16万人のエキスパートが不足している

　あらゆる組織は、その内部外部問わずセキュリティのリスクに晒されていることは言うまでもないが、とりわけ近年は、サイバーテロや組織的な攻撃が増えている。グローバルな犯罪組織のサイバー攻撃は、単なるいたずらや愉快犯的なものではなく、経済を脅かす目的に変わりつつある昨今、情報セキュリティが国家安全保障の視点で語られることも珍しくなくなった。

　こうした背景から、内閣官房情報セキュリティセンター（NISC）は2014年5月19日、同センターが設置する組織情報セキュリティ政策会議において「新・情報セキュリティ人材育成プログラム」を発表した。このプログラムを簡単に説明すると、このような時代に必要なセキュリティ人材をいかに育成していくかについて、政府の考えや施策を示したものだ。

　「新・情報セキュリティ人材育成プログラム」の説明資料によれば、国内で情報セキュリティに従事する技術者約26.5万人のうち、必要なスキルを満たしていると考えられる人材は10.5万人強にとどまり、残りの16万人あまりに対しては何らかの教育やトレーニングを行う必要があるとされている。さらに、約8万人が潜在的に不足しているとされており、その解消に向けた取組は、我が国の情報セキュリティ対策に係る水準を確保していく上で急務である。

政府は雇用の受け皿と連動した教育・啓発活動、スキル認定、人材発掘を

　同プログラムでは、セキュリティ人材不足の解消に向けての人材育成プログラムや経営層の意識改革の重要性を説いている。

　人材育成については、既存技術者をエキスパートにする教育プログラムやグローバルなスキル認定制度などを考えている。また、若手育成のためCTFやコンテストのようなイベント、教師など教える側への講習、さらには中学生や高校生へのプログラミングやIT教育のようなリテラシーの底上げも考えている。量的不足については、情報通信関連の技術者にセキュリティスキルを身に付けさせる施策への言及もある。

　経営層の意識改革は、日本の企業はサイバー攻撃に対して不安を抱えており、対策の必要性を認識していながらも実際の対策が伴っていないという実態があるため、企業全体にセキュリティ意識を高める啓発活動などを進めるとしている。

　同プログラムでは、人材育成や経営層の意識改革だけでなく、雇用の受け皿も必要という認識もある。個人的には、中小企業がアプライアンスの導入やセキュリティサービスの利用がしやすくなることが重要と考える。例えばセキュリティ対策費用や研修・教育費用に対する減税措置・補助金制度など実効性のある施策を期待したい。

　このプログラムのなかでは、情報セキュリティ人材に必要な知識やスキルについては、あまり具体的でなく、「グローバルで高度な分析や対処が可能」というような、ある種抽象的なイメージしか語られていない。

　多岐に渡るセキュリティの知識やスキルを網羅し、さらには人物像まで定義することは難しいかもしれないが今回はあえて、今後セキュリティエキスパート人材に求められるスキルを、大きく4つに分類して紐解いてみたい。

【次ページ】セキュリティのエキスパート人材に求められる4つの視点