【後編】「誰も取り残さないサイバーセキュリティ」の実現に向け
産学官連携で取り組む人材の育成

お役立ち情報

2023年05月08日

サイバー攻撃対策
セキュリティー対策

2022年7月、中央大学、明治大学専門職大学院ガバナンス研究科、Zホールディングス株式会社、大日本印刷株式会社（以下、DNP）、株式会社三菱UFJフィナンシャル・グループ（以下、MUFG）、警視庁サイバーセキュリティ対策本部が参加する形で、「サイバーセキュリティ人材の育成に関する産学官連携についての協定」が締結された。サイバーセキュリティーやその対策を担う人材の育成が社会的な課題となる中、産学官6機関が結んだ本協定では、どのような目的を設定して取り組みを進めていくのだろうか。後編では、協定発足から約半年の間に行ってきた活動内容と今後の展開について紹介する。

「【前編】『誰も取り残さないサイバーセキュリティ』の実現に向け産学官連携で取り組む人材の育成」を読む

アカデミックの観点からのセキュリティー人材育成の課題

前編では警視庁の呼びかけで始まった協定の趣旨や、これに賛同して参加した中央大学、明治大学、Zホールディングス、DNP、MUFGそれぞれの取り組みを紹介してきた。とはいえ、専門人材の育成は決して容易ではないのも事実である。そこにどんな課題や難しさがあるのかを認識した上で、あるべき人材育成の方向性や方法を見定めていくことが重要だ。

参加機関代表者が出席した協定の締結式。写真右から、警視庁サイバーセキュリティ対策本部長副総監山本仁氏、三菱UFJフィナンシャル・グループグループCISO 大日向隆之氏、大日本印刷常務執行役員 ABセンター長金沢貴人氏、Zホールディングス常務執行役員 GCTSO 中谷昇氏、明治大学専門職大学院ガバナンス研究科研究科長長畑誠氏、中央大学学長河合久氏（写真提供：警視庁）

例えば大学の学部学生にサイバーセキュリティーに関する知識を学ばせるためには、その前提としてＯSやネットワーク、プログラミング、ソフトウエア、ハードウエアなどの知識が必要となる。教養科目やそれぞれの専門分野など、他にも学ぶことが多い学部学生にとっては一定水準に到達することが難しい。社会人に対するサイバーセキュリティー教育を考えても、これまでのキャリアを通じて保持している知識やスキルが一人ひとり大きく異なるため、限られた時間内でどのようなゴールを設定するのかが難しい。

アカデミックの立場から上記のような課題を示した中央大学は、まず学部学生に対しては、「技術面の知識だけに偏るのでなく、必ず倫理的・法的な内容も併せて学んでもらう必要がある」として、同学学事・社会連携課の武地紫氏は次のように語る。

「努力してサイバーセキュリティーに関する知識やスキルを身につけたとしても、万が一にもそれを“ダークサイド”で利用するようなことになれば本末転倒です。決してそんなことにならないために、身につけた知識やスキルは、社会の発展に役立てるためにあることを教えていく必要があります」

社会人については、サイバーセキュリティー人材の市場価値が認められるような企業文化の醸成や社会全体のレベルアップが欠かせない。

「一人ひとりのキャリアパスとも大きく関連するのですが、せっかくサイバーセキュリティーの知識を身につけたとしても、社内での評価が得られなければモチベーションは維持できません。ヘッドハンティングなどによってセキュリティー専業ベンダーに転職していくケースもあり、企業にとっては貴重な人材を失うことになりかねません」と武地氏は強調する。

「産」の立場から提唱する人材育成の在り方

「産」側から今回の協定に参加したZホールディングス、DNP、MUFGの3社は、サイバーセキュリティー人材の育成に向けてどのような課題感を持っているのだろうか。例えば、MUFG サイバーセキュリティ推進部サイバーセキュリティグループ次長の常見敦史氏は、次の3点を指摘する。

「1点目として、サイバーセキュリティーの脅威や攻撃・防御技術を正しく理解するための前提として、新技術への追随を含めた広範なITの知識が必要となります。2点目として、自社の業務やシステム構成、情報セキュリティーポリシーの知識も欠かせません。これがなければ守るべき環境への最適な対策や優先順位を導くことができず、関係者との協力関係も構築できないためです。3点目に、複雑なサイバーセキュリティーの課題を相手の理解レベルや興味関心に合わせて適切な形で伝えていくことが求められます」

