サイバー攻撃が激しさを増す昨今、日本全体でセキュリティ意識を高めていくことが求められている。しかし、日本のセキュリティレベルは海外と比べて低く、セキュリティ人材も不足しているのが現状だ。社内にプロフェッショナルがいないと嘆く企業も多い。

そんな中で、35年にわたりセキュリティ技術者向けのトレーニングカリキュラムを提供しているのがSANS Institute。同社では80以上に細分化された専門的なカリキュラムを備えており、最前線で活躍する現役技術者がインストラクターを務めるのが特長だ。

今回、SANS InstituteのCEOであるデニス・カービー氏と、アジアパシフィックマネージィングディレクターのスレッシュ・ムスタファ氏が来日。ふたりは日本のセキュリティ事業をどう見ているのか。SANSとしてどのようなソリューションを提供し、サポートしていくのか。日本法人カントリーディレクターを務める小柳修二氏との座談会を通して、SANSが考えるセキュリティ人材育成の重要性を紐解いていく。

  • (写真)集合写真

プロフィール

    (写真中央)SANS Institute CEO
    Dennis Kirby 氏
    2009年SANS Institute入社。トレーニングコースに関する業務を経て現職。
    (写真右)SANS Institute Managing Director, Asia Pacific
    Suresh Mustapha 氏
    2009年SANS Institute入社。SANSのサービスをアジア圏に普及させる業務を担う。
    (写真左)SANS Institute 日本法人カントリーディレクター
    小柳 修二 氏
    通信系企業、セキュリティ系企業を経て、2020年SANS Institute入社。SANSのサービスを日本に展開し、サイバーセキュリティ人材不足の解消を目指す。

日本のサイバーセキュリティは海外に大きく遅れを取っている

――今回、デニスさん、スレッシュさんのおふたりが来日された理由から伺えますか。

デニス氏:日本のサイバーセキュリティに関する意識は高まりを見せており、今年5月には国会で「能動的サイバー防御」を導入するための法案が可決されています。それに伴い、サイバーセキュリティ技術者の必要性はさらに増していると言えます。

これまでもSANSは、日本の企業や官公庁など、さまざまな組織・団体にサービスを提供し、サイバーセキュリティの向上に尽力してきました。日本企業や官公庁をより長期的にサポートするため、今回の来日では、そうした日本の企業や官公庁との関係をさらに深め、さらなる支援体制を築くことを目的としています。

(写真)SANS Institute CEO Dennis Kirby 氏

SANS Institute CEO Dennis Kirby 氏

――サイバーセキュリティの機運が日本でも高まっているとのことですが、世界におけるサイバーセキュリティのトレンドについて教えてください。

デニス氏:世界でもサイバーセキュリティ技術者の必要性は高まり続けています。その中でも、2025年現在のトレンドとして挙げられるのは「量より質」への変化です。もちろん、技術者全体のボリュームも重要です。しかし、それよりも今は「特定の分野におけるセキュリティ人材不足」が目立ってきているのです。

スレッシュ氏:セキュリティ人材なら誰でもいいというわけではなく、ニーズに合ったスキルを持っていることがより重要視されているということです。それに伴い、企業のアクションも変化しています。これまではセキュリティ技術者を外部から採用することが多かったと思いますが、今はむしろ社内の人材にトレーニングを積んでもらい、必要な技術を身につけてもらう方向にシフトしている企業が増加しています。

デニス氏:そもそもサイバーセキュリティ技術者自体が不足していますし、その中から欲しいスキルを持った人材を見つけるのは簡単ではないですからね。

――デニスさん、スレッシュさんの回答を踏まえて、小柳さんに日本のサイバーセキュリティの現状と課題をお聞きします。

小柳氏:日本はサイバーセキュリティに関して、世界よりも明確に遅れているといっていいでしょう。これは日本特有の事情もあります。現代は戦争や紛争にサイバー攻撃がつきものですが、日本はそういった状況にありません。そのため、どうしても他国からのサイバー攻撃に関して防御一辺倒になりがちです。また、企業がサイバー攻撃に遭って情報漏洩などの事態に陥っても、米国などと比べてペナルティが軽い傾向にあります。こうした事情から、日本ではサイバー攻撃に対する技術や意識が海外ほど育っていないのです。

