ESET/マルウェア情報局

今求められる人材は情報セキュリティーのスペシャリスト

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載された情報セキュリティマネジメントと情報処理安全確保支援士、二つの試験・資格の取得意義とは?を再編集したものです

 2020年の東京オリンピック・パラリンピックまで残すところ1年半あまり。この大きなイベントを控え、情報セキュリティ業界は慌ただしさを増している。また、政府でも日本再興戦略に基づき、持続的な成長に向けてサイバーセキュリティ基本法を改正するなど、情報セキュリティ関連の施策を強化してきている。

 そのような時代の流れを受け、情報セキュリティに関する試験制度も大きく刷新されることとなった。「情報セキュリティマネジメント試験」の新設と、「情報セキュリティスペシャリスト試験」の「情報処理安全確保支援士試験」への変更、その背景と取得意義、そして資格試験の将来像について、経済産業省所管である独立行政法人情報処理推進機構(以下、IPA)のIT人材育成センター グループリーダー 谷澤 昭紀氏、主幹 岩男 英明氏、主任 増田 雄一氏、主任 髙山 俊介氏の4名に話を聞いた。

サイバー攻撃に対処できる人材不足が顕著に

 朝、スマートスピーカーから流れるメロディに合わせるように部屋の照明が明るくなっていく。自然な感覚で目覚めると、画面には昨晩が快眠だったことを数値で示してくれている。天気予報アプリを立ち上げ、一日の気温と天候の推移をチェックする。この様子であれば、今日は薄手のコートでも大丈夫、傘も必要ない。着替えてダイニングに行くと、コーヒーメーカーには出来たてのコーヒー。手早く朝食を済ませ、タブレットで一日の予定をチェックする。合間に、アプリ経由でタクシーの配車依頼を。会社までの移動の間に、昨晩来ていたメールには返信できるだろう……。

 21世紀を迎えた頃には誰も想像だにしていなかった未来がいまや当たり前になっている。その実現には驚異的ともいえるデジタルテクノロジーの発展が関係している。スマートフォン経由で享受できるサービスだけでなく、さまざまな分野でデジタルテクノロジーは私たちの生活を一変させている。しかし同時にその裏側では悪意のある攻撃者が絶えず犯罪を試みるようになってしまった。利便性の向上とまさに表裏一体の関係としてサイバー攻撃もその影響度を増している。

 「今まさに時代は第四次産業革命へと向かっています。今後、AIやIoTなどのテクノロジーが普及していくにあたり、情報セキュリティをどう確保していくかが大変重要で喫緊の課題です。私たちIPAは日本のIT推進における旗振り役として、IT社会の動向調査・分析、情報セキュリティ対策の強化・実現、IT人材の育成を担う組織です。」と谷澤氏はIPAという組織のミッションを説明する。

 2010年代以降、世界的な好況もあり、日本国内では慢性的な人材不足が続いている。特にIT分野ではその傾向が顕著である。中でも情報セキュリティに関する人材は2016年に実施した経済産業省の調査では2016年時点で13万人が不足、2020年には19万人が足りなくなるとの推測を立てているほど、状況はひっ迫している。

参考: IT人材の最新動向と将来推計に関する調査結果について(経済産業省平成27年度調査)

高まる情報セキュリティ人材のニーズを受けて『試験制度』を再定義

 情報セキュリティ対策を強化していくにあたり、一定のスキルを有した人材は欠かすことができない。そこで人材育成をこれまで以上に推進するため、IPAの試験制度に関しても見直しがおこなわれた。おりしも2014年から2015年にかけて、民間企業や行政機関で大規模な情報漏えい事件が立て続けに発生したこともあり、世間で情報セキュリティに関する人材育成が急務であるとの認識が高まっていた。

 「『ユーザ企業』といわれる事業会社の約7割では情報セキュリティ人材育成の取り組みが進んでいないということが、『IT人材白書2015』(IPA調査)で明らかになりました。そのような実態を踏まえ、企業の現場の情報セキュリティのリーダーとして、情報セキュリティポリシーに沿った運用をCSIRTなどと連携して推進していく人材を育成する『情報セキュリティマネジメント試験』が2016年春に創設されました。また、情報システムに精通して具体的な対策を指導、助言していく高度な能力を有する人材の育成としては、実践的な能力を定期的に確認する更新制を導入するなどして情報セキュリティ人材の質の担保を図る新たな国家資格制度が経済産業省の研究会にて検討。2017年春に『情報処理安全確保支援士試験』を開始するに至りました。」(岩男氏)

 IPAでは「情報セキュリティマネジメント試験」の合格者については、情報セキュリティを利用者側の立場で管理する人材として、組織の情報セキュリティポリシーに沿った運用だけでなく、従業員の情報セキュリティ意識を向上させる役割なども期待しているという。もうひとつの「情報処理安全確保支援士」については、情報セキュリティ技術の専門家として、組織の内外を問わず、経営課題への対応、システム等の設計・開発、運用・保守、緊急対応まで幅広く支援する人材を想定しているといい、両者が企業・組織内で連携することで情報セキュリティ対策はより強固なものとなる。

 一方で人材育成の問題は一朝一夕で解決できるものではない。特に、大企業など経営資源にある程度余裕があるような企業と中小企業では事情も大きく異なる。今回の各制度の役割定義ではそういった実態も考慮されているという。

