パネルディスカッション「強靭なセキュリティ人材を育成するには ~ 巻き込み力と巻き込まれ力 ~」
授賞式に続き、出席した受賞者4氏によるパネルディスカッションが開かれた。テーマは「強靱なセキュリティ人材を育成するには〜巻き込み力と巻きこまれ力〜」。モデレーターは、MM総研 代表取締役所長 関口 和一(せきぐち わいち)氏。その抄録をお届けする。
モデレーターの 関口 和一 氏
コロナ禍で顕在化した新たな課題は?
「コロナ禍でテレワークやオンライン授業など、ネットワーク利用が一気に拡大しましたが、その中で新たに顕在化されたセキュリティの問題はあったでしょうか?」という、モデレーター関口氏の質門で、パネルディスカッションは始まった。
それに応えて猪俣氏じゃ次のように指摘する。「今までしっかり作り込んだはずの、サイバーセキュリティ対策が緩くなってしまったのではないでしょうか。大学のリモート授業開始で急遽、休眠していた機器を利用したが、ファームウェアアップデートなどのメンテナンスが充分でない状況で使わざるを得ませんでした」と反省点を挙げた。
荻野氏は、コンピューターネットワーク全体の価値観が変わったと指摘する。「サイバーセキュリティは会社任せ、という意識が一般的だったと思うが、テレワークで自宅のネットワークが会社のネットワークのブランチとなって、自宅環境の安全性も重要と気づかされた人も多いのではないでしょうか。」
「インターネットがあってよかった」と発言したのは砂原氏。テレビ会議システムのように高コストなシステムを導入することなく、zoomなどのツールによって遠隔授業が容易にできた反面、「1つの手段だけに頼るのではなく、その代替プランも用意しておくことが大切」と指摘する。
「サイバーセキュリティ強化のルールを組織にあてはめる作業を進めた結果、外部ベンダのツールやシステムを導入するだけのブラックボックス化が進んでいる。例えるなら、健康のためと言って複数のお医者さんからあれこれ薬をもらって、相互の副作用もわからずにとりあえず飲んでいる。そんな状況に日本の大企業や大学がなっていると思います」と登氏は警鐘を鳴らす。
サイバーセキュリティにおける人材教育の問題点や課題は?
「今回のテーマでもある『強靱なセキュリティ人材を育成するには』をどのようにお考えでしょうか?」という関口氏の質問に、猪俣氏は「場」作りの重要性を挙げる。「サイバーセキュリティで攻撃の研究をするとなると、倫理などを教えた上で行わないといけないが、そうなると組織内の規則などもあり、堅い話で面白くなくなってくる。登さんは学生のときから自由な発想で遊び感覚で面白いモノを作り、それがサイバーセキュリティの発展に役立ってきたが、そういうことができる場を大学などに作る必要があると感じました」。
荻野氏は異分野のコラボレーションを挙げる。「琉球大学でサイバーセキュリティを教えていますが、その授業では電気系と情報系の両方の学生がいます。電気がわかる学生は半田ゴテを握るなど手が動くし、物理の学生は物性がわかる、情報系はプログラミング言語を知っている。そういった学生が力を合わせ、面白いことを始めています。それをサイバーセキュリティの教育の現場にも反映させることができないかと考えています」。
「人材は足りていると思うんですよ」と発言したのは砂原氏。「足りていないのは一般人の感覚で、例えば添付ファイルのクリックが、どんな影響をおよぼすかといったリスク意識の醸成です。そしていちばん足りてないのは経営者。サイバーセキュリティのすべてを理解している必然性はないが、少なくとも何をやるべきか、意思をもって指示が出せるようになってほしい。そうならないと、会社全体にセキュリティ文化が浸透しない」。
「巻き込み力と巻きこまれ力」を実現するにはどうしたらいいか?
関口氏から最後に、次のような質問がされた。「今回のテーマはサブとして『巻き込み力と巻きこまれ力』が設定されています。『巻き込み力』は企業や組織間の連携先などでリーダーシップを取れる人を育成していくことだと思います。一方『巻きこまれ力』とは、そういう中に自分から飛び込んでいくような、一種のオープン性を持った人材のことだと考えています。そういった観点で、どのような人材育成が必要とお考えでしょうか?」
荻野氏は、日本人の共感・共同する力に、期待している。「IoTセキュリティで苦労するのは、業種ごとに使う“言語”が異なっていることです。ただそこで日本人は同じラウンドテーブルで議論し出すと、だんだん意識や内容がまとまってきて、共通言語を作り始めるのです。それが熟成してきて、いまISO/IEC 27400につながっています。日本人にはそういう力があると思います」。
「荻野さんがおっしゃることはとても大事で、みんなが使っている言語を覚えて、その世界で同じ言語を使って進んでいく。そのための環境を整えていかないといけないと思っています」と、砂原氏も続ける。
荻野氏は、組織間の横の連携の重要性を挙げる。「CSIRT11やPSIRT12はよい活動だと私は思っています。業種が違ってもは違えど、SIRTとして活動や情報交換をしていると、そこから共通言語が生まれてくるのではないでしょうか。」
登氏は、自由に試行錯誤できる環境の必要性を説く。「コンピュータが好きで今の仕事に就いたのに、好きなことが職場でできない人がたくさん埋もれています。そういう人が自由に試行錯誤できる場が必要ですが、それを個々の組織内に作るのはガバナンス等でほぼ不可能ですので、複数の組織において共同で作ってはどうかと考えています。そこで、アイデアをもった人がそれを自由に試す。それを見て感化、触発される人も出てくるはずです。そういう良い影響が重なればサイバーセキュリティのレベルもどんどん上がって、日本が世界のトップに立てる日がくるはずです。」
▼ 注11
Computer Security Incident Response Team、コンピュータのセキュリティインシデントに関する報告を受け取り、調査、対応活動を行う組織
▼ 注12
Product Security Incident Response Team、自社で製造・開発する製品やサービスを対象に、セキュリティレベルの向上やインシデント発生時の対応を行う組織