★☆★JNSAメールマガジン 第88号 2016.6.10.☆★☆
(JNSA教育部会長/日本アイ・ビー・エム(株)平山敏弘)
こんにちは、教育部会部会長の平山です。「情報処理安全確保支援士」制度が法案成立し、サイバー攻撃に対応するため、ホワイトハッカーなどの人材育成や高度な防御策の研究に取り組む新組織産業「サイバーセキュリティ推進機構」を創設する方針が固まる一方、セキュリティーの専門人材が2020年に20万人近く不足するとの調査結果が報告されるなど、セキュリティ業界に影響を与える様々な出来事が立て続けにおきています。そこで今回は、JNSA教育部会が4月に公表した「情報セキュリティスキル分野(SecBoK)2016」についても触れながら、セキュリティ人材の育成について考えていきたいと思います。
情報処理安全確保支援士制度については、良くも悪くもセキュリティ業界では話題になっていると思いますが、当制度創設にあたっては経済産業省から以下の背景や目的があげられています。
1)の人材不足については、基本的には「情報セキュリティスペシャリスト試験」の置換えになるため、このままの制度では人材不足が解消されるとは言えないと思います。
2)の適切な評価に関しては、「情報処理安全確保支援士個人がサイバー攻撃等の標的となることも想定されることから、こうした点を十分に留意しつつ、登録事項の公開方法を検討する必要がある」とあります。危険性等についてはその通りであると思いますし、公開する側が公開することによるメリットがなければリスクだけ背負うことになるため、誰も対応しないのではないでしょうか。経済産業省では、「情報処理安全確保支援士の名称を有資格者に独占的に使用させる」としていますが、これだけでどれだけのメリットがあるのかは不明確です。
3)最新のセキュリティに関する知識・技能を備えた、高度かつ実践的な人材に関する資格を創設することには賛成ですが、セキュリティ人材を情報セキュリティスペシャリストから情報処理安全確保支援士へ移行し、一本化してしまうのはどうなのでしょうか?筆者は、セキュリティ人材には、技術を中心とした技術者人材のピラミッドと管理・監督を中心としたマネジメントのピラミッドがあるのではないかと考えています。もちろん双方のピラミッドは交差している部分があるのですが、役割は分かれると思いますので、その点も考慮した人材育成が必要ではないでしょうか。
もともと日本においては、米国などと比較してユーザー企業内のIT技術者比率が圧倒的に低く、ITベンダーやSIerに多くのIT技術者が所属する環境においては、技術の習得や発展には積極的であるが、特にユーザー企業内に必要とされるマネジメント系人材が不足しており、人材育成も進んでいないことがうかがえます。そのことは真のCISOの存在が少ないことからも明らかではないでしょうか。
このようにいろいろ問題もあり、皆さんもいろいろ仰りたい情報処理安全確保支援士ですが、法案で決まったことですのですぐに施行されますし、世間にも少しは注目されることとなり、セキュリティ業界としては追い風であることには間違いないので、我々としてはこの流れに乗って当制度を有用に使えるようにすることが重要ではないでしょか。筆者もこれから始まるIPAの情報処理安全確保支援士運営にかかわる有識者委員会のメンバーになっていますので、読者の皆さんもご意見があればJNSA事務局にご連絡いただければ、可能な限り委員会の席で、提案・意見を述べていきたいと思っていますので、よろしくお願いします。
このようなセキュリティ人材育成に関して、もう1つ皆さんにご紹介したいのは、昨年から教育部会を中心に有識者の方々に委員として参画いただいて実施していた「情報セキュリティ知識分野(SecBoK)2016(以下SecBoK)」を、4月19日に発表させていただいたことについてです。
SecBoKは、セキュリティ業務に携わる人材が身につけるべき知識・スキルを体系的に整理したスキルマップになります。2009年以来の更新で、セキュリティ脅威や技術の変化に対応するよう、情報セキュリティ人材として16種類の役割を抽出し、役割ごとに必要となる知識項目を整理するなどの改訂を行ないました。具体的には、世界基準にも対応するために、必要な知識やスキル・能力については、米国国立標準技術研究所(NIST)が作成している「NICE CybersecurityWorkforce Framework」に準拠するように項目を設けました。また主にベンダー企業向けだった従来のスキルマップから、ユーザー企業での使用も考慮するために、役割(ロール)については、日本シーサート協議会の「CSIRT 人材の定義と確保 Ver.1.0」にて定義されているCSIRTに求められる役割を参考とするなどの改訂をしています。このSecBoKは、IPAから2015年に公開されている、新しいITスキルスタンダードであるiコンピテンシ・ディクショナリ(以下iCD)と相互互換できるように連係しています(iCD2017とは、さらに今年度において連係作業を実施中です)。iCDと連係することでのメリットとしては、大きく以下の2点があげられます。
1)自社で必要な人材のロールを決めると、そこから必要なスキルが導き出されて、それに関連する資格が情報処理技術者試験だけでなく、ベンダーや教育事業者から提供されている資格や研修ともマッピング可能なため、人材育成計画がたてやすくなる
2)ベンダーや教育事業者が、SecBoKを参照することで間接的にiCDも参照することとなり、自社提供の資格や研修などの該当スキル項目がiCD標準に則り明確にすることが可能となる。
iCDは今後、情報処理安全確保支援士の保有スキルとのマッピングを検討していますので、マッピング後は、SecBoKとも連携されることになります。まだ検討が開始されていないので何とも言えませんが実際には、情報処理安全確保支援士は複数のロールを担う事になるのではないかと思います。改訂版SecBoK2016はユーザー企業側での使用も想定していますので、ユーザー企業側への情報処理安全確保支援士普及に向けて少しでも貢献できれば幸いです。
SecBoK2016は、既にユーザ企業側での利活用について具体的に複数社で検討を開始していただいており、セキュリティ技術者の人数が足りないと言われている多くが対象となっているユーザー企業内におけるセキュリティスキルを持った人材の育成に役立つことが可能となります。ここではあえて技術者と言う言葉を使わないようにしていますが、それは前半にお話した「技術を中心とした技術者人材のピラミッドと管理・監督を中心としたマネジメントのピラミッド」のように、例えば技術者でなくても管理・監督責任のある方には、セキュリティスキルが必要であるケースがあるためです。
ただし、「8万人足りない」「20万人足りない」と言われているセキュリティ技術者ですが、当然のことながら「人数を増やすことだけが目的ではありません」。質の向上をどうすれば図れるのかが重要であり、増強したい人材やスキルについて、可能な限り明確にして取り組む必要があります。そのような場合に、役割ごとに必要となる知識項目を整理しているSecBoK2016は、有効なツールとして利用することが可能になりますので、皆さん一度ご覧になってください。
技術の進歩や便利さの追求が先行され、バランスが崩れている点が多々見受けられる現代社会においてセキュリティ人材の育成は急務であり、セキュリティ業界的にも追い風が吹く状況ですが、2020年東京オリンピック・パラリンピックで終わりではないので、その後も見据えた組織作りや人材育成が重要であると考えます。「第4次産業革命」と呼ばれるIT利用による技術革新を我が国がリードすることこそが、新たな成長フェーズに移行するためのキーとなる一方、その革新を支える重要なファクターがセキュリティであることは明らかです。そのためには、セキュリティ業界に携わる我々皆で盛り上げながら人材育成にも取り組もうではありませんか。