SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press

セキュリティ規格を全省庁へ EY Japan西尾素己氏が語る、サイバー人材活躍のための2つの提言

必要なのは、攻撃を学ぶ環境と欧米に匹敵するセキュリティ戦略 

 DX推進やその人材育成が叫ばれる中、同時に注目を浴びつつあるのがサイバーセキュリティ人材である。新型コロナ禍の影響もあり、多くの企業でオンプレミス環境からクラウド化が進むと同時に、Emotetを始めとしたランサムウェアや海外からのサイバー攻撃などセキュリティ環境が問題になりつつあるのが現状だ。そのため官民ともにサイバーセキュリティ人材の確保と育成を急ピッチで進めている。しかし、その状況に警鐘を鳴らしているのが幼少期よりサイバーセキュリティに携わり、EY Japan最年少パートナーに就任した西尾素己氏だ。西尾氏は、真のセキュリティ人材を育てるにあたり、日本には「善管注意義務」と「『攻撃』を学ぶ環境」が海外に比べ欠如していると指摘する。インタビューを通し、その理由に迫った。

──西尾さんは幼少期からオンラインコミュニティなどで海外の方々と交流されていますが、日本と海外におけるセキュリティ人材はどのような考え方の違いがありますか。

 10代の頃からセキュリティコミュニティに身を置き、海外勢がどのように成長していくのかを長年見て来た中で、一番の違いを感じるのはサイバーセキュリティにおいても日本は考え方や行動が「専守防衛」という点です。

西尾素己氏
EYストラテジー・アンド・コンサルティング株式会社 ストラテジック インパクト パートナー 西尾素己氏

 つまり、「いかに合法的に攻撃の知識というのを蓄えられるか」が日本には不足しているのです。日本では、まず「こういうふうに守るんですよ」といったセキュアコーディングなどの「守り」から教えます。しかし、そもそもどんな攻撃が来るのかを理解しないと「どうしてこの守り方が有効なのか」という視点が醸成されません。

 また、セキュリティ人材にサイバー攻撃のやり方をレクチャーしようとすると、「それはサイバー攻撃の幇助(ほうじょ)になってしまう」といった反応が返ってきます。これでは護身術として柔道を学ぼうとしている人が、ひたすら受け身だけを行うようなものです。

 しかし、他国は同様ではありません。たとえばイスラエルなどでは、サイバースパーク社が運営するサイバーセキュリティパークというのがあります。どういう施設かというと、民間企業や国家が資金を出し、合法的にそこでサイバー攻撃を学べるという特別区域があります。そこでは不正アクセス禁止法という類のものが適用されない領域になっているのです。

 もちろん企業などを攻撃するのではなく、攻撃可能領域が予め設けられており、そこに民間企業やサイバーセキュリティを学びたい人材が参加できるという形です。日本と海外では、そういった「攻守」に対する考えの違いというのが非常に大きいと感じています。

 そもそも「生きた学び」はセキュリティ現場にあります。現実に襲ってくる本当のサイバー攻撃のテクニックは、決して表には出てきません。

 ですので、そういった学びの場をまずは作るということ。これは学生や若い技術者だけでなく、リスキリングを目指す社会人が参加できるような環境です。こういった人々が体系立てて、サイバー攻撃を学ぶ場を作る。その上で、ここから守るにはどうしたらいいのかというのを行っていく。

 このサイクルは、サイバー戦に備える先進国は行っており、我が国はその部分で遅れ気味だと感じています。しかし一定の副作用は必ず存在し、攻撃を教える以上それを悪用することも絶対起こり得るでしょう。

 企画立案の段階で間違いなく非難を浴びることになると思いますが、護身術として空手やボクシング、柔術を学んだとしてもそれを犯罪に利用すれば当然危険ですので、サイバー分野に関してだけ過敏に判断するのは早計であるとも感じます。

次のページ
善管注意義務の欠如が、日本のセキュリティ環境をダメにする

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

西隅 秀人(ニシズミ ヒデト)

元EnterpriseZine編集部(2024年3月末退社)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16488 2022/08/30 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング