誰がやる？ どうする？ セキュリティ人材育成：日・米・星の官学の取り組みとは（2/2 ページ）

政府主導で産業界の人材育成を促すシンガポール

Singapore Association of Information Security Professionals バイスプレジデント兼創業者 フレディ・タン氏

　シンガポールでは、政府が中心となって人材育成のための枠組み構築を進めている。アジアでは、インターネットユーザーが急増する一方で、情報セキュリティ人材の評価認定制度を開発、提供する「(ISC)2」（International Information Systems Security Certification Consortium、アイエスシースクエア）の認定資格の取得者はほとんどいない。

　「理由を各国で尋ねたところ、そもそも情報セキュリティに従事する人材が少ないからと言われた」。Singapore Association of Information Security Professionals（AISP） バイスプレジデント兼創業者 フレディ・タン氏は、そう明かす。

　(ISC)2の調査レポート「The 2013 ISC2 Global Information Security Workforce Study」によると、セキュリティ人材が少ない理由に「経済上の問題」がトップに挙がった。しかし、「経営層が情報セキュリティの要件を十分理解していないという、2位の回答が本音だろう」とタン氏は分析する。

(ISC)2の情報セキュリティ人材に関する調査レポート

　経営層のセキュリティに対する理解を高め、縦・横断的なセキュリティポリシーの検討・策定を実施するCISOは、育てるべき人材の中でも上位に入る。

　しかし、「アジア圏では、ハードウェア調達用の助成金があるのに、人材トレーニング用情勢金を設けているところが少ない。人材はハードウェアやソフトウェアのように、購入してぽんと組織に組み込めるものではない。まずは、トレーニング標準や認定資格を設定し、正しい能力評価と雇用ができるよう促す仕組みが必要だ。例えば、米国国防省は情報保証に携わる人材に必要な資格をIAM（Information Assuarance Technical）やIAT（Information Assuarance Technical）などのレベルに応じて規定している（IATレベルIはSSCPやCompTIA Network+、CompTIA A+、IATレベルIIIはCASP、CISA、CISSP、GCEDなどが必須）が、良い例だ」（タン氏）

　シンガポールでは国家情報通信技能フレームワーク（National Infocomm Competency Framework）の検討を進めており、現在第3基本計画の段階にある。計画を推進・維持するための予算については、シンガポール政府が資格試験の受験料のうち最大85％（最高5000ドル）をキャッシュバックする。「リターンが見込めない投資に腰の重い企業を動かす、1つの方法」と述べるタン氏は、そうした手段に出るほど人材不足は深刻と述べる。

産業界を巻き込んだ取り組みに発展させるには？

　登壇者の発表後、安田氏を議長に、シュミット氏、スカウ氏、タン氏、内閣官房情報セキュリティセンター（NISC） 内閣参事官の三角育生氏を交えた討論会が行われた。

討論会に参加した登壇者（左から安田氏、シュミット氏、スカウ氏、タン氏、三角氏）

　まず初めに三角氏が、情報セキュリティ政策の基本戦略を遂行する機関として設置されたNISCについて説明。2013年6月に発表された「サイバーセキュリティ戦略」では、2015年度までにサイバー攻撃に関する情報共有体制の拡大や国際連携を推進し、2020年までには国内の情報セキュリティ市場規模の倍増（情報セキュリティ市場の規模は2010年で5853百万ドルで米国に次いで世界2位）やセキュリティ人材の不足割合の半減を目指すと紹介した。

　「現在、日本国内の情報セキュリティ技術者は約26.5万人、潜在的には約8万人が不足している状態。また、26.5万人中、必要なスキルを満たしていると考えられる人材は10.5万人強」と述べた三角氏は、今後は育成のためのスキル標準の改善、公的資格・能力評価の改善、教育プログラム設置に関する大学などの支援、産学連携、企業経営者の意識改革や全社的な人材育成環境の整備などに向けて、積極的に取り組むとした。

　こうした政策の中で、安田氏は他の登壇者からも挙がっていた「企業経営層のセキュリティへの理解促進」を取り上げ、意識向上はどう行うべきかハワード氏に質問。

　ハワード氏は、「経営層にとって、セキュリティ対策はCIOが考えればよい問題で、企業経営とは別問題と考えがち」と指摘。そこで米国政府は、技術者ではなく上級経営層をホワイトハウスに招き、製品のセキュリティ強化の意義や方法などをビジネスの視点から説明したという。

　「最初は小さなグループを作り、ビジネスの切り口から議論を開始。その結果、相互理解が進み、企業は高いセキュリティ意識をもってサプライチェーンと対話。徐々にだが、セキュリティ対策は産業界に浸透し始めている」（ハワード氏）

　もっとも、政府を動かすのも難題だった。

　スカウ氏は、サイバーセキュリティ対策や人材育成の議論でホワイトハウスを訪れたとき、「予算を充てるには、今週何かサイバーセキュリティで重大な事件が発生しない限り無理と言われた。その場にいた学長たちは『何か事件を起こせ』と言われたのかと顔を見合わせ、政府関係者が慌てて否定する場面もあった」と笑う。「企業からも資金面での支援はあまりなかった。この取り組みの価値を深く理解しているのは大学であり、先導する立場にあると感じた」（スカウ氏）

　一方で、シンガポールは政府が産業界のお尻を叩く役割に回っている。これは「貿易相手国としての信頼を最重視しているから」と、タン氏は説明する。「経済の大半がインターネットに依存する現在、国として安全にオンラインビジネスできることを保証することは大変重要だ」。現在は企業からの協力体制も構築され、大学でも教育や研究開発が進み、産学共同の製品化なども進んでいるという。

　これを受けて、シュミット氏も数年前、ブルガリア大統領にサイバーセキュリティ政策に積極的な理由を質問したところ、「信頼を回復したい」と答えたという。「ブルガリアは当時、ルーマニアに匹敵するほどオンライン取引のセキュリティ評価が最悪だった。その意味で、セキュリティ政策の強化や人材育成は安全なオンライン取引を保証することにもつながり、産業界にもメリットがある」（シュミット氏）

　人材育成への取り組みは各国事情によりそれぞれだが、能力評価やトレーニングの標準策定、人材の受け皿となる産業界への理解促進などが共通で挙げられた。各国の識者は互いのサポートを誓い、こうして討論会は終了した。