総合セキュリティ人材の育成は急務!人事が取り組むべき施策とは?
内閣サイバーセキュリティセンター(NISC)と在日米国商工会議所(ACCJ)は、2016年10月31日に「サイバー・ハロウィン キャリアトーク」を開催した。このイベントの登壇者たちに、人事面から見たセキュリティ人材の重要性についてお話をうかがった。
お話をうかがった方々
・三角育生氏(内閣官房内閣サイバーセキュリティセンター副センター長)
・蔵本雄一氏(筑波大学非常勤講師・マイクロソフト株式会社)
・高橋正和氏(日本マイクロソフト株式会社チーフセキュリティアドバイザー)
経営に大打撃を与えるサイバー攻撃。今求められるセキュリティ人材とは
蔵本雄一氏
―セキュリティ人材の育成が急務になっている背景は?
蔵本氏:ほとんどの企業がすでになんらかのサイバー攻撃を受けています。攻撃を受けると、サーバやシステムの停止、情報の流出、ファイルにアクセスできないといった状況に陥る可能性があり、これは業務にも重大な影響を及ぼします。
情報漏えい、内部不正などが発生すると、ブランド失墜、株価の下落など企業経営にダメージが返ってくる重要な問題です。セキュリティのコストは、警備などと同じで、それがなかったらどれくらい自分が損をするかを考えて対策する必要があります。
―セキュリティ人材に求められるスキルとは?
蔵本氏:一般の企業であれば、高度なハッキング技術を持つような人材までは必要はありません。というのは、自社でセキュリティ対策のためのシステムを開発するというようなことはほとんどないからです。
ベンダーの提案を受けて、セキュリティ対策のシステムやツールなどを導入するときに、その対策は自社に必要なのか、有効なのかを見極められるだけの知識がある人材であれば十分でしょう。知識がないと、自社には必要ない対策に費用をかけてしまったり、提案をそのまま受け入れて高額なプランに契約してしまうといったことがあります。
私はセキュリティ人材は企業の実業団の選手のようなものだと考えています。選手は普段は通常の業務をやりながら、夜に練習をしたりしますよね。それと同様に、通常業務を持ちながら、空いた時間でセキュリティの情報収集をするといったような形ですね。
「うちの会社は攻撃されていない」が一番危険!
―セキュリティ人材が全くいないという企業もあると思いますが、そうした企業が陥りやすい課題とは?
蔵本氏:セキュリティ事故全般の脅威にさらされていることになりますね。内部不正、サイバーセキュリティの事故など、それを見る人がいなければ対策ができません。内部不正については、性善説で考えて従業員はそんなことをしない、と考えてしまう企業もありますが、従業員の情報の持ち出しによる情報漏えいの事件はよくニュースでも耳にするでしょう。一般企業であれば、まずはセキュリティの素養がある人を増やしていくことが重要だと思います。
また、セキュリティの人材がいないと「なんでも禁止する」という方向に動きがちです。しかし、今の時代、例えばPCの持ち出しを禁止してしまったら、従業員の生産性が落ちますよね。ただしくPCの安全性を確保しておけば、持ち出しもできますし、外で作業も可能になり、生産性が上がります。従業員の働き方が多様化していますから、それを支える礎としても、セキュリティ対策を施すことは、人事にとっても取り組むべき課題です。
高橋正和氏
高橋氏:セキュリティのパラドックスとも言えることですが、対策できているところは、攻撃されていることを検知して実情を理解しています。しかし、対策できていないところは、検知できていないので攻撃されている認識がありません。「うちは攻撃されていないよ」という企業は危ない状態にあると考えて良いでしょう。
日本のセキュリティ対策は、ISMS( Information Security Management System、情報セキュリティマネジメントシステム)にのっとって運用しているケースが多いですが、PDCAのCのチェックの部分で、具体的なファクトなしでチェックしているケースが多いです。多くが、「アンチウイルスが入っていますか」というようなアンケートで終わってしまっているんです。本来であれば、何%の人が最新版にアップデートしているか、どれだけの検知があるか、どれくらいの攻撃メールがきているかといったファクトでチェックするべきなのです。
「標的型メール訓練」は意味がない!?本来やるべきセキュリティ教育
―セキュリティの教育プログラムについてどのように考えるべきでしょうか。
