「ザ・警察組織」を“サイバーセキュリティの組織”に変える
サイバーセキュリティ人材が足りない──そう言われて久しい。ISC2(International Information Systems Security Certification Consortium)によれば、日本のサイバーセキュリティ人材は、需要に対して約11万人も足りないという。一方で、人材育成に時間とコストをかけることを躊躇する組織は少なくない。
茨城県警本部 生活安全部 サイバー企画課長の山下和宏氏は、「警察の力だけで、サイバーセキュリティに関する最新情報を入手し、スキルを高め続けるのは難しい状況だ」と明かす。これまでも県警内に人材育成の枠組みは存在していたが、検定試験や外部研修など、自己研鑽に任せるところが大きかった。そこで、民間の力も借り、組織的として能力向上を図っていきたいという。
2021年からは、国内外でサイバーセキュリティ人材育成に取り組む鎌田敬介氏をサイバーセキュリティ対策テクニカルアドバイザーに招聘。2024年3月には、鎌田氏が所属するArmorisと「サイバーセキュリティ対策に係る連携協定」を締結した。知見のある専門家とともに人材育成とサイバーセキュリティ強化を協働で推進できる体制を整備した形だ。
そもそもサイバーセキュリティは、「基本のキ」が難しい。「基本を一通り身につけるのに最低3年はかかる。3年やってようやくスタートラインに立てるという感じ」と鎌田氏。そのため、長期的な視点をもって臨む必要があるという。そして、もっと大事なのが──「楽しむことです。サイバーセキュリティは楽しくやった人が伸びる分野。楽しめるかどうかは本人の素質もありますが、楽しくできる環境を作ることはできます」と鎌田氏は話す。
その点で、2015年に鎌田氏が初めて招かれた当時の茨城県警は、何もかもがお堅く、楽しさとは真逆の「ザ・警察組織」だった。
「サイバーセキュリティの人たちとは真逆の世界にいるなと感じましたね。言いたいことが言いにくい、必要な機材もすぐに買えない、思いついてもすぐに実践できる環境じゃない。実は、国内の政府機関や大企業にも共通する課題なのですが、これを変えなければ、変化の激しいサイバーセキュリティの分野で人を育てるのは難しいんです。まずは、これまでのようなしっかりとした仕事のやり方では、逆にうまくいかないと理解してもらうことが必要でした」(鎌田氏)
警察官の仕事は、被害者や被疑者の人生がかかっているだけに当然失敗やミスは許されない。しかし、その厳しさが、本来なら柔軟性が必要な領域にまで通底していた。そこで鎌田氏は、そこに適度な“いい加減さ”を持ち込むことで意識改革を試みた。「ラフな服装で行ったり、自転車で霞ヶ浦を走ろうとみんなを誘ったり。人材育成というよりも、組織のカルチャーを変えるところから始めた」と振り返る。
茨城県警が今最も重視しているのは、「基礎的なIT知識の習得」と「実践」だ。鎌田氏は、「多くのサイバーセキュリティ従事者は、サイバーセキュリティの知識や経験を積む以前に、ベースとなるITの基礎的な知識・経験・技術が足りていない」と指摘する。茨城県警との取り組みでは、講義に加え、職員が自ら考え、手を動かしてアウトプットする機会を数多く設けているという。
