「能動的サイバー防御」人材の育成をディスカッション
続いて、大会実行委員であり楽天フィンテックCSIRTに勤務する鳥越真理子氏をモデレーターに「変化に対応する用意ができているか?~『能動的サイバー防御』に求められる人材育成~」をテーマとした(講演を踏まえた上で)パネルディスカッションが行われた。
楽天フィンテックCSIRT 鳥越真理子氏
パネリストには、サイバーセキュリティ国際会議CODE BLUEの発起人でありBLUEの代表取締役、千葉工業大学変革センターの研究員である篠田佳奈氏、東芝のサイバー攻撃対策の他、SECCON実行委員会 兼 CTF for GIRLS運営メンバーでもある三原千穂氏、そして陸上自衛隊の2等陸佐であり、同システム通信サイバー学校の丸山裕加里氏という顔ぶれとなった。
はじめに篠田氏による講演では、「若者向けサイバーセキュリティ人材育成:英国と日本の比較」として、2024年4月に5週間にわたり参加した英国のサイバーセキュリティフェローシップから、若者向け人材育成プログラムの「CyberFirst」について紹介した。これは英国の政府通信本部(GCHQ)のNCSC(英国国家サイバーセキュリティセンター)が主導し、DSIT(科学・イノベーション・技術省)が提供しているもので、7歳から22歳までを対象とした学習プログラムが用意されている。
特に11歳から14歳までのプログラムが充実しており、英国は同世代を重視している印象が残ったという。女子学生向けの学習プログラムもあり、CTFも行われているだけでなく、受講生の保護者向けの学習プログラムまでもあるとした。なお、CyberFirstは既に7年間行われており、サイバーセキュリティに特化した奨学金の受給者の約42%が女性であることも驚くべき点だと指摘する。
また、英国の人材育成について話題を移すと、英国政府がサイバーセキュリティ教育の道筋を明確に描いており、若者がキャリアを築きやすい点が特徴だという。一方、日本政府によるアプローチは断片的かつバラバラなものだ。まだまだ若者がサイバーセキュリティのキャリアを描くことは難しく、情報格差により機会を逃している状況だと警鐘を鳴らした。
千葉工業大学変革センター 篠田佳奈氏
続いて三原氏は「能動的サイバー防御に求められる人材育成」としてプレゼンを行う。同氏は東芝グループ全体のCSIRTとPSIRTを担うサイバーセキュリティセンターに所属しており、脅威インテリジェンスとアタックサーフェスのプロジェクトリーダーを務めている人物だ。東芝グループの概況を説明すると、人材育成については経営層・グループ社員・取引先の3つに分けてトレーニングを行っていると明かす。
また、セキュリティ資格の認定制度も設けており、保有者は3,000名に及ぶという。プラスセキュリティ人材やホワイトハッカー人材を育成しながら、能動的サイバー防御に向けた取り組みとして「脅威の未然防御」を重視しているとした。主に、脅威インテリジェンスやアタックサーフェスによる対策に注力する中、既に2年ほど運用して実績も上がっているとする。さらに協調領域も重要なポイントではあるものの、実現には多くの検証が必要であることも述べられた。
最後に丸山裕加里氏が「サイバー人材育成について」と題して登壇。安保3文書(国家安全保障戦略、国家防衛戦略、防衛力整備計画)によると、SOCやCSIRTで活躍するコア要員を4,000人育成するとされており、陸上自衛隊システム通信・サイバー学校ではこのコア要員の育成に励んでいるとのことだ。同校では2016年からサイバー領域に関する教育が行われているが、改編により2024年から新たに「サイバー教育部」が設置されている。
これまで米軍や自衛隊は、戦略・作戦・戦術という3つのレイヤーで捉えてきたが、その状況も変わってきたと丸山氏は話す。変化する戦争に対してどのように教育していくべきか、教える側のスキルについても議論を重ねているとした。チームとして対処していくための取り組みにも力を入れており、必要なスキルに応じた人材育成の基盤を作りたいとする。
日本政府も積極的にセキュリティ人材などを育成すべき
3者の講演後、パネルディスカッションが行われた。冒頭、鳥越氏は日本の官民連携や海外連携についてパネリストに聞いた。篠田氏は、「日本でもSECCONやセキュリティ・キャンプの国際連携など多くの場はあるが、ほぼ民間主導だ。海外では政府が積極的にお金を出して人材育成に取り組んでおり、日本政府にも積極的になってほしい。そのためには、もっと意見交換の場を増やし、信頼関係を築いていくことも必要だろう」と回答。
また、三原氏は「東芝は、国際的なCSIRTのコミュニティフォーラムであるFIRSTに参加しているが、そこでドイツの製造業の方と話をする機会があった。彼らは非常に危機感をもっているため情報共有が盛んであり、『民民連携』が進んでいる印象を受けた。日本では、官の考えを知るためには、一生懸命活動をする必要があるため、ディスカッションの機会を増やしたい」と話す。自衛隊と警察の連携は耳にするため、既存の場から輪を広げていけるのではと丸山氏は述べた。
なお、ディスカッションの内容はサプライチェーンや人材育成にも及び、気がつけば1時間半が経過していた。その中でも筆者が印象的だったのは、三原氏の「サプライチェーンは一列ではなく、どんどん分岐していき100社というのも当たり前のようにある」、丸山氏の「自衛隊で育成したサイバー人材が、民間企業にまで転職していることは事実である。民と官で人材をどのように交流していくか、について関係部署と会話を重ねて解決策を見いだしたい」という言葉であった。
パネルディスカッション後、非公開の講演を終えると、サイバー防衛シンポジウム熱海2024は無事幕を閉じた。ここでしか聞けない話が多くあり気づきも多く、深刻な問題も少なくなかった。今回、参加された方々は上司や経営層にも声をかけるのではないだろうか。こうした温泉系シンポジウムから、課題解決につながる連帯や取り組みが生まれることを期待したい。
