SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

守ることについて僕たちが語ること(AD)

セキュリティ人材育成の現在地―どのような人材が、どれくらい必要なのか

 大学院教育から学部教育へ―今回のゲストはセキュリティ教育に長年携わってこられた猪俣敦夫先生。デロイトトーマツサイバーセキュリティ先端研究所 所長の丸山満彦さんと「セキュリティ人材が足りない」の実情に迫ります。

基礎的なセキュリティ学力が落ちてきている

丸山満彦氏

(左)デロイトトーマツ サイバーセキュリティ先端研究所 所長丸山満彦氏
(右)東京電機大学/東京電機大学大学院 教授 猪俣敦夫氏

丸山 猪俣先生は現在、東京電機大学で暗号の研究をされています。一方で、前職の奈良先端科学技術大学院大学の准教授を務められていた頃からずっとセキュリティ教育に携わって来られた方でもあります。昨年は、『サイバーセキュリティ入門』という本を出版されました。今日はセキュリティ教育、セキュリティ人材育成といったあたりにテーマを絞ってお話をうかがっていきたいと思います。

猪俣 私は教員になってから主に大学院生向けの教育をやってきましたが、今の時代、定員を充足するのが大変な大学院が結構あるのですよね。その結果、残念ながら学力は本当に落ちてきていて、これは学部教育をちゃんとやらないといけないんじゃないかと思うようになりました。というのも、大学院に入ってくる学生さんの基礎的能力が、本当に落ちてきたんです。さて、セキュリティの基礎的知識をつけてもらうにはこれからどうするかとモヤモヤしていた時に、偶然、大阪大学の先生と出版社さんからの出版話をいただき、高校生や大学の1~2年生ぐらいで学べる本を書いてほしいということで執筆させていただいた次第です。

丸山 じゃあ、きっかけは大学院生の、基礎セキュリティ学力の低下ですか?

猪俣 そうですね。演習なんかで、ちょっとだけ一つ上のことをやろうとすると、いきなり破綻するんです。結局セキュリティって、いろいろな要素が入ってくるのですけど、たとえば暗号であれば、初等代数も必須ですし、ネットワークセキュリティであればいわゆる通信のトラヒック理論とか、単純な数学の話もあります。でもそこを全く知らずに大学院にやって来るので、ちんぷんかんぷんになるんです。私にとっては、素因数分解なんて考え方は当たり前と思っていたんです。だけど彼らにとっては、素因数分解というと、中学校とか高校の数学でやった2次の多項式を素因数分解してください、みたいな問題感覚で学んでいるだけみたいで、例えば、暗号の世界における離散対数問題と全然つながらないのですよね。でも実はそんなことではないので……っていうギャップをすごい感じてですね、これではちょっとダメだと。

丸山 世代的に、いつくらいからダメといえるのでしょうか?

猪俣 私は昨年亡くなられた山口英先生と仕事をご一緒したくてNAISTにやってきました。教え始めたのは2008年からなのですけれど、最初の2年ぐらいは何も問題を感じなかったです。しかし、2011年ぐらいからでしょうか、なぜだか急激に学力が落ちてきたなと感じるようになりました。もちろん、出身大学の名前でどうこう言うわけじゃないですけど、でもやっぱり基礎力が全然たりていないと感じるようになりました。

丸山 基礎力がないっていうのは、どういうことなんでしょうか。

猪俣 たとえば、行列の計算における一次変換ってありますよね。というか行列の一次変換はそもそも、ある点をこっちの点に動かすっていう変換であることはご存じだと思います。でも、驚いたことに、教科書から一次変換が消えたんです。なんと、教科書に載っている行列はただの掛け算問題だけになっていたんです。

丸山 ああ、内積を計算するだけということなんでしょうか?

猪俣 そうです、そうです。これでは全然意味がない。本当に掛け算するだけなんです、例えば2×2の行列を。それで終わりです。

丸山 それはまずいですね。何のために行列計算があるかを理解していないと計算ができても意味がないですね。

猪俣 どんどん簡単な方向に進んで行っている気がします。もちろん、簡単なことはいいのですけれど、役に立たない使えないツールとして終わっちゃってるので。かといって、じゃあ、複素数は大事だといって、ガウス平面だけ、それだけは残っているんです。

