とかく「足りない」と指摘されるセキュリティ人材。果たして海外ではどのような取り組みが進められているのか、米国やシンガポールから識者を招いてのシンポジウムが開催された。
2013年11月28日、東京電機大学で「グローバルで活躍するサイバーセキュリティ高度専門技術者育成のための研究討論会」が開催された。人材不足が叫ばれるセキュリティ分野で、政府や大学はどのような役割を果たせるのか。日本・米国・シンガポールで同分野に挑戦する識者が集まり、その取り組みや課題が紹介された。
最初に登壇したのは、東京電機大学 複合領域サイバー・セキュリティプロジェクト プロジェクトリーダーの安田浩氏だ。同氏は、サイバーセキュリティ分野で日本が抱える課題として、高度な技術力を持つサイバーセキュリティエンジニアやセキュリティマネージャー、ポリシー策定者が不足していること、暗号技術以外に日本起源のセキュリティ標準化技術がないこと、長期的な教育システムとキャリアパスが存在しないことを挙げた。
こうした現状に対し、安田氏は「学生や社会人を受け入れ、学位を与えられるサイバーセキュリティ教育システムがそもそも日本に存在しない。これは同時に、(セキュリティ部門がある/専門会社以外の)一般企業にとっても、セキュリティ人材を採用するための判断材料を少なくしており、学生もキャリアパスを描けない」と指摘した。
東京電機大学は2013年、経済産業省の平成25年度産学連携推進事業費補助金を受けて「複合領域サイバーセキュリティプロジェクト」と「サイバー・セキュリティ研究所」(Cys Lab)を発足させ、学生や社会人、18歳未満の学生がサイバーセキュリティ領域を学び、修士/博士号を取得できるシステム作りに踏み出した。さらに、CEOやCOO、弁護士などのセキュリティ意識向上を目論む講義など、社会人向け講座も設ける予定だ。
Cys Labの一般教養では、CISSP(国際的に認められた情報セキュリティプロフェッショナル認証資格)のテキストを教材の1つに、サイバーセキュリティ技術やシステム設計、ガバナンス、ぜい弱性監査・セキュリティ監査などを学ぶ。また、数学/統計、心理学/心理分析、倫理、法律、経済など、技術に偏らない包括的な視野を養う教育も行っていく。この他、グローバルに活躍する人材育成を目指し、初年度は講義のうち30%を、5年以内には全講義を英語で実施する計画だ。
産学共同研究では、セキュアなカーネルの研究、生体認証の研究、セキュアなスマートフォンの研究、LIFT(Live and Intelligent Network Forensics)プロジェクト、リスクコミュニケーションベースのアプローチなどが挙げられた。LIFTでは情報セキュリティ技術研究の第一人者である同大学の佐々木良一氏をリーダーに、企業各社のトップエンジニアを客員研究員に招き、ネットワークフォレンジックの研究を行う。
続いて登壇したのは、元米国大統領補佐官のハワード・シュミット氏だ。セキュリティコンサルタント会社のRidge Schmidt Cyber LLCのパートナーである同氏は、アリゾナ州のSWATチームやFBI、マイクロソフトのCISOを務めるなど、長年に渡って国家安全と情報セキュリティの両面を見つめてきた。
「私が初めてコンピューターに触れたのは1976年の頃。アマチュア無線機で日本と通信したいと思ったのがきっかけだ」。そう振り返る同氏は、より良い世界を目指す研究者が悪意なく情報を交換していたインターネットも、今やグローバルコミュニケーションやビジネスに欠かせないツールとなり、サイバー犯罪の温床になった実情を語った。
「マイクロソフト在籍時代、ある顧客から何度も電話があり、『システムを起動するたびにセキュリティシステムが立ち上がるので止めてほしい』と言われた」。あらゆるデバイスがインターネットに接続され、多様な攻撃に日々さらされる現在、そんな発想はもうない。「セキュリティはオン/オフするものではない。プロアクティブな対策のツールとして利用していくものだ」(シュミット氏)
ホワイトハウス時代、シュミット氏は民間企業や大学と連携し、1年以上かけて国家サイバーセキュリティ戦略の策定を行った。その際に、セキュリティだけでなくICTによる国益についても調査してほしいとオバマ大統領から命じられたという。ICTの経済的メリットと国家安全保障のバランスは難しい。シュミット氏は企業の経営層との対話の中で、経済リスクやビジネスリスクと同じようにサイバーセキュリティの重要性を理解させなければ、問題は深まるばかりと感じた。
だからこそ、今必要なのは、難しいセキュリティ技術をかみ砕いて説明できる専門家だとシュミット氏は言う。「状況を把握してそれを明確に伝え、聞く耳を持ち、かつビジネスニーズに対して技術的に応えられる人物が、ICTと国家安全の懸け橋となる」(シュミット氏)
米国の教育機関による取り組みを紹介したのは、アイダホ州立大学 副学部長のコリー・スカウ氏だ。約20年前、コンピューターネットワークのぜい弱性を懸念したホワイトハウスから、同氏は暗号技術以外のコンピューターセキュリティ専門家を集めてほしいと依頼された。
「ある日、秘書官から大ホールを会議用に用意したと連絡があった。大変光栄なことだったが、実際集めることができたのは電話ボックスサイズの部屋で十分なくらいの人数だった」(スカウ氏)
スカウ氏は、今ではサイバーセキュリティの国家的人材育成を担当するアイダホ州立大学のCAE(Centers of Academic Excellence)プログラムも軌道に乗り、今年は10人の枠に対して464人の応募があるなど、認知度も高まったと話す。
国家安全システム委員会(CNSS)などのトレーニング標準制定を主導した同大学では、これら標準に基づく週30〜45時間の講義を実施。学生にはSSCPやCISSPの受験、政府機関での90日間のインターンシップなどが義務付けられ、修了後の就職率は100%、初年度給与は平均9万ドルという。
成果を出すまでの道のりは、とても険しかったという。当初7大学の学長が集結して人材育成プログラムを実施しようとしたとき、助成金はほぼ皆無だった。「アメリカ国立科学財団から一部助成はあったものの、基本的には大学側で調達。10年間、年10万ドル以下で運営せざるを得なかった。その点で安田氏が大変うらやましい」(スカウ氏)。
アイダホ州立大学では、「情報保証」を中核とした教育を実践している。情報保証は情報セキュリティを内包する概念で、情報の安全性や完全性を保証する技術/手法を指す。いわば、セキュリティポリシーの策定だ。情報保証は、情報科学や法律、ビジネスモデル、物理セキュリティ、教育など、広範にまたがって展開されるべき概念だ。
「セキュリティの技術だけを説明しても、異分野の人にとってなぜそれが必要なのかが分かりづらい」。多様な分野を理解し、適切かつ分かりやすい提案を行えるセキュリティ専門家は、今最も求められる人材の1つだ。そのニーズを強力に支援する。
「大学は専門知識をただ教えるための場所ではない。知識の使い方を教える場であり、永続的に応用可能な「形」(カタ)を習得する場だ」。弓道や合気道などの武道に通じるスカウ氏は、人材育成のあり方をこう表現した。「トレーニング標準やたとえソフトウェアのバージョンが変わっても、“カタ”を会得していれば対応できる。情報保証を“カタ”として会得すれば、どのような分野にも適切に対応できる人材となる」。
Copyright © ITmedia, Inc. All Rights Reserved.