ITとOTの両面からバランスよい人材の育成
受講者のバックグラウンドはかなり多様である。業種の多様性ばかりでなく、1つの会社の中でもIT系のチームから参加する場合と、OT系のチームから参加する場合がある。そのため、基本はハンズオン(体験学習)ができるように、現場にあるような模擬システム(教育施設)をIPA内に構築し、トレーニング(演習)を重ねて学ぶことが基本となっている。
このような体験を通して、サイバーセキュリティに関して、IT分野とOT分野の違いを認識し、両者の哲学のずれやそのレベル合わせなどが丁寧に体験できる仕組みとなっている。このため、図5に示すように、「プライマリー」「ベーシック」「アドバンス」のプログラムをそれぞれ3〜4カ月かけて実践するようになっている。
また、①テクノロジーから、②ビジネス・マネジメント・倫理、さらに③プロフェッショナル・ネットワーク(海外含む)などが並行してトレーニングされるカリキュラムとなっており、受講料金は1年間の研修で300万円となっている。
初年度は、すでに約75名程度の受講生が決まっている。
これらを通して、企業経営のBCP (Business Continuity Plan、事業継続計画)などを、ITとOTの両面からのセキュリティをバランスよく解決でき、多様なインシデントに適切に対応できる人材を育成することを目標としている。
国際的なリーダー的存在の講師陣
同センターが目標とするカリキュラムを実現するには、それらを教授する講師陣の高い見識とスキルも求められる。
すでに講師陣として、東京大学 情報学環 特任准教授 満永 拓邦(みつなが たくほう)氏が決まっている。満永教授は、ベンチャー企業においてセキュリティ事故対応や研究開発に携わり、JPCERT/CC早期警戒グループで、標的型攻撃などのサイバー攻撃に関する分析業務に従事した人物である。現在、サイバーセキュリティ人材育成やIoT、Fintech、ビッグデータなどの新分野のセキュリティ研究に携わっており、サイバーセキュリティにおける日本の実践的なリーダーでもある。
また、海外からは、例えば、米国のキース・アレキサンダー(Keith B. Alexander)将軍も協力してくれることになっている。アレキサンダー将軍は、現在、米国アイアンネットサイバーセキュリティ社の最高責任者であり、元米国国家安全保障局(NSA)長官や、米国サイバー軍初代司令官、米国大統領国家サイバーセキュリティ強化委員会委員などを歴任した、セキュリティのプロフェッショナルでもある。
さらに欧州からも、アドバイザーという形で同センターに対して協力してもらう予定となっている。講師陣に関しては、決まり次第順次公表される。
このように講師陣を揃え、国際的に活躍できる人材を育成するのも、産業サイバーセキュリティセンターの特色ともなっている。
多彩な受講者のプロフィール
次に、今回の受講者のプロフィールを見てみよう。
近年、セキュリティへの関心は急速に高まっており、1次募集(2017年2月20日〜3月3日)における応募の多い業種としては、スマートグリッドやVPP(仮想発電所)など次世代システムに取り組んでいる電力分野や、自動車関連の業種が挙げられる。後者の場合は、製品(自動車)をつくる工場の制御システムのセキュリティだけでなく、コネクテッド・カーや自動運転車など次世代ビジネスが活発化しているという背景がある。
また、鉄鋼分野や化学分野、石油精製分野のほか、鉄道分野、放送分野、通信分野など幅広い産業からの応募がきている。この背景には、国内だけでなく海外へ製品を輸出する際にも、サイバーセキュリティに対応した製品が求められている時代を迎えているという点も要因の1つと考えられる。
今後の取り組みの課題として、前出の表1に示したように、現場担当者の上司である担当管理職に向けたトレーニングを提供していくことも検討されている。年数回にわたってコマ(カリキュラム)が用意される。
これは、現場でインシデントに対する緊急なレスポンスが求められる場合、現場の指揮官として、しかるべき判断ができなければ、いくら現場がしっかりしていても、会社としてはBCPへの対応が遅れ、ビジネスの対応を誤りかねないからだ。
企業からの受講者のキャリアパス
このような人材教育のトレーニングを受けた人物が企業に戻った際、その人物を会社でどう評価し、配置し処遇するかという課題もある。送る側の企業としては、どのような人材を派遣しているのだろうか。
企業側には、歴史的な経過からセキュリティに関する対応部門がマチマチであるが、大きく次の3パターンがあるようである。
〔1〕第1のパターン:IT部門
産業セキュリティに関して最近は、ITとOTが関係するようになっているが、会社において実際の指揮をとるのは、ITの経験を積むなどバックグラウンドをもっているチーム(IT部門)である。具体的には、会社によってIT企画部であったり、ITシステム部であったりする。
〔2〕第2のパターン:OT部門
ITの世界とOTの世界では、世界がだいぶ異なる。ITに属していた人がOTのことを理解するには、なかなかハードルが高そうだという場合には、OTのバックグラウンドをもつ部門が同センターを活用し、ITのセキュリティについて、いろいろなトレーニングを受けて、会社のBCPの保護や、工場などのセキュリティをさらに固めていくというパターンである。
〔3〕第3のパターン:総合力をもって対応
第3のパターンは、第1と第2をミックスしていくパターンである。今回開設されるセンターの受講に、会社から2〜3人程度参加する場合もある。例えば、本社でITのチームを担当している人が事業全体を俯瞰する立場から参加する。一方、IT技術の理解は相当ハードルが高いところもあるので、グループ企業のITシステム系の人がもう1人参加する。さらにOTの現場、例えば、発電所や送配電の実務担当者、あるいは鉄工所や化学のプラント制御を担当しているチームからも参加する。このように、サイバー攻撃に総合力をもって戦っていくことを基本に、グループとして参加するパターンもある。
今後の展開:サイバー攻撃に打ち勝って
産業サイバーセキュリティセンターは、2017年4月に開所式を行い7月から教育プログラムがスタートする。
IoT時代を迎え、業界の境界領域を超えたビジネスが急速に拡大しようとしている。2020年には、そこに使用される各種センサーや通信モジュール、あるいは工場のロボットをはじめ生産設備がネットワークに接続される数は全世界で数百億個のオーダーに達すると予測されている。
このため、これまでの情報システムに加えて、新たな制御システムへのサイバー攻撃への対応が迫られている。企業のビジネスがこれらの攻撃に打ち勝ち、BCPを実現するため、企業側のダイナミックな舵取りも必要となる。産業サイバーセキュリティセンターの今後に期待したい。
