セキュリティ人材不足の動向と育成課題
東京オリンピックを2020年に控え、日本では、現実空間でのテロ対策以外にも、サイバー攻撃への対策も進められています。
オリンピックでサイバー攻撃が話題となったのは、2012年のロンドンオリンピックで、2億件もの不正アクセスが記録されたと言われています。それ以前の2008年の北京オリンピック、2010年のバンクーバーオリンピックの年はサイバー攻撃が今ほどではなかったため、大きな被害は報告されていません。2016年のリオデジャネイロオリンピックでもDDoS攻撃が目立ちましたが、各機関のセキュリティ担当者間で攻撃予告の情報共有などを進めた結果、大事に至らなかったようです(リオデジャネイロ州情報技術・コミュニケーションセンターのアントニオ・ホセ・アルメイダ・バストスCEO談)。
3年後の東京オリンピックにおいても、サイバー攻撃が大量に発生する危険性があると見るべきでしょう。オリンピックはひとつの大きなきっかけに過ぎませんが、近年、情報セキュリティの重要性が高まっていることは周知の事実であり、その対策を担う人材のニーズも高まっています。
不足する情報セキュリティ人材
国を挙げての情報セキュリティ対策が叫ばれる一方、大きな問題が持ち上がっています。情報セキュリティに関する人材不足です。経済産業省の「IT人材の最新動向と将来推計に関する調査結果」(平成28年6月10日)によると、情報セキュリティの人材不足は2016年で13万2,000人ですが、2020年には19万3,000人にまで拡大するという試算結果が出されています。
また、企業では「全社や部署を横断的に対策できる統括者」と「部署内の情報セキュリティ管理者」の双方が不足しています。サービスを提供するIT企業でも「検査・監査系業務」「コンサルティング系業務」の両方で6割以上が不足と回答しています。情報セキュリティ人材の不足を解消するために、外部企業に頼って人材の穴埋めをしたいという状況ではありますが、ユーザー企業はもちろん、IT企業自身においても人材が不足しているため、実質的に外部企業にも頼れない状況であり、情報セキュリティコンサルタントのような役割の人材を自社内で育成しなければならなくなりそうです。
その一方で、サイバー攻撃の件数は上昇傾向にあり、ターゲットを絞った「標的型攻撃」も増え、金銭目的の個人情報の取得がより巧妙に行われるようになりました。情報セキュリティの人材不足は東京オリンピックを控えての問題のみならず、社会全体を揺るがす憂慮すべきことなのです。
今後求められる情報セキュリティ人材
2015年に経済産業省情報処理振興課が発表した「情報セキュリティ分野の人材ニーズについて」では、今後求められる情報セキュリティ人材像について、以下のようにまとめられています。
- 高度セキュリティ技術者(ホワイトハッカー)
セキュリティサービスを提供する側の立場で、高度な技術を有する専門家。 - 安全な情報システムをつくるために必要なセキュリティ技術を身につけた人材
情報セキュリティ分野を専門とするIT技術者。情報システムのセキュリティ機能を実装し、情報セキュリティ技術の専門家として情報セキュリティ管理を支援。 - ユーザー企業において、社内セキュリティ技術者と連携して企業の情報セキュリティ確保を管理する人材
業務部門において、普段は総務や企画などを担当しつつ、情報セキュリティトラブルの発生時には部門長やセキュリティ技術者と連携して被害の最小化を図る。
従来は1.や2.といった、いわばセキュリティに関する専門的な知識をもった技術者が「情報セキュリティ人材」または「情報セキュリティスペシャリスト人材」と言われていました。今後は3.のように、情報セキュリティの技術者ではなくとも、利用者側の立場で情報セキュリティの管理を行う人材「情報セキュリティマネジメント人材」についてのニーズも高まるでしょう。
情報セキュリティ人材の育成課題
ユーザー企業における情報セキュリティ対策は、直接的にプロフィット(利益)を生むものではなくコスト(費用)として認識されることから、対応が遅れがちになる懸念があります。
内閣サイバーセキュリティ戦略本部が平成28年3月にまとめた「サイバーセキュリティ人材育成総合強化方針」では、まず経営層がサイバーセキュリティに関する取り組みについて重要課題として認識することが説かれています。また、企業の経営層と実務者層をつなぐ「橋渡し人材」の必要性を指摘。さらに、これまで連係が不足していた「産学官」が一体となり、サイバーセキュリティに関わる人材像を明確にし、資格や演習環境の整備、継続的な知識習得のプログラムなどといった人材育成環境の構築が必要である、としています。
そして、情報セキュリティに従事する技術者の専門性にも触れ、その評価と処遇についての体系化にも言及しており、まとめると以下のようになります。
- 経営層の意識改革
- サイバーセキュリティ(情報セキュリティ)人材と業務の明瞭化
- 専門家としての権限の委譲、評価と処遇の適正化
- 技術のレベルを知る資格取得の奨励と継続的な学習プログラム(最新事例や技術の習得)の確立
これまで情報処理・ITの技術者は、社内における先輩技術者からの指導や外部IT企業の力を借りるなどで、後継者が育成されてきました。しかし、情報セキュリティ人材については、新たな視点で育成する必要があると言えそうです。そのことをまず認識することが必要でしょう。