• TOP画像

2022年2月28日にグローバルセキュリティエキスパート株式会社主催のWebセミナー「地域におけるサイバーセキュリティ事業創出および人材育成の実績と展望」が開催された。とある医療機関がランサムウェアの攻撃を受け、患者の電子カルテや医療データがすべて消失した事件や、マルウェアEmotetの感染再拡大が相次ぎ、セキュリティ対策に注力しようと多くの企業が感じている今、地方都市でサイバーセキュリティ人材を育て実践現場に送り込もうという取り組みが国、地方自治体、教育機関と民間企業で進められている。本稿ではその全貌についてレポートしていく。

総務省の社会実証実験で、地域企業や教育機関と連携したセキュリティ人材のエコシステムを形成

セミナー前半では、総務省 サイバーセキュリティ統括官付参事官の高村 信氏、グローバルセキュリティエキスパート株式会社(GSX) CSOの萩原 健太氏、沖縄ITイノベーション戦略センター(ISCO) アクセラレーションセクション セクションマネージャーの兼村 光氏によるセッションが行われた。

総務省 サイバーセキュリティ統括官付参事官の高村 信氏

総務省 サイバーセキュリティ統括官付参事官 高村 信氏

高村氏は「総務省では、地方のサイバーセキュリティ人材が首都圏以上に足りていないという問題意識を持っており、3年前に人材育成分科会を立ち上げ、課題と対応方策について議論を重ねてきました」と語る。

このタスクフォースが2019年6月に公表した第1次取りまとめでは、「研修リーダーの不在」「組織体制の不足」「就業機会の不足」といった地域の課題が提示されており、総務省はその対応策として3つの社会実証実験を実施した。その中の1つとなる、沖縄県で実施された「地域におけるセキュリティ人材のエコシステム形成」については、2020年度以降も継続した取り組みが進められている。

実際のエコシステム構築にあたっては、沖縄という限られた地域で事業を展開するのではなく、首都圏や他地域の企業が受注したセキュリティ業務の一部を、沖縄県のセキュリティ事業者が請け負うというモデルを念頭に進めたが、その実現に向けて、セキュリティ業務の発注仕様を標準化するところから取り組んだと振り返る。

  • 地域におけるIoTセキュリティ人材の確保

「産官学が連携し、地域で人材を育て、育った人材が次の人材を育成していくエコシステムの完成に向け、来年度の予算も準備しています。総務省としては沖縄県に限らず、全国でセキュリティ人材を生み出す仕組みが整備されていくことを願っており、さまざまな企業・組織に参画していただきたいと考えています」(高村氏)

続いて登壇した萩原氏は「沖縄エコシステムを総括する」をテーマに、GSXと総務省が連携して3年間にわたり進めてきた沖縄エコシステムの概要について話を展開した。

グローバルセキュリティエキスパート株式会社 CSOの萩原 健太氏

グローバルセキュリティエキスパート株式会社 CSO 萩原 健太氏

萩原氏は産官学連携によってセキュリティ業界を盛り上げ、人材不足を解決していくための取り組みと位置付けし、「地域におけるセキュリティ人材育成では、「出口」を見据えて取り組んでいくことが重要になります。育成した人材の就職先はあるのか、その先のキャリアパスはどうなっているのか、といった部分が明確化されていないと、積極的な参加をためらう人や組織が増えてしまいます。そこで本プロジェクトでは、事業に直結しやすいWebアプリケーションやプラットフォームの「脆弱性診断」領域に注目し、脆弱性診断士育成にフォーカスしたカリキュラムを作成するところからエコシステムの形成を進めています」と語る。

この沖縄エコシステムを他の地域にも展開することで、セキュリティ人材不足をはじめ、脆弱性診断案件の需要増への対応、地域経済の活性化といった継続的な課題の解決を実現できるのではと展望を語った。

セミナー前半最後のセッションは兼村氏が登壇し、ビジネスとエコシステムの観点から沖縄のサイバーセキュリティ普及を目指すISCOの活動について話を展開。官民により設立され、2018年に運用を開始したISCOは、ITを軸に経済発展に寄与する目的で設立された財団法人となる。

沖縄ITイノベーション戦略センター アクセラレーションセクション セクションマネージャー 兼村 光氏

沖縄ITイノベーション戦略センター アクセラレーションセクション セクションマネージャー 兼村 光氏

セッションでは、単にセキュリティ人材の育成や教育を行うだけでなく、沖縄県でセキュリティ事業を長期的に担える人材を増やすためにISCOが取り込んでいる事業について解説。沖縄県内で展開されている産官学のセキュリティ関連の取り組みを連携したコミュニティの形成を支援するビジネスマッチングサイト「Industlink」や、ワーケーションを加速させる共同利用型オフィス等セキュリティ認証プログラムの検査事業、IPAの中小企業サイバーセキュリティ対策支援体制構築事業に沖縄の地場企業が参画した「沖縄サイバーセキュリティお助け隊」などが紹介された。
「セキュリティ人材のエコシステムを形成するうえでは、沖縄だけで完結するのではなく、域外のプレイヤーも含めてデザインすることが大切と考えています。今回のようなプロジェクトを通して得たヒューマンネットワークも有効に活用しながら、沖縄エコスシステムを構築していきたいと思います」と語り、兼村氏はセッションを締めくくった。

