地方で不足する「セキュリティ人材」、どう育成・確保するか：セキュリティ・キャンプ九州 in 福岡 2016レポート（前編）

情報セキュリティ人材不足に悩む地方都市

　長らく叫ばれる情報セキュリティ人材不足の問題について、特に危機感を抱いているのが地方都市だ。大手を含むセキュリティ企業やIT企業が東京に集中する現在、貴重な若手人材や専門家の流出は、地方にとって深刻な課題の1つとなっている。また、企業や学生主催の勉強会・交流会なども、東京の方が盛んに行われているのが実情だ。SNS以外の交流やコミュニティー参加の機会が必然的に少ない地方の学生たちなどにとって、セキュリティ技術への関心を維持し学習を継続するのは簡単ではない。

　こうした課題を解消すべく発足されたのが、セキュリティ・キャンプ九州実施協議会だ。2013年にIPA主催で開催された「セキュリティ・ミニキャンプ in 福岡」をきっかけに、九州ドメインの実施協議会が設置され、2014年からは同協議会が中心となってキャンプを運営している。2016年9月16日から19日にかけては、福岡市博多区で「セキュリティ・キャンプ九州 in 福岡2016」を開催した。

　同イベントの初日には、一般向けの講座として、サイバーセキュリティ攻撃の現状や法制定の取り組み、セキュリティ人材や育成のヒントを中心に、有識者たちによる講演が行われた。本稿ではこの一般講座の様子をレポートしよう。

スマートフォンをめぐるサイバー脅威の現状と、個人ができる対策

IPAセキュリティセンター 加賀谷 伸一郎氏

　初めに行われたのは、IPAセキュリティセンターの加賀谷伸一郎氏による講演「個人の身近に迫る情報セキュリティ脅威」だ。同氏は講演の中で、スマートフォンのITセキュリティ脅威に関する最新動向を紹介した。

　加賀谷氏は、スマートフォンなどに不正なアプリをダウンロードさせる「だましの手口」がますます巧妙化していると説明し、メールやSNSのメッセージなどを巧みに使って公式アプリストア以外のサイトへ誘導させる方法や、「ウイルスを検出した」というポップアップの表示や音声を流すことで偽ウイルス対策アプリをインストールさせ、有料機能の購入を促す手口などを解説。また、不正アプリを利用したスマートフォンの遠隔操作デモにより、カメラを勝手に使って盗撮を行ったり、電話をかけて周囲の音を盗聴したりできることを示した。

　こうした「だまし」への対策としては、「信頼できないアプリを安易にインストールせず、公式アプリストアを利用するように心掛けること」や、「アプリをインストールする前のアクセス許可の内容をしっかり確認すること」「スマホには画面ロックを掛けること」などが挙げられる。「IPAでは、『スマートフォンを安全に使用するための6か条』を公開している。ぜひ、参考にしてほしい」（加賀谷氏）。

安全なIT利活用を目指して、経済産業省が示した2つの指針

経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐 石見賢蔵氏

　続く講演「サイバーセキュリティに関する法案と企業へのメッセージ」では、経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐の石見賢蔵氏が、経産省のサイバーセキュリティ対策の取り組みとして、「サイバーセキュリティ経営ガイドライン」と「IoTセキュリティガイドライン」を紹介した。

　サイバーセキュリティ経営ガイドラインは、セキュリティマインドを持った企業経営を推進し、サイバーセキュリティ人材の育成、組織能力の向上を進めることを目指したガイドラインだ。

　「個人情報や営業秘密の流出、インフラの供給停止など、サイバー攻撃のリスクは企業運営に関わります。経営者は企業戦略としてセキュリティへの投資を考えなければなりません」。そう述べた石見氏は、経営者がサイバーセキュリティリスクにおいて認識すべき3原則と、CISO（Chief Information Security Officer）などに指示すべき重要10項目（体制作りやPDCA策定、事後対策など）を含むガイドラインの概要を解説した（関連記事）。

　一方の「IoTセキュリティガイドライン」は、セキュリティ確保の観点でIoTを設計する「セキュリティ・バイ・デザイン」を基本原則とし、産業機器の積極的な開発を促し、利用者が安心して利用できる環境を生むことを目的としたガイドラインだ。「方針、分析、設計、構築・接続、運用・保守における指針を定めた他、一般利用者のためのルールもまとめてある。より安全なITの利活用のために、指針として活用してほしい」（石見氏）。