 「情報セキュリティ対策の重要性は少しずつ企業に認知されてきており、自社で人材確保や育成が進んでいるところもあるが、情報セキュリティ対策を「単なるコスト」と認識している経営者も多く、対策を放置している企業も少なくありません。しかし、デジタルテクノロジーがビジネスと切り離せなくなってきている中、日増しにリスクは高まっています。私たちは前述のような、情報セキュリティ対策が進んでいない企業に対して情報処理安全確保支援士がコンサルタントの立場でセキュリティ対策に関与することも想定しています。情報セキュリティに関する能力を備えた情報処理安全確保支援士がそういった企業を支援する形であれば、対策が進んでいない企業でも、導入の検討がしやすいのではないでしょうか。情報処理安全確保支援士は登録制度となっており、IPAのウェブサイトで登録者を検索できます。よって、企業がデータベースから登録者にコンタクトを取ることもできるのです。」と増田氏は述べる。人材の流動化を図ることで、導入コストの問題でセキュリティ対策を怠っていた企業にも対策を促すということだ。まさに中小企業の実情を踏まえた取り組みといえるのではないだろうか。

『支援士制度』では資格取得後も定期的な講習で最新動向をキャッチアップ

 情報セキュリティにおいて、攻撃者と防御側はいたちごっこの関係とよくいわれている。そしてその関係性は常に攻撃者に有利な状況にある。防御する側は過去の攻撃動向をもとに、未知の攻撃を想定した対策を練らなければならない。しかし最近では「ゼロデイ攻撃」が一般化するなど、未知の脆弱性を狙った攻撃が後を絶たない。そのため、防御側は常に最新のセキュリティ情報だけでなく、テクノロジーの動向もキャッチアップする必要がある。「情報処理安全確保支援士制度」では、資格取得後も講習の受講を義務付けるなど、資格が形骸化しないような設計となっている。具体的には最新情報のインプット、技能の強化、基礎知識の復習、実践的能力の維持・向上などをオンライン経由で提供している。加えて3年ごとに集合講習も設け、参加者同士の交流も図っているという。

 「集合講習にはユーザ企業、ベンダ企業、IT企業、経営者などさまざまな立場の方が参加されます。そのため、各立場から発言がなされることで、気づきが多いと参加者から評価を受けています。経済産業省の「産業構造審議会 商務流通情報分科会 情報経済小委員会 試験ワーキンググループ」においてもこの分野における有資格者同士の交流の重要性が挙げられていましたが、私たちも当事者として、現場での声を受けてその認識を強めています。」(高山氏)

 このような交流の場は、集合講習だけにとどまらない形でも必要であり、今後も制度を運営していくうえでどのような方法がより良いのか、さまざまな可能性を含めて検討していきたいとのことだ。

情報セキュリティ対策は今後、企業活動の一環として組み込まれていく

 IPAでは特に中小企業の経営者に情報セキュリティ対策の重要性を理解してもらいたいという。日本国内には約385万社の企業が存在(2016年時点)し、そのうち約99%が中小企業である。すなわち、中小企業が対策を進めない限り日本全体で考えると大きなセキュリティホールが空いているようなものといえる。最近では「サプライチェーン攻撃」と呼ばれる攻撃手法も確立してきており、中小企業でも対策は不可欠となってきている。また、不正アクセスによる技術・特許資料などの窃取の恐れもある。それらが海外に流出してしまうことは国力の低下を意味する。こうした側面をとっても、中小企業における情報セキュリティ対策が重要であるのがわかるだろう。

 「現在、2020年をひとつのマイルストーンとして情報セキュリティ対策が語られていますが、そこが帰着点というわけではありません。むしろそれ以降も対策は複雑化していくでしょう。そのため一刻も早く、対策に着手して企業活動の一環として組み込むことが大切です。IPAも中小企業庁と連携して『SECURITY ACTION(セキュリティアクション)』という活動を推進したり、中小企業が対策を講じる際の具体的な手引きなどを示した『中小企業の情報セキュリティ対策ガイドライン』を広めたりするなどフォローアップをおこなっています。まず経営者には経済産業省とIPAが共同で策定した『サイバーセキュリティ経営ガイドライン』を一読してもらい、情報セキュリティ対策が喫緊の課題で重要であることを感じ取ってもらいたいと考えます。」と谷澤氏は最後に中小企業における情報セキュリティ対策の重要性について強調した。

 情報セキュリティの試験は合格すれば終わりではなく、むしろ合格後にその知識を活用して企業・組織内でどういった立ち振る舞いをするのかが重要であることが各氏の話からも理解できただろう。小学校ではプログラミングの授業が必修化される時代、今後はこれまで以上に情報セキュリティの知識は重要となっていくに違いない。そして、これら有資格者に期待される役割も大きなものとなっていくのではないだろうか。

お話を伺った方:
独立行政法人情報処理推進機構 IT人材育成センター グループリーダー 谷澤 昭紀氏
独立行政法人情報処理推進機構 IT人材育成センター 主幹 岩男 英明氏
独立行政法人情報処理推進機構 IT人材育成センター 主任 増田 雄一氏
独立行政法人情報処理推進機構 IT人材育成センター 主任 髙山 俊介氏