本記事は英語版でもご覧いただけます。

 日本ではIT人材とサイバーセキュリティ人材が不足しており、人材育成が急務となっています。経済産業省によると、現在のIT人材数と潜在IT人員規模との差は132,060人に及んでおり、日本で東京オリンピックおよびパラリンピックが開催される2020年には193,010人まで不足数が増加する見込みです。ユーザー企業の約半数が情報セキュリティ人材の不足を感じていると回答しており、必要人数が確保できていると回答したのは26%にすぎません。

 さらに日本企業の99.7%が中小企業(一般に中小企業を従業員数300人以下の企業と定義)であるにもかかわらず、こちらでは従業員向けにサイバーセキュリティや関連する専門分野におけるキャリアパスを構築するための財源が不足しがちです。実際、1,000人以上の従業員を抱える日本のユーザー企業のうち情報セキュリティ業務に配慮したキャリアパスが設けられていると回答したのはわずか12.5%です。従業員数300~999人のユーザー企業では11.1%、従業員数100~299人では10.1%、従業員数5~99人では6.6%でした。

 こちらを踏まえて日本企業はサイバーセキュリティ人材を育成するために新しい取り組みを始めました。2014年10月、経団連(一般社団法人 日本経済団体連合会)が約30社からなる新しい「サイバーセキュリティに関する懇談会」を設立しました。2015年2月には日本語英語で日本政府に対する「サイバーセキュリティ対策の強化に向けた提言」を発表し、人材不足に対する懸念を訴えました。

 これとは別に、30社のメンバー企業のうち日立、NEC、NTTの3社がこの議論をさらに進め、2020年の東京オリンピック(以下東京オリンピック)前に人材不足を克服するべく動いています。2015年4月には、経営問題の一つとしてサイバーセキュリティの課題を議論し解決するためのコミュニティを作成するため、重要インフラ企業を含む各業界の大手企業へのアプローチが始まりました。2015年6月には約30社により、「産業横断サイバーセキュリティ人材育成検討会」が発足しました。日本企業が業界を横断した協力体制を開始したのはこれが初めてです。2016年8月現在、金融、IT/テレコム、製造、メディア、貿易、輸送/物流の分野から会員企業数は48社まで増加しています。経団連に所属していない会員も一部います。検討会には海外企業も参加可能になっており、日本にすでにある金融ISACとICT-ISAC以外のISAC (Information Sharing and Analysis Center) のような、海外からのベストプラクティスを共有できるようになっています。

 同検討会ではサイバーセキュリティ人材育成に関する提言も出しています。まず、高校/高専、大学/大学院、ユーザー企業、ICT企業/セキュリティ企業、そして教育、募集/採用、アウトソーシング、教育者、政策、予算支援を行う政府のそれぞれの間でサイバーセキュリティ人材を循環させるのに必要なエコシステムを明らかにしました。検討会は日本が必要とするサイバーセキュリティ対策、追求する必要のあるビジネスミッション、そしてそれらに対して需要のある人材を定義し、教育者と共有しています。人材需要、得られるキャリアパス、将来的な待遇を視覚化せずして、学校がサイバーセキュリティの各分野で人材を提供する真のエコシステムに参加することはできません。学生もサイバーセキュリティを研究したり、サイバーセキュリティ関連の職に応募したりする意欲がわかないでしょう。

 日本企業は海外企業と比較して、どのような官民パートナーシップが必要であるかを政策立案者や教育関係者へ積極的に提案することはあまりしていませんでした。したがって、今回の検討会は、日本の産業界主導で官民連携の新たな方法を示し、さまざまな業界や企業の障壁を超えたベストプラクティスを共有する上で画期的な取り組みと言えます。

 検討会の会員企業は米国NISTの「重要インフラのサイバーセキュリティを向上させるためのフレームワーク 1.0版 (Framework for Improving Critical Infrastructure Cybersecurity Version 1.0)」および「全米サイバーセキュリティ教育イニシアチブ (National Initiative for Cybersecurity Education (NICE))」を研究しました。どちらも日本で有用であり、日本のビジネス文化や慣習に合うように検討会が調整しました。

 最近のブログで指摘したように、日本企業は最近までCIO (最高情報セキュリティ責任者) などの「Cレベル」の役員という概念がありませんでした。今日でも、日本のほとんどのCISOは必ずしもサイバーセキュリティの経験があるとは限らないため、CISOに任命された場合、サポートするチームが必要になります。