セキュリティ人材育成の前に、「正しい情報管理ができる組織作り」を

　後半には、「セキュリティ人材育成」をテーマにした3つの講演が行われた。

ディアイティ クラウドセキュリティ研究所　所長 (ISC)2特別講師　河野省二氏

　1つ目の講演「セキュリティ人材育成がうまくいかない理由を探る」では、ディアイティ クラウドセキュリティ研究所 所長 (ISC)2特別講師の河野省二氏が、セキュリティ人材育成において企業が陥りがちなポイントを解説した。

　「企業のITセキュリティは、個人の仕事ではなく組織の役割の1つ。それなのに、個人に必要とされる知識やスキルだけを考えているからうまくいかない」（河野氏）

　そう述べた河野氏は、まずはセキュリティの情報が正しくエスカレーションされ、把握できる組織作りと、セキュリティ対策を人間任せにしないIT基盤作りを行い、その上で組織におけるITセキュリティ人材の役割や仕事の在り方、評価方法などを考えるべきだと強調した。

　また河野氏は、リスクがあるからといってクラウドやUSBの利用を禁止して業務効率や生産性を低下させたり、覚えられないほど長いパスワードの設定を義務付けたり、人力でインシデント情報の収集や管理を任せるCSIRTを作ったりするような、「従業員の判断に依存した組織運営」はいずれ機能しなくなると指摘。経営層や責任者が適切な判断を行えるような情報セキュリティ対策、運用を計画し、実施する必要があると訴えた。

　「ITが肩代わりできることは可能な限りITに任せて、人間は精査された情報を事業利益や業務効率化の観点に変換することに集中し、定期的にエスカレーションしながら学習と成長のPDCAを回す。それが実現できれば、企業が求めるセキュリティ人材像も明確化し、セキュリティエンジニア自身もキャリアパスを描きやすくなるはず」（河野氏）

学生たちは、ぜひセキュリティ分野にチャレンジを

九州大学サイバーセキュリティセンター長 岡村耕二氏

　続いて教育機関が取り組む人材育成について紹介したのは、講演「人材育成のためのサイバーセキュリティ教育」に登壇した九州大学サイバーセキュリティセンター長の岡村耕二氏だ。

　ネットワーク分野出身の岡村氏は、学生のいたずらからネットワークを守ってきたところ、セキュリティに相通じるものがあるとしてセキュリティ業務も任せられるようになったという。

　ところが、組織という枠組みの中で安定運用を目指し、ネットワーク機器の設定や仕様を相手にするネットワーク分野に対し、セキュリティは「攻撃者」という人間と対峙するものだ。また、問題が発生したときは社会的インパクトに発生する可能性が高く、法律や倫理を身につける必要があるなど、ネットワーク分野とは違ったチャレンジが存在する。「難しい領域だが、世間からセキュリティに対する注目が集まる現在、学生には積極的に挑戦してもらいたい分野だ」（同氏）。

　実際、九州大学ではITを利用する上で最低限知っておくべき知識を教える講座を2014年後期から基幹教育オープン科目として開講しているが、当初は38人だった履修者が2016年度の前期には220人が膨れ上がるなど、関心の高まりが見られるという。

　「2017年度からは2カ月単位で講義が完結する4学期制になり、技術や法律、倫理、著作権、社会科学など、文系・理系に依存しない内容で構成する予定」と述べる岡村氏は、ITパスポート試験に合格する程度の基礎レベルの知識を身に付けてもらえるように取り組みを進めているとした。

人材を育てるには、欠点を見つけて修正するより長所を見つけて伸ばすこと

ラック 長谷川長一氏

　最後は、ラックの長谷川長一氏が「実践的情報セキュリティ人材のつくりかた」と題し、企業でセキュリティ人材を育成するための事例やヒントを語った。

　「ITセキュリティ人材に求められるスキルは、緊急時の判断力、倫理観、不確実性要素がある中でも予測し対応できるシナリオ思考、新たな技術や環境変化に対する継続的な適応力など、実践的な能力だ。これは知識と技術だけで賄えるものではなく、経験が必要となる」（長谷川氏）

　そう述べた長谷川氏は、経験を振り返って概念化し、行動に結び付ける「経験学習モデル」を繰り返すことで実践的スキルを得られると説明。ITの知識や技術力を試すコンテスト「CTF（Capture the Flag）」やチームでネットワーク障害の原因を特定して対応する自社コンテスト「ラックサバイバルチャレンジ」などの事例を紹介し、学習目標を設定して演習、評価につなげる教育モデルの重要性を伝えた。

　「ポイントは、心置きなく失敗できる環境を提供すること。そして、欠点を見つけて修正するのではなく、長所を見つけて伸ばすこと。それが人材育成においては大切だ」（長谷川氏）