよりも、場が引き寄せた結果だと思っています」(篠田氏)
企業の人材育成が抱える課題
こうした循環が生まれるところには共通するものがある。篠田氏が挙げたのは、場、挑戦、横の連帯、ロールモデルの4つだ。仲間と出会える場があり、実際の問題に挑戦することができ、共に成長できる仲間と連帯でき、少し先を行く人が指針となるロールモデルがあるということなのだ。
しかし企業ではこれらをうまくつくることができていない。大きな理由の1つは、企業では社外活動を遊びだと見なす文化があることだと同氏は指摘する。業務時間外にCTFや勉強会に参加することを評価する企業は決して多くはない。そのため有給休暇を取得して個人として参加する人もいるそうだ。また、コミュニティ活動が評価されないことも問題だ。資格や学歴は評価されても、コミュニティでの活動や貢献、人脈等は人事評価に乗りにくいのが実情なのである。
「人材を調達することも必要ですが、エコシステムの循環のなかで人が育つ環境をつくっていくことも必要ではないでしょうか。組織とコミュニティがつながることで人が育つ、私はそう感じています」(篠田氏)
AI時代に求められる「変化に順応して考えられる人間」
AI時代になっても、人間が重要であることは変わらない。例えば監査の場面では、AIで処理して作成した文書を、信頼できる監査人が不十分だと評価したとき、多くの人が信じるのは監査人の判断だ。AIは高度な知識を民主化したが、機械的な正しさよりも、経験や人情を織り交ぜた判断がまだ求められているのである。
サイバー攻撃のAIによる自動化も、これに対する防御のAI活用も進んでいる。これについて昨年のCODE BLUEで、2016年、DARPA(Defense Advanced Research Projects Agency:国防高等研究計画局)のCyber Grand Challengeで優勝チームを率いたカーネギーメロン大学のデイヴィッド・ブラムリー教授は、「技術は進化してもそれを実装するには時間がかかる」と発言した。またDARPAのAIxCC(AIサイバー・チャレンジ)の上位者は「セキュリティ専門家がAIの専門家になる必要はなく、セキュリティを極めるべき」だと述べている。篠田氏は、これらを踏まえると、「攻撃の高度化への最終的な備えになるのは特定の技術などではなく、変化に順応して自分で考え、自発的に動ける人間である」と強調した。
最後に同氏は、組織として、人が育つ場になっているか、社外のコミュニティとつながる機会があるか、挑戦して失敗できる余白があるか、少し先を行くロールモデルが見えているかを頭に入れておいてほしいと話した。
「人は互いに安心し、かつ尊敬できる仲間がいる、学び合える環境に本能的に惹かれます。誰と学び、誰とつながり、誰と乗り越えるか。それだけはまだ人が決めることなのです」(篠田氏)
ライフネット生命が全部門参加型CSIRTで進める「全員主役」のセキュリティとは