 これは日米における顕著な差を生み出しています。米国の雇用市場は柔軟性が高く、専門知識や専門性の蓄積を高く評価します。CISOになりたい場合、他の組織における豊富なサイバーセキュリティの経験が必要になります。一方、日本は終身雇用制の下で異なる部門やビジネスプロジェクトの経験を積んだジェネラリストを高く評価するため、キャリアで専門性を追求し、昇進をすることが難しくなっています。

 検討会が2016年9月に発表した第一期最終報告書には際、複数の文書も付録として付いています。最初の表A1は「産業横断 人材定義リファレンス~機能と業務に基づくセキュリティ人材定義~」です。この付録では、CISOから実務担当者に至るまで、さまざまな種類のサイバーセキュリティ業務を網羅し、その役割を果たすためにどれだけの専門知識が必要かを示しています。この表には、業務責任を負う (5)、業務責任者を支援・補佐する (4)、業務を担当する (3)、業務担当者を支援・補佐する (2)、業務内容を理解する (1) という各担当の業務区分も示されています。

 2つ目の付録Bは「産業横断 セキュリティ対策カレンダー ~セキュリティ対策A to Z~」です。ここではIT戦略やシステム企画など表A1と同じサイバーセキュリティ対策機能を実現する業務例を使用して、どの対策に具体的にどのようなアクションが必要なのかを示しています。例えば、日本では4月に会計年度が始まるため、企業は4月にIT戦略を発表して会計年度を開始する必要があります。この文書はユーザー企業の情報システム部で働く技術職にとっても、非技術職にとっても役立つでしょう。

 3つ目の付録Cは「セキュリティオペレーション アウトソーシングガイド」で、どの取り組みをインソースまたはアウトソーシングできるかを分類しています。日本ではほとんどのIT人材がITサービスベンダーで働いているため、社内のサイバーセキュリティ業務全てをユーザー企業内で行うのは困難です。検討会は、事業計画など業務の一部は社内で行うべきであると考えています。経済産業省の2015年の調査によると、日本のIT技術者の24.8%がユーザー企業で働いているのに対し、75.2%はシステムインテグレーターなどサイバーセキュリティやITサービスの企業に勤めています。一方、米国ではIT技術者の71.5%がユーザー企業で働いており、28.5%がITサービス企業に勤めています。したがって銀行などの米国の大企業では、ビジネスリスクを理解して対処するために政府渉外担当者やサイバー脅威情報アナリストを社内に置くこともできます。

 4つ目の付録Dである「産業横断人材定義リファレンスに基づくスキルマッピング」は、分析、管理、技術的スキルから法律、政策に関する知識に至るまでサイバーセキュリティのそれぞれの役割に求められるスキルをマッピングしています。たとえば、CISOがコンプライアンス問題に取り組む必要がある場合、管理方針の知識と実装や評価に関するスキルが必要であり、会社法についての理解、経営管理に関する実務経験、そしてアカウンタビリティも求められます。

 検討会はNISC (内閣サイバーセキュリティセンター) など日本政府と協力して、サイバーセキュリティ関係機関との議論を継続しています。2016年8月、検討会はNISCのサイバーセキュリティ普及啓発・人材育成専門調査会で活動についてブリーフィングしています。こうした取り組みを通じて、検討会は日本のソート・リーダー (実践的先駆者) と積極的に関与できるようになりました。

 検討会が次に目指しているのは、教育界や政府と協力してバランスの取れたエコシステムでサイバーセキュリティ技術者を育成、維持していくための具体的な措置を実施することです。検討会のメンバーは、サイバーセキュリティを将来のビジネスリスク管理のための投資として捉えています。しかし日本企業の中にはいまだにITを投資する対象としてではなく、効率向上とコスト削減をもたらすための手段と認識しているところもあり、その考え方は簡単に変わらないかもしれません。

 2016年1月の中間報告書別紙1では、「世界中のセキュリティベンダー社員数より攻撃者数の方が多い現状では、セキュリティベンダーが手を組まないで攻撃者に勝てる道理はない」と主張したCEOについて触れられています。検討会の見積もりでは、日本では65万人のサイバーセキュリティ人材が必要とのことです。東京オリンピックの前後や開催中、日本は激しいサイバー攻撃を受け、その中には業務の中断、個人情報漏えい、重要インフラ操業の中断などの被害につながるものもあるかもしれません。検討会の産業横断アプローチは、そのような被害を防ぐことができる人材を育成するために必要不可欠なのです。


 関連コンテンツ

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  

  • 0
  • 6479

PA-800 シリーズ

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。

  • 0
  • 5464

PA-3000シリーズ スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。

  • 0
  • 4190

PA-5200 シリーズ

パロアルトネットワークス® PA-5200シリーズの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。

  • 0
  • 2234