そうした課題を解決するには、やはりきちんとした教育を受けたサイバーセキュリティ技術者を育成するしかありません。絶対数を増やすことはもちろん、デニスやスレッシュが述べたように、より尖ったスキルを持つ人材についても増やしていくことが必要です。

その意味で、先日法案が可決された「能動的サイバー防御」は重要な方針になるでしょう。ただ守るだけでなく、サイバー攻撃に対してこちらから能動的に動き、攻撃の前に無害化すれば、被害をより抑えられるはずです。

(写真)SANS Institute 日本法人カントリーディレクター 小柳 修二 氏

SANS Institute 日本法人カントリーディレクター 小柳 修二 氏

――日本でもようやくセキュリティ意識が高まりつつあるわけですね。

小柳氏:はい。ただ、それでも海外から見ればまだまだです。海外でサイバーセキュリティ技術者の需要に対して供給が追いついていないことはデニスとスレッシュが申し上げたとおりですが、日本では供給云々以前に需要の伸びがまだ足りません。サイバーセキュリティはカタカナなどの専門用語も多いためか、特に経営者の意識がなかなか育っていないのです。現場がいくら頑張っても、予算が下りてこない企業も少なくありません。

――年々巧妙さを増すサイバー攻撃に対して、それでは不安が残りますね。

小柳氏:そうですね。サイバー攻撃もサイバーセキュリティの考え方もどんどん進化しています。もはやファイアウォールとアンチウイルスソフトがあれば何とかなっていた時代ではありません。攻撃手法もインフラも多様化しています。攻撃されることを前提として、対策を立てておくことが重要なのです。

80以上のコースと現役インストラクターによる高品質なトレーニングを提供

――そんな日本のサイバーセキュリティを向上するため、SANSとしてどのように貢献されてきたのでしょうか。

デニス氏:SANSは80以上のサイバーセキュリティに関するトレーニングカリキュラムを提供しています。また、セキュリティスキルに関する「GIAC(Global Information Assurance Certification)」といった認定資格試験も行っております。

さらに、新たなサービスも提供しています。たとえば、2025年4月にリリースした 「SANS Skills Quest by NetWars (SSQN)」 は、SANSのサイバーレンジ(トレーニングのための仮想環境)を用いたサイバーセキュリティのシミュレーションプラットフォームです。6ヶ月、または12ヶ月のコースがあり、好きなタイミングで必要なスキルを習得できるサービスです。

また、7月には「Applied Skills Analysis Platform (ASAP)」というサービスをローンチします。これはいわば“実力テスト”のようなもので、ロールベースで自分自身のセキュリティスキルを可視化できます。

小柳氏:SSQNをローンチした背景には、常にセキュリティの知識や技術をアップデートし続けてほしいという想いがあります。トレーニングを受けて資格を取得しても、そのまま何もしないとスキルは維持できません。SANSのトレーニングコースで習得したサイバーセキュリティスキルを、SkillsQuestでさらに高めていっていただきたいと思っています。

――SANSのトレーニングカリキュラムの特長も教えていただけますか。

デニス氏:SANSのトレーニングカリキュラムは、年間5万人以上に利用されており、欧米や中東、アジア、そして日本など世界中の地域・国をカバーしています。

対面形式でもオンライン形式でも受けられますし、オンデマンドでも受講できるので、時間の制約がある忙しい方でも問題ありません。またトレーニングはハンズオン形式が多いのも特長です。座学で話を聞くだけでなく、受講者が自ら手を動かして実践的なスキルを身につけられます。

