IoTの進展には、セキュリティ人材の育成も非常に重要な課題であり、国を中心にさまざまな取り組みが行われている。総務省と情報通信研究機構(NICT)では、「ナショナルサイバートレーニングセンター」を開設し、実践的な教育プログラムを実施。初級者から上級エキスパートまで、段階に応じたカリキュラムを用意している。その具体的な内容とともに、今後のセキュリティビジネスや安全なIoTによるビジネスの可能性について徳田英幸氏に伺った。

「第1回:つながるリスクに備えよ」はこちら >
「第2回:積極的なセキュリティ対策が企業の価値を高める」はこちら >

実践的なセキュリティ人材育成の取り組み

――IoTの進展に伴うリスクの高まりを受けて、セキュリティ人材の育成も、ますます重要な課題ですね。

徳田
2020年にはセキュリティ人材が約20万人も不足するとの指摘もあり、これらに関しても国を挙げて、さまざまな取り組みが行われています。

そうした中、既存のトレーニングプログラムを引き継ぐかたちで2017年4月に設置された組織が、「ナショナルサイバートレニーニングセンター」です。このセンターは、総務省と情報通信研究機構(NICT)が立ち上げたもので、NICTの技術的知見や研究成果、研究施設を最大限に活用しながら、実践的なサイバートレーニングを企画・推進しています。

――具体的には、どのようなプログラムを実施されているのですか。

徳田
セキュリティ人材と一口に言っても、情報システム担当者が皆、上級エキスパートである必要はありません。むしろ、深刻なサイバー攻撃を受けた際に、実践的に対応できるチームが必要になります。そこで、CSIRT(Computer Security Incident Response Team)のメンバー構成でみると、初動で対応できる初級レベルから、中級、データ解析ができるレベルの準上級、分析官レベルの上級まで4段階の育成に取り組んでいます。

画像: 実践的なセキュリティ人材育成の取り組み


初級・中級の方向けの人材育成プログラム「CYDER(CYber Defense Exercise with Recurrence)」は、国の行政機関、地方公共団体、重要インフラ等へのセキュリティを対象にしたもので、年間3,000人以上の育成をめざします。現状は大半が行政機関の関係者ですが、重要社会インフラを扱う企業からも参加しています。

そもそも、「有事」への対応能力は、日常業務では身につきにくいものですし、既存の組織の現用システムで、訓練のためにインシデントを発生させることも難しい。日常業務が忙しくて、訓練に長時間を割くことができないという問題もあります。そこで、コンパクトで効率的なカリキュラムを用意し、疑似環境をテストベッド上で構築し、そのシステムを利用して実践的なトレーニングができる場を提供しているのです。

多種多様な能力とチーム連携がIoT進展のカギを握る

徳田
また、初級・中級・準上級を対象とするプログラムに、「サイバーコロッセオ」があります。これは、東京2020オリンピック・パラリンピック競技大会の適切な運営に向けて、大会開催時を想定した模擬環境下で行う実践的なサイバー演習です。大会が狙われるのはほぼ100%確実であり、日本のセキュリティの技術力が問われ、また発信する重要な機会となります。段階的に規模を拡大して、最終的には220名前後の育成をめざします。

そして今後のIoTの進展においてもっとも重要なのが、上級セキュリティ分析官レベルの上級者の育成をめざすプログラム「SecHack365」です。これは、日本国内に住む25歳以下の若手を対象とするプログラムで、1年をかけてセキュリティの技術開発を本格的に指導するという、いわば「金の卵」を育てる試みです。海外のさまざまなセキュリティ分析ツールやNICTの大規模高性能サーバー群を活用した遠隔開発環境「NONSTOP」などを使用しながら、自ら分析ツールをつくり出せるレベルをめざします。

なお、第1期生となる2016年4月の募集では、358名の応募があり、47名を選抜しました。その中には未成年者が17名含まれていて、倫理面での教育にも力を注ぐ必要があると思っています。

セキュリティ人材というのは、技術だけがわかればいいとうものではないですからね。企業のトップマネジメントにリスクをきちんと伝えられるようなコミュニケーションスキルやネゴシエーションスキルも不可欠です。そうした人材を、内閣サイバーセキュリティセンター(NISC)では「橋渡し人材」と呼んでいますが、その育成も非常に重要な課題です。

画像: 多種多様な能力とチーム連携がIoT進展のカギを握る

また、セキュリティ研究者のセキュリティを守ることも忘れてはなりません。現状では、システムの脆弱性を調べるために迂闊にハッキングしたりすれば罰せられてしまいますが、こうしたリバースエンジニアリング技術はセキュリティ技術の向上に必要な技術です。そのため、研究者があらゆる観点から研究を十分にかつ安全に行える環境を整備することが必要です。

セキュリティ人材にはさまざまな能力が求められます。彼らがうまく連携しながら、チームとして有事に対処できるかどうかが、今後の日本のIoTの未来を握っていると言えるでしょう。

