Security Online Day 2018 イベントレポート

「惑わされないセキュリティ人材育成」をやってみよう教育現場からのアドバイス――東京電機大学猪俣敦夫教授

2018/10/12 06:00

通知

　セキュリティ人材が必要とされるものの、困惑や迷走もある。本当に必要なセキュリティ人材とはどんな人物か、どのようなセキュリティ投資をすべきか。長らく人材育成にも携わってきた東京電機大学猪俣敦夫教授がセキュリティ人材育成について、教育者の立場からアドバイスする。

通知

セキュリティ人材、迷走然々

情報の価値で重要なのは「情報のTTL（生存時間）」

　東京電機大学の猪俣です。奈良先端大や大阪大学でも教育や研究活動をしています。セキュリティ関係では一般社団法人JPCERTコーディネーションセンターで理事、一般社団法人公衆無線LAN認証管理機構では代表理事もしております。元々は数学科出身で暗号を中心として今も教育、研究を続けています。その中でも楕円曲線暗号は長い時間私たちの生活において日の目を見なかった悲しい分野でしたが、ブロックチェーンをはじめとした分野でようやく実を結んできたと感じているところです。今日は関西で長年人材育成をしてきた経験を踏まえ、教育の立場での話をしていきます。

　セキュリティ人材はいま盛り上がり過ぎて、何かおかしなことになっていないでしょうか。いろんな「かだい」があります。まずは「仮題」。セキュリティ人材を増やせという要請がありつつもお金は有限。これによって組織が疲弊していないでしょうか。次に「過大」。情報漏えいは必ず起きるのだからCSIRTやSOCをすぐに構築し、凄腕のスキルを持つ人材を多数集めろと。それから「課題」。本当の企業組織の目標は何でしたでしょうか、本来のあり方を見失っていませんか。

　明らかなことはセキュリティ投資で得られる最高の利益はゼロ円ということです。投資は企業が作るべき製品やサービスに向けられるべきです。本来投資するところではないセキュリティにお金をどんどん費やすことで組織が疲弊していく現場を多数見てきました。

　ところで皆さん、こちらはご存知でしょうか。イギリスのポンド紙幣です。イギリスでは2016年に紙幣が刷新され、古い紙幣が使えなくなりました。私はニュースを見落としていて、今年3月に日本円に換金を試みたのですが、一部は買い取ってもらえませんでした。

　紙幣は誰もが信頼して成り立つものです。これまで信頼されていた価値が、新しい技術を持って全く価値のないものになってしまうということはあってはなりません。これは人材育成にも当てはまると思います。

　さて、優れたセキュリティ人材って本当はどんな人を指すのでしょうか。CISSP取得者？ IPA情報処理安全確保支援士？通信キャリアとか監査法人のプロフェッショナル？はたまた温泉大好きな人たちでしょうか。大学のセキュリティ研究者は……違うでしょうね（笑）。

　ネットではあるセキュリティ人材の募集要項が話題になっていました。職務内容は「情報セキュリティに関する施策に従事」で、なかなかやりがいがありそうでした。応募要件を見ると、高い専門性や十分な知見を有するとありました。内容をみた限り初心者は応募できません。

　ところが賃金は日給8,000円。ネットでは批判がありましたが、ここにそんなに不満はありません。問題は雇用期間が短期間で有期であることと、加えて通勤手当がないことです。ここはケチるところではないですよね。

　経済産業省が出しているIT人材動向では「2020年には19万人が不足する」と指摘されています。ところが現場を取材したメディア記事では「実際は不足していない」、あるいは「セキュリティに投資は増やせない」という声が掲載されていました。これはトップマネジメントが悪いとは言い切れません。見えないところにはお金を出せないためです。きちんと使えることを考えた上で育成しないと、先が怖いことになります。

　セキュリティだけを担当していると、怖いのはインシデントが欲しくなることです。平和であることが最良なのに。いざ有事が起きると三日三晩、家に帰れなくなり、疲弊します。そして経営層にセキュリティ人材を増やすようにと懇願して振り出しに戻るのです。

　もう一度立ち返ってみると、何を考えなくてはいけないのでしょうか。何を本来守るべきでしょうか。それは情報の「Time To Live」、すなわち生存時間のことを思い出してください。これまで情報漏えい事件は数多く起き、多くが忘却の彼方ですが、子ども向け教材で起きた事件は忘れずに記憶にとどめている人が多いです。

　なぜでしょうか。子どもの情報だからです。これから残る生存時間が違います。私のような大人だと情報の生存時間は2〜30年、子どもだと7〜80年です。だから価値が違います。情報にどれだけの価値があるか、洗い出さないとといけません。不謹慎な言い方かもしれませんが、この漏洩事件で情報の価値に対する意識改革がすごく進みました。

　人間は悲しいことには目をつぶっていく生き物です。問題が起きても、時間が解決することもあります。しかし情報漏えいは違います。消えない脅威です。時間は解決してくれません。大切な情報をクラウドや人に預けているのであれば、しっかり管理しなくてはいけません。個人情報をはじめ様々なクレデンシャルはやはりお金になるのです。だから売られてしまいます。セキュリティのインシデントは残念ながらなくなりません。

　インシデントが起きてから対応するようでは、今まで育て上げたブランドを大きく毀損することになりかねません。インシデントが発生しても、きちんと対応できる人材をきちんと考えていくことが大事です。

次のページ
RSA暗号のアルゴリズムを数学の「法」観点で解説するセキュリティ論

この記事は参考になりましたか？

印刷用を表示

Security Online Day 2018 イベントレポート連載記事一覧: サイバークライシスに対処する準備ができていますか？「サイバーウォーゲーミング」でレジリエ...

これからのセキュリティ対策のポイント「Red」「Blue」そして「Purple」――ゲーム...

適切なサイバーセキュリティ対策の確立に向けた努力を――名和利男氏が解説する「机上演習（TT...

もっと読む

この記事の著者: 加山恵美（カヤマエミ）

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト：https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事