(写真)SANS Institute Managing Director, Asia Pacific Suresh Mustapha 氏

SANS Institute Managing Director, Asia Pacific Suresh Mustapha 氏

スレッシュ氏:トレーニングカリキュラムでインストラクターを務めるのはSANSの社員ではありません。インストラクターはすべてSANSと契約している現役のセキュリティ技術者たち。彼らがSANSのトレーニングカリキュラムをもとに講義を行うほか、彼ら自身が持つノウハウや経験から得たスキルも惜しみなく提供してくれます。

デニス氏:SANSのインストラクターは非常にレベルの高い技術者ぞろいです。たとえば、産業制御システムのセキュリティ技術者であるティム・コンウェーという講師は、世界中から要請を受けて各地を飛び回っており、セキュリティレポートを作成して発表しているような優れた技術者です。SANSでは、そんなハイレベルな技術者から直接トレーニングを受けられるのが大きな強みと言えます。

求められる技術レベルと採用コストを考えれば、SANSのコストは決して高くない

――企業はSANSのトレーニングをどのように業務に結びつけているのでしょうか。

小柳氏:たとえば、日本でセキュリティサービスを提供されているとある会社では、社員教育のためにSANSのトレーニングを導入されています。そこで、フォレンジックのコースを受講し、身につけたスキルを生かして自社でもフォレンジックサービスを提供されるまでになりました。

また、セキュリティ向上のために自社のエンジニアのスキルの棚卸しをした結果、不足している分野が見つかり、SANSのトレーニングを受けられた会社もあります。先ほどデニスが紹介したように、SANSには80ものカリキュラムがありますから、必要な分野のスキルを補充できるのです。

――セキュリティ対策への理解不足から、SANSのようなトレーニングを社員に受けさせるコストが高いと感じる企業もあります。

デニス氏:SANSのコースは6日間、9時から17時までかけてしっかりとトレーニングを行います。大学であれば1年かけて習得するような情報量を6日間で学べることを考えると、私たちとしては決して高いとは思っていません。というのも、先ほど申し上げたように、サイバーセキュリティ技術者を外部から採用しようとすると、さらに多大な金銭的・時間的コストがかかるからです。セキュリティ対策が複雑化し、求められる技術的なハードルが上がっている今、専門的なスキルを高いレベルで持つ社員を探すのは容易ではありません。そう考えると、今いるセキュリティ技術者をSANSのカリキュラムで教育することはむしろ効率の良い方法と言えます。

――最後にSANSとして考える日本のセキュリティ人材育成の未来と展望について教えてください。

デニス氏:SANSはもう日本で22年にわたりトレーニングを提供しています。今後も日本をサポートし続けたいですし、よりマーケットのニーズに合ったサービスを提供していきます。日本は私たちにとっても重要なマーケットです。将来にわたり投資していくつもりです。

スレッシュ氏:サイバーセキュリティは現在、特にトレンドのニュースであり、さまざまな企業や官公庁が興味を持っています。SANSはこれまでも多くの企業を支援してきましたが、もっともっと拡大していく必要を感じています。組織のマインドセットを変えていかないといけません。日本のインストラクターについても、さらに増やしていきたいと思います。

小柳氏:今後の日本のサイバーセキュリティを高めるには、SANSのトレーニングは不可欠だと考えています。一昨年にはSANSの日本法人が設立され、まもなく日本円で支払うことも可能になります。より、日本で地に足をつけたトレーニングを提供できるようになるでしょう。日本のサイバーセキュリティにおける人材不足やスキルギャップを埋めることが私たちのミッションであり、今後も尽力していきます。

  • (写真)SANS Institute 日本法人カントリーディレクター小柳 修二 氏、同CEO Dennis Kirby 氏、同Managing Director, Asia Pacific Suresh Mustapha 氏

    (左から)SANS Institute 日本法人カントリーディレクター小柳 修二 氏、同CEO Dennis Kirby 氏、同Managing Director, Asia Pacific Suresh Mustapha 氏

関連リンク

[PR]提供:SANS Institute