成長を遂げるセキュリティビジネスの可能性

――逆に言えば、IoTの進展にセキュリティ対策は不可分であり、セキュリティ自体がビジネスチャンスになるということでもありますね。

徳田
もちろんです。IT企業では、製造システム関連のIoTセキュリティに関する人材育成やリスク分析、カスタマービジネスプロセスの分析の分野が急成長しています。また、ビッグデータやAIの活用により、攻撃の検知・分析・遮断までを素早く行う技術にも期待が集まっている。そうした分野でのビジネスは今後もさらに伸びていくでしょう。

――企業としては、人材育成カリキュラムやツールをうまく使っていくことが重要ですね。

徳田
はい、いずれツールがどんどん賢くなっていくので、半自動で検知でき、対応できるようになっていくと思います。ただし、教育やツールの導入などを含めて、セキュリティへの投資を適切に判断して行うこと、そして、Everything as a Serviceと言うべき、一気通貫のサービスを踏まえたセキュリティ戦略、ビジネス戦略を立てていくことが不可欠だと思います。

第2回でも少し触れたように、業界横断的な基準を設けるなどして、ガイドラインをつくり、世界に先駆けて情報を発信していくことも重要でしょう。コネクテッドカーにしても、現在はEU、米国、日本の企業がそれぞれ別々に動いている状況で、統一的なガイドラインなどはまだありませんが、他国に先を越されてしまうと、それこそ輸出ができないといった経済的な参入障壁になってしまう。自動車業界、IT業界などという、20世紀型のくくりで世の中を見ていると、いずれ取り残されてしまいます。

既存の枠を超えた連携が新たなビジネスを生む

――もはや、業界というくくり自体がなくなりつつあるわけですね。

徳田
20世紀的な見方なら、アマゾンは本を売る通販の会社でしょう。そのアマゾンがAWSというクラウドサービスを始めたのは、コンピューティングインフラを整備することで、さまざまなコネクテッドサービスを提供しようとしているからです。21世紀型の情報インフラを持つことが、彼らの大きな強みとなっています。

米国では、すでにそのことに気づいている経営者も多い。経営者へのアンケートで、「あなたの会社にとって脅威となる企業はどこか?」と尋ねると、同業他社ではなく、情報インフラを活用して参入してくる、まったく違うビジネスセグメントの企業だと冷静に分析しています。

日本では、残念ながら21世紀型の情報インフラによるビジネスというのは、まだ世界的に成功している事例が多くありません。もっとも、音楽ビジネスにしても、音楽配信が主流となっても、物理的に音楽を聴くための再生プレーヤーやヘッドフォンなどのデバイスはなくならないわけで、それらの製品をいかにつなぎ、サービスとして考えられるかということだと思います。そこを、セキュリティとセットでデザインしていくことが不可欠です。

画像: 既存の枠を超えた連携が新たなビジネスを生む

枠組みが変わってきているという意味では、業界だけでなく、大学などの研究機関や教育機関、国や自治体、民間企業による産官学連携も一層求められています。

その一例として、私が客員教授を務める慶應義塾大学では、藤沢市と共同でスマートシティの実現をめざしています。具体的には、ゴミ収集車に取り付けたセンサーや、アプリを通じた市民や市職員からの通報、あるいはAIを活用しながら、道路上の白線のかすれ、ゴミの不法投棄や落書きなどを見つけて、効率的に対応するといった実践的な取り組みを進めています。ここでも当然、多種多様な情報を扱うことからセキュリティは欠かせないテーマになります。また、日立とは、超スマート社会(Society 5.0)の実現に向けたサイバーセキュリティ分野での共同研究を推進しているところです。

組織の枠を超えた連携により、新たな発想で社会課題を解決していくことも、これからのビジネスにおいて非常に重要な視点でしょう。ぜひ多くの企業に、既存の枠にとらわれることなく、安全なIoTを活用した社会課題の解決、新たなサービスの提供、新たな価値の創造に取り組んでいただきたいと願っています。

(取材・文=田井中麻都佳/写真=秋山由樹)

画像: 徳田英幸氏 1975年慶應義塾大学工学部卒。同大学院工学研究科修士。1983年ウォータールー大学計算機科学科博士(Ph.D. in Computer Science)。1983年米国カーネギーメロン大学計算機科学科に勤務、研究准教授を経て、1990年より慶應義塾大学環境情報学部に勤務。慶應義塾常任理事、大学院政策・メディア研究科委員長、環境情報学部長などを歴任。2017年より国立研究開発法人 情報通信研究機構 理事長、慶應義塾大学客員教授。日本学術会議情報学委員会委員長、スマートIoT推進フォーラム座長、重要生活機器連携セキュリティ協議会会長なども務める。

徳田英幸氏
1975年慶應義塾大学工学部卒。同大学院工学研究科修士。1983年ウォータールー大学計算機科学科博士(Ph.D. in Computer Science)。1983年米国カーネギーメロン大学計算機科学科に勤務、研究准教授を経て、1990年より慶應義塾大学環境情報学部に勤務。慶應義塾常任理事、大学院政策・メディア研究科委員長、環境情報学部長などを歴任。2017年より国立研究開発法人 情報通信研究機構 理事長、慶應義塾大学客員教授。日本学術会議情報学委員会委員長、スマートIoT推進フォーラム座長、重要生活機器連携セキュリティ協議会会長なども務める。

コメントを読む・書く

This article is a sponsored article by
''.