その上で、常見氏は「いずれも習得に相応の時間を要する要因であり、サイバーセキュリティー人材の育成の難しさに通じていると捉えています」と語る。

MUFGと共同で、地域警察官向けにリテラシー教育を中心とした講座を実施しているZホールディングスは、犯罪抑止や検挙に直接寄与するサイバーセキュリティーの専門家や犯罪捜査官の育成に加え、インターネットサービスを利用する一般の人々の被害を防ぐための啓発教育や、インターネット社会での行動や意識を変えていくことの必要性を説く。

Zホールディングス GCTSO（Group Chief Trust & Safety Officer）企画室の佐川英美氏は、「国が目指す『誰も取り残さないサイバーセキュリティ』を推進するためには、多様化する利用スタイルと幅広い年代にまたがる利用者属性を踏まえたセキュリティー教育を推進していくことが非常に重要です」と訴える。

また、サイバー攻撃は自社にも起こることであり、起こっている事実を受け入れて理解することの重要性を説くのがDNPだ。同社で情報コミュニケーション分野の新規事業開発を担う、ABセンターサイバーセキュリティ事業開発ユニットの谷建志氏は、「闇雲に恐れるのではなく、相手（サイバー攻撃者）のことを知った上で専門ベンダーと意識を合わせて検討すれば、100％の防御は難しいが、少なくとも早い事業の復旧（レジリエンス）は可能です」と語る。

加えて、サイバー攻撃への対策はIT部門やセキュリティー部門だけでは不可能であり、「すべての従業員に対して、自分の何気ないワンクリックが攻撃を呼び込んでしまうことの緊張感を持たせるとともに、社会に対する企業の考え方としてサイバーハイジーン（サイバー衛生）を意識した活動が求められます」（谷氏）と説く。

広い社会に向けた啓発活動をさらに推進

サイバーセキュリティー人材の育成は非常に困難な課題だからこそ、今回の協定を通じたリテラシー教育への取り組みや、広い社会に向けた啓発活動には、ますます大きな期待がかかっているといえる。

2022年8月末にZホールディングスとMUFGが講師となって開催した講座では、警視庁の交番で勤務している地域警察官向けにフィッシング詐欺対策をテーマに取り上げた。昨今のセキュリティートレンドに基づいたシチュエーションを設定して現場での対処方法を伝え、「現場の警察官としてやれることは何か」「住民が確実に行動変容を起こすために何をすべきか」をワークショップ形式で考えさせるもので、参加した警察官から大きな反響を得たという。こうした地道な取り組みを今後も継続していくことが重要だ。

ZホールディングスとMUFGが講師となって開催された地域警察官向けワークショップの風景（写真提供：警視庁）

そうした中、一般の住民が被害に遭わないよう注意を喚起するため、セキュリティー研修を受講した地域警察官の行動や住民の反応について、今後検証が実施されるという。

「例えば、以前は高齢者を含めた住民の方々に『不審なメールが届いていませんか？』といった問いかけを行っていましたが、そもそも高齢者は受け取ったメールに疑いを持っていないため、『そんなメールは届いていません』で終わってしまいがちでした。そうした課題に対して、MUFGの講師の方から同行では『銀行からメールが届いていませんか？』と聞いてフィッシングメールや詐欺メールへの注意を促しているという具体例を示していただきました。それ以降、警視庁でも同様の問いかけを行うようにしています。産学官連携によりアイデアを出し合った1つの好事例だと思います」と、警視庁サイバーセキュリティ対策本部人材育成担当管理官警視の金子浩丈氏は話す。

MUFGの常見氏も、「交流する機会がなかった組織間でこうした機会が創出できたことは、1つの成果だと感じています。今後も、産学官相互の講演開催や人材交流などを通じ、協定に参加している機関と当社のセキュリティー向上につなげられたらと考えています」と語る。

