経営層の認識の重要性
人材育成を実施するには、各企業の経営層がその重要性を認識することが必要となる。しかし現状では、会社によってかなりの温度差がある。
サイバー攻撃の被害を受けたことがあり、それを認識している会社の場合は、経営層からトップダウンでセキュリティ対策が行われている。しかし、同業種であっても、直接サイバー攻撃を受けていない会社では、重要性は理解しているが、まだ「時期尚早である」という認識の場合もある。
また、取り組む必要はあると思っている会社でも、どの程度本腰をいれていくべきなのか、と悩みを抱えている場合もある。
求められる人材像
そこでこのような状況を打開し理解を求めるため、今回発表された産業サイバーセキュリティセンターが考えている「サイバーセキュリティに関する人材育成プログラム」の具体的な内容を紹介しよう。
〔1〕指揮官としてもつべき3つの素養
人材の育成については、現場の指揮官として養成する人材像(もっているべき素養)として、次の3つくらいが挙げられる。
(1)ポイント1:経営幹部への的確なアドバイスとアクション
第1は、技術的に確かなものをきちんと習得しており、会社の制御システムが安全か、信頼に足るか、ということをきちんと評価できる人であること。このとき重要なのは、経営層に対して、とらえたサイバー攻撃によるリスクが、経営的なリスクであるのか財務的なリスクであるのか、ある種の翻訳をして説明できることが求められる。
さらに、技術的に危なさを指摘するだけではなく、そのリスクを解決するために具体的にすべき投資、あるいは、変えるべき今後の製品開発の方向性について、経営幹部層にきちんとアドバイスでき、なおかつ会社としてのアクションにつなげられることが、重要な要素として求められる。
(2)ポイント2:企業として具体的な対処法や方向性を決定づけるための情報収集力
第2は、アクションを起こして良い結果を出そうとする場合に、企業として具体的な対処法や方向性を示すための情報収集力をもっていること。
例えば同業他社ではどのように問題に取り組もうとしているのか(横並びの情報)、あるいは、別の業種ではどのようなことが新しく取り組まれているか。あるいは、ホワイトハットハッカーと言われる情報セキュリティのプロが、最近何を脅威と感じているのか、それが自社の防御にどのような解決策につながるかなど、海外動向も含めて情報をかき集められることが重要となる。
(3)ポイント3:リソースのマッピング
第3は、リソースのマッピングができること。社内の人的リソースも含め、各社の状況は多様である。内製化をして対応できるもの、ある時点から先はアウトソースをしたほうがよいもの、あるいはホワイトハットハッカーの分析能力を活用するものというように、リソースのマッピングが重要となる。
上記のような「産業サイバーセキュリティが目指す人材像」を図4に示す。
図4 人材育成プログラム-目指すべき産業サイバーセキュリティ人材像
出所 IPA提供資料より
産業サイバーセキュリティセンターのカリキュラム
求められる人材育成をするため、産業サイバーセキュリティセンターのカリキュラムが目指すスキルセットは、IT、OTの両面からのテクノロジーのスキルが中核をなしているが、これに加えて、ビジネスのスキルやマネジメントスキル、さらに意識してプロフェッショナルな人的なネットワークを拡げていくことも位置付けている(図5)。また、会社として当然遵守すべきルールや倫理、コンプライアンスについても高い規範意識を併せもつことも求められ、トレーニングされる。
図5に示されたカリキュラムは、サイバーセキュリティの専門家や有識者の協力を得て作成されたものである。サイバー攻撃に対処するためには、テクノロジーからビジネス・マネジメントに至るまで高いレベルの理解やスキルが求められる。したがって、現場の最前線で活躍できる指揮官になるためには、1年ほどの習得期間が必要になる。
図5 産業サイバーセキュリティセンター 中核人材育成プログラムのカリキュラム全体像(詳細)
出所 http://www.ipa.go.jp/icscoe/、http://www.ipa.go.jp/files/000057330.pdf
中核人材プログラムの内容は、国内留学のように、朝から晩まで1年かけてIPAのトレーニング施設で実践的に学び体得する。
