セキュリティ被害はあなたの半径1m以内でも起きる 第7回

日本が最低!? サイバーセキュリティーの人材不足は深刻！

　Photo by Blue Coat Photos

　警視庁の「サイバーセキュリティ対策本部」は9月7日、職員の情報セキュリティー技術向上に向けた競技会を初めて開催した。

　各部署から選ばれた計228人が情報技術やサイバー犯罪などの基礎知識に関する設問にパソコンで解答し、正答率と解答速度を競った。成績上位の5人は、9月27日に開かれる、サイバー攻撃を想定した実践的な選抜競技会に出場するという。

　なぜこのような競技会を？ と思うかもしれないが、サイバーセキュリティの人材不足は、世界的な問題になっている。インテル セキュリティの調査レポートによれば、日本を含む世界8ヵ国の大多数（82%）がサイバーセキュリティーにおける人材不足を認識しているという。

　特に日本では、組織幹部がサイバーセキュリティーに関するスキルを重視しているか、という質問に対し、「非常に重視している」「重視している」と回答した割合がもっとも低かった。日本において、サイバーセキュリティーの人材発掘・育成は喫緊の課題といえるだろう。

　人材不足の原因となっているものは何か？ また、それを担う人材を育成・確保するにはどうしたらよいのか？ インテルセキュリティの調査レポート「サイバーセキュリティーの人材不足による民間／国家組織の脆弱性が明らかに」を読んでほしい。

サイバーセキュリティーの人材不足による
民間／国家組織の脆弱性が明らかに

　インテル セキュリティは、米国のシンクタンクである戦略国際問題研究所（CSIS）と協力し、民間および国家組織で発生しているサイバーセキュリティー業界に大きな影響をもたらす危機的な人材不足問題についてまとめた国際調査レポート「Hacking the Skills Shortage（人材不足の解消）」を発表しました。

　この調査は、日本を含む世界8ヵ国を対象に実施し、調査に参加した回答者の大多数（82%）がサイバーセキュリティーにおける人材不足を認識しており、そして回答者の71%は、この人材不足により直接的かつ重大な損害が発生していると答えています。このことは、優秀なセキュリティ人材がいない組織が、ハッカーにとって格好の標的となっていることを示唆しています。

　2015年、アメリカだけで20万9000人のサイバーセキュリティー職が空席のままでした。回答者全体の4人に1人（25%）、そして日本の回答者の23%がサイバーセキュリティー人材の不足が原因で特許に関連するデータを盗まれたことがあると回答しているにも関わらず、今後、この人材不足が改善される兆しはありません。調査の回答者は、2020年までに自身が所属する企業のサイバーセキュリティー人員は平均で15%不足すると予測しています。クラウド、モバイル コンピューティング、Internet of Things（モノのインターネット、IoT）、そして世界中で高度な標的型攻撃やサイバーテロが増加していることを受け、サイバーセキュリティー人材を強化させることが極めて重要になっています。

　サイバーセキュリティー人材への需要は、職務要件を満たす人材の供給のペースを上回っています。調査を行ったすべての国で、高度な技術スキルを持つ人材ほど高い需要があることがわかっています。実際、侵入検知、安全なソフトウェアの開発、サイバー攻撃の軽減などのスキルは、協調性、リーダーシップ、優れたコミュニケーション能力などのスキルよりも非常に価値が高いことが明らかになりました。

　このレポートでは、サイバーセキュリティー人材不足の原因となる以下の4つの要素について研究しています。

　1．サイバーセキュリティーに対する投資：国家や企業におけるサイバーセキュリティーの優先度は、そのサイバーセキュリティー予算額や増加率を見れば明らかです。予想される通り、サイバーセキュリティーに多額の費用を投資している国や業界ほど、人材不足問題に上手く対処できています。アンケート回答者の71%が、人材不足が原因で、組織のセキュリティーネットワークに直接的かつ大きな損害が発生した経験があると回答しています。

　2．教育とトレーニング：教育プログラムを通してセキュリティー業界で通用する人材を輩出することができると答えた回答者はわずか23%でした。このレポートでは、実技トレーニング、ゲーム、技術トレーニング、ハッカソンなど、従来とは異なる実践的な学習方法のほうが、サイバーセキュリティースキルの獲得と育成に効果的な方法となりうる可能性を示しています。回答者の半数以上が、継続的な教育とトレーニング機会の必要性を重要視している一方で、サイバーセキュリティーのスキル不足問題は他のIT関連の職種における人材不足問題よりも深刻であると考えています。

　3．雇用側の問題：採用活動において、人材を集めるための第一要素は給料ですが、優れた才能を獲得し維持するためには、トレーニングや成長機会の提供、雇用側のIT部門に対する評価など、その他の条件も重要になります。回答者のほぼ半数（46%）が、人材が流出する共通の理由として、トレーニングや資格取得への援助などがないことに言及しています。

　4．政府の方針：回答者の4分の3以上（76%）が、政府はサイバーセキュリティーの人材育成に十分な投資を行っていないと回答しています。この人材不足は、アメリカ、イギリス、イスラエル、オーストラリアの各国首脳が昨年、サイバーセキュリティー人材への支援増加を要請するなど、重要な政治課題にもなっています。

組織幹部がサイバーセキュリティースキルを
重視していないと考えている日本

　今回の調査で、組織幹部がサイバーセキュリティーに関するスキルを重視しているか、という質問に対し、「非常に重視している」、「重視している」と回答した割合は、調査対象となった8カ国の平均76%に対して、日本の回答者は8ヵ国で最も低い56%でした。これは、経済産業省が昨年発表した「サイバーセキュリティ経営ガイドライン」でも指摘されている“積極的にセキュリティ対策を推進する経営幹部が諸外国より大幅に少ない”という内容を裏付ける結果となっています。インテル セキュリティでは、日本でもますます高度化する脅威に対し、サイバーセキュリティーへの意識やそれを担う人材を育成・確保するために、官民一体となった取り組みがさらに重要になると考えています。

将来に向けた提案：
・サイバーセキュリティー職への採用条件を再定義し、従来の形式に囚われない教育方法を受け入れる必要性
・女性やマイノリティ、ハッキング経験者など、多様な人材の確保
・外部でのトレーニング機会を増やす
・自動化に対応するためのスキルを育成する
・人材不足の原因を示すデータの収集とサイバーセキュリティー技能に関するメトリクスの改善

　これらの結果に関する詳細や、インテル セキュリティからの提案については、レポート全文をご覧ください。

　戦略国際問題研究所のシニア バイスプレジデント 兼 戦略的技術プログラム ディレクターであるジェームズA.ルイス（James A Lewis）氏は次のように述べています。「サイバーセキュリティーのスキルを持つ人材が不足すると、企業は特許データや知的財産を失うなどの直接的な損害を受けます。これは国際的な問題です。調査を行ったすべての国の大多数の回答者が、組織が受ける損害の原因として人材不足の可能性を認めています」

　インテル セキュリティのシニア バイスプレジデント 兼 ゼネラルマネージャーのクリス・ヤング（Chris Young）は次のように述べています。「サイバーセキュリティー業界では、甚大なハッキングや不正行為に対応する方法について長期にわたって議論されていますが、政府や民間組織はサイバーセキュリティー人材不足問題の解決に向けて迅速な対応を取っていません。この問題に対処するためには、サイバーセキュリティー人材が現場の第一線で最大限活躍できるように、新しい教育モデルの開発、トレーニング機会の充実、さらなる自動化の促進に取り組む必要があります。そして当然、さまざまな分野でサイバーセキュリティー人材を育成しなくてはなりません」