蔵本氏:従業員の教育として、標的型メール訓練(訓練用の攻撃メールを送信し、従業員が開封した率を調査したり、開封した従業員に教育を受けさせるサービス)を実施する企業も多いと思いますが、単に「開封率が下がったからいい」「開かなければいい」で終わってしまっている企業が多いと思います。
しかし、実際の攻撃であれば、開封率が下がったとしても、開封している人が一人でもいればそこから侵入されてしまいます。本来、こうした訓練をするのであれば、開封してしまった場合、どのような攻撃が行われるのか、どういう影響があるのか、攻撃者は何を狙っているのか、といった背景までも理解してもらわないと意味がないんです。
高い費用をかけて訓練を実施するよりも、従業員全員が最新の攻撃について初歩的な知識でよいので周知するほうが、投資効率がよいこともあります。セキュリティ人材は、自社に最適なシステムや教育プログラムを考えられるスキルが必要ですね。
教育プログラムは、がっつりでなくても、1時間、2時間ほどで、サイバー攻撃の現状と攻撃者の目的を知り、攻撃の流れを知るだけでも十分でしょう。
私も企業に対してセミナーを実施することもありますし、Hackademy Projectというサイバーセキュリティについての講義をオンラインで公開しています。ここでは、攻撃のデモを紹介するだけでなく、デモ環境の構築まで紹介しているので、企業の教育にも使えると思います。攻撃の流れというのは、言葉で説明するよりも実際に目で見るほうが断然伝わりますから。
セキュリティは経営課題。米国では経営幹部にセキュリティ責任者を配置
―専任のセキュリティ人材のキャリアとしては、どんなポジションがあるのでしょうか。
高橋氏:米国では、経営にとってセキュリティが重要な経営課題になっています。セキュリティの最高責任者であるCISO(Chief Information Security Officer )がいる企業が7−8割になっています。日本の場合は、まだセキュリティが経営課題と結びついていないという現状があり、CISOのように経営幹部の一人として、セキュリティを業務執行していくポジションは用意されている企業はわずかです。
海外では、セキュリティ人材のキャリアとしては、エンジニアとしてテクノロジーで守る人、具体的なオペレーションで守る人、そしてリスクマネジメント全体を見る人の3つが確立されつつあります。
―セキュリティ人材の育成はどうしたらよいのでしょうか?
高橋氏:日本の場合は、今のところセキュリティの執行役員というポジションが根付いていないのでロールモデルがいないのが実情ですね。育成する場合は、一つは外部から専任の人を雇う、あるいは外部から専門のコンサルタントを呼んで、育成していくという2つのアプローチがあります。育成する場合は、現在の問題に対処しながらになりますね。
ITが経営基盤になっている企業は、セキュリティ人材に多額の投資をしています。新しく人材を雇用するにせよ、外部からコンサルタントを呼んで育成するにせよ、お金が必要です。本当に優秀な人材を雇うには、高待遇で採用する必要があることを自覚しなければなりません。
セキュリティ人材の育成は急務
三角育生氏
―最後に、内閣サイバーセキュリティセンター(NISC)とマイクロソフトが協力して、今回のようなイベントを開催しているのでしょうか?
三角氏:11月は、世界的にサイバーセキュリティ月間となっており、世界各国でいろいろなセキュリティに関するイベントなどが開催され、関心が高まる時期です。この時期に合わせて、日本では特に今後長くサイバー空間とつきあっていく若い世代にセキュリティについて興味を持ってもらい、知識を得てもらえればと考え、こうしたイベントを開催しています。
蔵本氏:我々は、セキュリティベンダーではなく、プラットフォーム提供ベンダーとして、中立の立場から、このイベントを支援しております。マイクロソフトでは「サイバークライムセンター」を立ち上げ、ネット犯罪撲滅のための活動もしています。営利目的ではなく、ニュートラルな立場からサイバーセキュリティについて考え、啓蒙をしていきたいということで、今回も参加しています。
高橋氏:セキュリティの若手人材育成は急務ですからね。人材育成のためには戦略的な進め方が必要なので、こうしたイベントを通して、まずは多くの人にサイバー攻撃の脅威について気づきを与える、周知すること、セキュリティの重要性を感じてもらうことから始めています。
―ありがとうございました。