こうした手応えを掴みながら、協定に参加している6機関は今後に向けてさらに積極的な活動を展開していく考えだ。一例として、中央大学は、「まだ構想段階ではありますが、大学生に対するSNSモラル教育のコンテンツ開発への協力、仮想通貨などサイバーセキュリティー関連法の解釈へのアドバイス、寄付講座の実施やゲストスピーカーの派遣といった事業活動を検討している」（武地氏）という。

DNPはグループ会社でサイバー攻撃対策要員を養成する株式会社サイバーナレッジアカデミーのサイバー演習を、インターネット上の仮想空間であるメタバース上で提供することを検討している。「よりリアルな演習に取り組みやすい環境を提供することで、サイバーセキュリティー対策の敷居を下げていきたい」（谷氏）と、引き続き安心安全な社会づくりに貢献していく考えを示す。

警視庁の金子氏は、「サイバー空間は生活やビジネスのあらゆる面で不可欠な存在となり、もはや無関係でいられる人はいません。まずは、サイバーセキュリティーは現代社会で暮らす全員が等しく対応すべき課題だという認識を持っていただくことが大切です。本協定もそこにつながるような活動にしていきたいと考えています」と、意識の底上げの重要性を訴える。

企業ではどのような取り組みが可能なのだろうか。Zホールディングスの佐川氏は、「この協定に参加しているメンバーは、必ずしもセキュリティー教育のプロフェッショナルだけではありません。異なる業界や職種、異なる経験とそれぞれが持つセキュリティー知識を生かし活動を行っています。そういう意味では、人材育成に関与する私たちもプラス・セキュリティー人材ということです。安全なサイバー空間を実現するために、『プラス・セキュリティー』の範囲でできることから取り組みを推進していきましょう」と訴える。

そのためには「勇気を持って現状から一歩踏み出す」ことが必要だとDNPの谷氏は話す。

「私たちの生活やビジネスを豊かに、そしてワクワクさせてくれる技術が、攻撃者の道具になってしまうのは面白くありません。サイバー攻撃と聞くと、思わず目をそらしたくなる人もいるでしょう。しかし、一度腹を決めて向き合ってみれば、意外に理屈は理解できます。理解ができれば合理的・効果的な対策を検討する勇気も湧いてきます。勇気を持って一歩踏み出し、『withサイバーセキュリティー』へ一緒に取り組んでいきましょう」（谷氏）

MUFGの常見氏は、共通の課題認識を持つコミュニティーの活用も1つの方策だと話す。

「セキュリティーの世界には、非営利団体のFIRST（Forum of Incident Response and Security Teams）や、日本シーサート協議会（NCA）、業界ごとにISAC（Information Sharing and Analysis Center）などのコミュニティーがあり、いずれも共通の課題認識を持った人や組織が連携し、共助の精神で議論を行ったり、人の育成に取り組んだりしています。課題を自分だけで抱え込むのではなく、協力し合える仲間を探すことが大切だと考えています」（常見氏）

参加団体との協力関係をさらに深めながら、警視庁としてもサイバーセキュリティーへの啓発活動を充実させていくとともに、「せっかく異業種のメンバーが集まったメリットを生かし、個別では実施が難しい合同のインシデント対応訓練なども実施していきたいと考えています」（金子氏）と意向を示す。こうした取り組みの中から蓄積され、磨かれた知見やノウハウを還元し、安心して暮らせる社会を共に築いていくことが、今回の協定の一貫した目標だ。

プロフィール

サイバーセキュリティ人材の育成に関する産学官連携についての協定

2022年7月に、中央大学、明治大学専門職大学院ガバナンス研究科、Zホールディングス株式会社、大日本印刷株式会社、株式会社三菱UFJフィナンシャル・グループ、警視庁サイバーセキュリティ対策本部が、サイバーセキュリティー人材育成に関する教育・研究活動の交流および連携・協力を推進することを目的に締結した協定。サイバーセキュリティー人材の育成を推進する上で、「産」の強みである情報通信技術やリテラシー教育に関する知見、「学」の強みである学術研究に関する知見、「官」の強みである犯罪捜査及び犯罪情勢に関する知見を持ち寄ることで、人材育成に対する相乗効果を発揮し、サイバーセキュリティーの脅威への対処能力を向上することで「Cybersecurity for ALL 誰も取り残さないサイバーセキュリティ」の実現に向けた活動を行う。