有識者会議のメンバーによるパネルディスカッションから、人材育成と産業創出のビジョンを確認する

セミナー後半では、サイバーセキュリティ分野の有識者で、沖縄エコシステムプロジェクトにおける有識者会議のメンバーを招き、「沖縄エコシステムの功績で見えたサイバーセキュリティ産業の在り方とは」をテーマにパネルディスカッションが展開された。参加したのは以下の7人で、前半のセッションで講演した萩原氏がモデレーターを務めた。

・情報セキュリティ大学院大学 学長 後藤 厚宏 氏
・国立研究開発法人情報通信研究機構 サイバーセキュリティ研究所
 ナショナルサイバートレーニングセンター センター長 園田 道夫 氏
・FRT株式会社 インターネットデータセンター部 ソリューションセンター長 砂辺 剛志 氏
・株式会社トライコーダ 代表取締役 上野 宣 氏
・株式会社ラック セキュリティ事業推進部 シニアコンサルタント 兼
 情報セキュリティ教育事業者連絡会 代表 持田 啓司 氏
・一般財団法人 沖縄ITイノベーション戦略センター アドバイザリーフェロー 与儀 大輔 氏
・グローバルセキュリティエキスパート株式会社 CSO 萩原 健太 氏

  • パネルディスカッション時の様子

    パネルディスカッション時の様子。砂辺氏はZOOMにて参加

サイバーセキュリティ業界・分野における課題、不足しているものとは

――― サイバーセキュリティ業界・分野における課題、不足しているものについて、サイバーセキュリティの人材育成に長く携わっていらっしゃる後藤様、お願いいたします。

後藤氏
長い間セキュリティに携わってきて、今もっとも痛感しているのがサイバーセキュリティに関する意識、すなわち「心の問題」です。今回の沖縄エコシステムのプロジェクトを通して感じたのは「わかっている人はいるのに、それが他の人たちに伝わっていない」ということ。問題意識や課題が共有されていないこと自体が大きな課題といえます



――― 技術的な課題からお話しになると予想していましたが、心の問題から入られて驚きました。他の方々はどのような考えをお持ちでしょうか。

園田氏
後藤先生がお話しをされた「心の問題」に関して、若い人たちは個人情報漏えいやSNSの炎上などを身近に見てきているため、ある意味かなり悲惨な事例を目の当たりにし、そういった怖さを知っています。学校でも先生は危機感を持っており、課題としてのセキュリティを認識していますが、システマティックにセキュリティへの意識を高めるような仕組みはできていません。大人を教育するのは大変なので(笑)、この辺りから取り組んでいくのがよいと考えています



持田氏
広い意味での人材育成を考えたとき、お二人がおっしゃったように、日本では特に科学的な育成プログラムがあまり組まれていない。もう少し科学的にプロセスまで考えて、育成を進めていく必要があると考えています



上野氏
セキュリティの分野は、細分化が進みすぎていると感じています。現在、セキュリティ関連のすべてに習熟した方はほとんどいません。若い方がそういう人になろうとした場合にどう学べばよいのか。トレーニングの資料やグッズはありますが、指針のようなものは明示されていません。そういった意味でも、持田さんがお話しをされたような科学的な育成プログラムが必要になってくると思います



砂辺氏
私は沖縄の企業という立場で今回のプロジェクトに携わっていますが、沖縄にいるなかで感じるのは地域間の情報格差です。サイバーセキュリティ事業に参入する際には、コミュニティや、今回のようなセミナーに参加し、さまざまな方とのコミュニケーションを取って情報を共有していくことが必要になると実感しています



――― 続いてはサイバーセキュリティ産業、業界そのものをどう盛り上げていくか、官民の経験をお持ちの持田様からお話をしていただければと思います。

持田氏
今の日本はバグや脆弱性があるものは使わないという意識が高すぎると感じています。使いながらよくしていこうというスタンスで、もう少し温かい目で産業を育てていくサイクルを実現することで、セキュリティ業界全体を盛り上げていけると思います



砂辺氏
サイバーセキュリティに限らず、日本のユーザーの目は厳しいですね



与儀氏
サイバーセキュリティの事故に関しては、被害者が悪いことをしているという風潮があり、まずはこの意識を変えていく必要があります。サイバー攻撃を仕掛けてきた側が悪いのに、何故かやられた人が責められる。こうした風土をなくしていかないと、業界自体が広がっていかないと感じています



