NECと日立製作所、富士通の3社は2017年12月14日、セキュリティ専門家の人材モデル定義と育成に共同で取り組むと発表した。サイバー攻撃が増加するといわれる2020年の東京オリンピック・パラリンピック開催に向けて、現在の2倍以上となる2000人強を育成する計画。まずは2年をめどに活動し、他のITベンダーやセキュリティベンダーにも参加を呼びかける。

育成速度加速のカギは「サイバーレンジ」

 「サイバーセキュリティ人材育成スキーム策定共同プロジェクト」を開始した。目的はサイバー攻撃に対処できる実践的なスキルやノウハウを持つセキュリティ専門家の育成である。NECの武智洋中央研究所セキュリティ研究所所長代理兼セキュリティエヴァンジェリストは「サイバーセキュリティというとセキュリティ事故対応に目が向きがちだが、実際にはリスクマネジメントや事業継続性と絡む問題でありGRC(ガバナンス、リスク、コンプライアンス)の範囲。そうした広がりを踏まえてシラバスや教材などを作る」と話す。

「サイバーセキュリティ人材育成スキーム策定共同プロジェクト」の推進役。左から日立製作所の瀬野尾修二サービスプラットフォーム事業本部セキュリティ事業統括本部サイバーセキュリティ技術本部長、NECの武智洋中央研究所セキュリティ研究所所長代理兼セキュリティエヴァンジェリスト、富士通の奥原雅之サイバーセキュリティ事業戦略本部サイバーディフェンスセンター長
「サイバーセキュリティ人材育成スキーム策定共同プロジェクト」の推進役。左から日立製作所の瀬野尾修二サービスプラットフォーム事業本部セキュリティ事業統括本部サイバーセキュリティ技術本部長、NECの武智洋中央研究所セキュリティ研究所所長代理兼セキュリティエヴァンジェリスト、富士通の奥原雅之サイバーセキュリティ事業戦略本部サイバーディフェンスセンター長
[画像のクリックで拡大表示]

 実際にユーザー企業の現場で実践的に動くためには「耳学問だけではだめ」と日立製作所の瀬野尾修二サービスプラットフォーム事業本部セキュリティ事業統括本部サイバーセキュリティ技術本部長は指摘する。座学で得た知識を現場で実際に発揮できるようにするには経験が欠かせないというのだ。ただ、セキュリティ事故はそうそう起こらない。

 そこで3社は育成を加速させるため、サイバー攻撃に対する防御などの訓練をするための演習基盤システム(以下、サイバーレンジ)をプロジェクトの中心に据えている。サイバーレンジは仮想空間上に企業のシステムやネットワークを疑似的に再現し、脆弱性を潜ませたサーバーやアプリケーションを配置したり、マルウエア(悪意のあるソフトウエア)に感染させたりできるようにするシステムだ。受講者や演習を管理するための仕組みも必要になる。

 ただ、どんな規模のシステムやネットワークを仮想空間に立ち上げ、どういった防御・攻撃の手法を訓練させるかという「コンテンツ」は「作るにも相当のスキルを持った技術者が必要で、運用するには講師も育てなければいけない。とにかく開発と運用にコストがかかる代物で、1社で年間2~3本作るので精一杯」(富士通の奥原雅之サイバーセキュリティ事業戦略本部サイバーディフェンスセンター長)というのが現状だ。サイバーレンジで鍛えて実践的な人材を育成しようにも、サイバーレンジそのものがボトルネックになっているというわけだ。

専門家を2000人強まで増やす

 3社別々に高いコストをかけてサイバーレンジでゆっくりしたペースで育成していたのでは、日本社会として要請される人材数を満たせない――。3社はこう危機感を共有し、「サイバーレンジでの育成が必要な人材に教育を行き届かせたいという認識で一致し、2016年に共同プロジェクトの検討をスタートした」(富士通の奥原氏)という。経済産業省の調査によれば、2016年から2020年にかけてセキュリティ人材は15万人増えるものの、不足数も13万人から19万人に増える。

情報セキュリティ人材の不足数と将来推計結果
情報セキュリティ人材の不足数と将来推計結果
(出所:経済産業省)
[画像のクリックで拡大表示]