――― 最後に沖縄事業から見たこれからの育成と産業創出についてお話を伺えればと思います。今回の沖縄エコシステムは人材育成並びに事業化の推進が大きなテーマとなっていますが、3年間に渡りプロジェクトに携わってきた皆様の視点から人材育成、エコシステムをどう作っていくのかを議論していきたいと思います。まずは砂辺様、FRT社は沖縄で事業を展開されていますが、なぜセキュリティ事業に参画しようと考えられたのでしょうか。

砂辺氏
コールセンターやヘルプデスクのスキルセットを持っている人たちにとって入りやすいサイバーセキュリティに注目しました。今は脆弱性診断の領域で展開していますが、今後はそれぞれの適性にあったセキュリティサービスにも参入してきたいと考えています



――― 他の方々にも、沖縄エコシステムの取り組みから見えてきたビジョンについてお話をしていただければと思います。

園田氏
いい感じに教える側にまわる人も増えて、エコシステムができてきたと思います。JTAGのスキームを使ったセキュリティ人材の可視化も、ある程度の効果が出ていると感じています



持田氏
現状のスキルを可視化することで必要なところのみを教えられるようになり、合理的かつ効率的な教育が実現できます。今回それが成果として出てきたのは大きなメリットです



上野氏
脆弱性診断の事業を選んだのがよかったと思っています。定型的なテスト手法を用いる脆弱性診断は、さまざまなセキュリティ分野のなかでも割と扱いやすく、さらに現状では対応しきれないほどの需要がある。まだまだ人材育成の必要性は高いと思います。また、講師を育てる仕組みが構築できたことも大きなメリットだと感じています



後藤氏
脆弱性診断の人材と、その講師となる人を育てるエコシステムを構築し、さらにそれを可視化できる仕組みを作ることができたのは大きいと思います。今後は、この成果を外にアピールしていくことが大切です。成功事例を示すことで外部の理解者を増やして、さらなる人材育成につなげていきたいと考えています



与儀氏
重要なのは、学んだ技術を利用して働いていけること、つまり産業を創り出すことです。今回は首都圏の事業者とつなげて、首都圏で溢れる脆弱性診断の仕事の基礎的な部分から沖縄の企業で受けるというスキームを作ることができたのが大きいと思います。とはいえ、人材の育成と産業創出は最初の一歩が非常に大変で、リーダーとして牽引する人の情熱が非常に重要になってくると思います



――― それでは、ズバリ次の地域はどこになるでしょうか?

園田氏
地域の魅力を理解しているリーダー、キーマンとなる方がいそうなところでしょうか



後藤氏
あとは地域の教育機関ですね。若い人たちを抱えている教育機関は教えることに熱心な組織なので、ここが絡んできてくれる地域がよいと思います



与儀氏
教育機関もそうですが、地域の金融機関のなかに新事業創出に前向きなバンカーがいることも重要だと思います。また、将来は地元に戻って仕事をしたいという、地元愛が強い地域が有効な選択肢になると考えています



――― 貴重なお話、ありがとうございました。

各講演・パネルディスカッションを視聴した方からの質問に、セキュリティ業界の有識者が答える

最後のセッションはQ&Aのコーナーとなり、本セミナーの視聴者からオンラインで寄せられた質問に対し、パネルディスカッションに参加した有識者が回答した。その一部を紹介する。


Q. 経営者というキーワードが出てきましたが、経営者により意識を高めてもらうためにはどうすればよいでしょうか?

園田氏
やはり成功している事例を見せることが大切だと思います



上野氏
難しいテーマですが、事故を起こした会社の経営者は一番取り組んでくれます。擬似的にでもセキュリティインシデントのドッキリを仕掛けられると意識を高められると思いますが、なかなか難しいですね(笑)



後藤氏
情報セキュリティ大学院大学では経営者向けの講座も開始しています。やはり同業他社の事故事例が一番刺さりますね。事業に対してどんな影響を与えたかを見せていくことが必要だと思います




Q. セキュリティを高めていきたいと思っていても、実際には難しいケースがあります。サイバーセキュリティ自体が保険であるという考え方は正しいでしょうか。

与儀氏
保険的な位置付けもあるかと思いますが、NISCのガイドラインなどでは、サイバーセキュリティは積極的な投資活動と見なして経営者が行うべきとされています。たとえば、企業のITが止まった場合に、どれだけ事業を保たせられるかを考える。もし2日間は保つというのなら、2日間以内に復旧するための仕組みに投資する必要があると捉えればよいと思います




高度化・複雑化を続けるサイバーセキュリティの脅威は、業種・規模・場所を問わず、あらゆる企業・組織を脅かしている。今回の沖縄エコシステムは、地方のサイバーセキュリティ人材の増加や事業化の推進、しいては日本のセキュリティ産業が盛り上がるきっかけとなるのではないだろうか。今後の取り組みに期待していきたい。

[PR]提供:グローバルセキュリティエキスパート