丸山 一次変換を学ばずに、テクニックだけ教えている。

猪俣 教科書を見たら今はそういうふうに教えていたので、なんというかちょっとびっくりしてしまいました。

丸山 知りませんでした。そんなことになっているんですね。

猪俣 あともう一つ問題だなと思っているのが、情報共有に必要なコミュニケーション能力です。たとえば、インシデントをハンドリングする演習では、学生たちに、今回起きたインシデントを、あるトップマネジメント層に話すつもりで答えてくださいという演習をやるんです。学生たちはWebサーバの脆弱性や、ログとか、細かいところを説明したがるんです。でもトップマネジメント層ってそういうところには全然興味なくてですね(笑)、今この瞬間何が起きているんだとか、とにかく初動対応は何をすべきかとか、そのために必要な情報共有がもっとも大切なんだってことが欠落しています。でも、学生たちって、すごく細かいところばっかりに目が行くようになっているんです。だから基礎力がないことに加えて、物事を俯瞰的に見るっていうことができずに、ほんとに難しいところだけ、局所的に取り出してあえて難しく議論しちゃうという子が多いですね。だから結局、一匹狼に走っちゃうグループが多くなりがちです。CSIRTを作っても、すごい人たちに任せちゃう。結果、チームで動くのではなくて、一匹狼が活躍するだけの変なグループが出来上がってしまうんです。

丸山 コミュニケーションを取らない。

猪俣 わざわざ情報共有するより、自分でやったほうが早いからって。

丸山 それはチームじゃないですよね。基礎もわかってない人が来て、その人は、自分がやったところだけを集中してやってしまって、周りともコミュニケーションを取らずにやってしまうから、サイバーセキュリティを組織の中での実装するのは難しいという話ですね。

猪俣 そうです。

丸山 社会の中の実装かもしれないけども、とにかく閉じてしまう。もうちょっと俯瞰して全体を見る、数学もしないといけない、法律も必要だし、マネジメントも理解しないといけないし、テクノロジーだと、いろんなテクノロジーがあるから、それぞれを知っておかないといけないというか、あるという存在は知っておかないといけないみたいな、全体見てるので、俺がやっているところはここだなみたいな、そういう関係性を理解せずに、ここしかやってない、見えてないって人が多い。

 今、2つ問題が出てきたと思っています。ひとつは、セキュリティの知識自体、知識そもそもの土台ができていないっていう問題です。もう1つは、その知識が仮にしっかりあったとしても、それ以外の人とのつながりの部分が弱い。なんとなく優秀な自分がこれをすべて解決すればいいというところで収まっているから、何かが起きたときにひとりで抱え込んでしまって結果的に最適な解決ができないという問題と2つあるっていう感じですよね。

猪俣 結構難しいのですが、本当にセキュリティだけに限って言えるのかどうか私はわかりませんが、少なくとも経験的に言うならば、わりとセキュリティって、元の状態に戻せてなんぼっていうところもありますよね。実際、日本のあちこちで開催されているCTFなどに参加されている方は、協力しあってやるというよりは自分の力だけに頼ってやっている子が多いですよね。

 でも面白かったことは、私もここ5年ほど見てきましたけれど、CTFで1位2位を取る子達って、本当におかしいんです、特に物事の見方、捉え方が。変態的に物事を考えているというか(笑)。たとえば、高校生でプログラムをやっていて何かコードを書けるってというのはすごいことなのかもしれないですけれど、その中でもすごい子たちの頭の中では、計算機に対する表現を機械語レベルで考えていて、いきなりアセンブラでコードを書き始めるんです。本当にびっくりですよ。たぶん私たちが考えているような計算機の学問じゃなくて、もう、真の意味でのローレベルで計算機能の構造を彼らにとっての学問として持っているみたいで、そりゃぁさすがに彼らの伸び方は違うわなと。でもそういう子たちって、残念ながら、国内に残ってくれないんです。じゃぁ、どこ行きたがるかっていうと、やっぱ海外のベンチャーとか、自由にやらせてくれるとこですね。そういうところに逃げられてしまう、あるいは取られてしまうんです。

丸山 優秀なキレッキレの子と、そうでもない子の差はどうですか。

猪俣 本当にできる子たちは、残念ながら我々のコースには来てくれないのが現実です。で、じゃぁ実際どうなのかというと、門をたたいて来てくれた子たちはもちろん彼らの中での差っていうのはあるのですけれども、やっぱり最初のうちは、とにかく、もっと難しいことをやらせろっていう意識が強くて、進捗が芳しくない子たちを引っ張って協力して取り組んでみようという気持ちはほとんどないようです。結果、一人でどんどん先に進めていって、インシデント解析などをやらせてみると、とてもひとりではできないような無理な案を作ってきます。しかし、面白いことに、これを何度か繰り返しているとこれがきっかけとなってお前はこれをやれ!みたいな、ロールの割り当てみたいなものが、自然にできあがっていくような場面に遭遇したりもします。そういう意味では、うまく行っていると言えなくもないのかもしれませんが(笑)。

丸山 スペシャルな子が一人、というのではなくて、そこそこ優秀な子が結果的にチームを作っていくようになっているということですね。面白いですね。

●↓↓丸山所長の寄稿が掲載されています。↓↓
今、経営者はサイバーセキュリティとどう向かい合うべきか?
―IoT、AI 時代のリスクと価値創造』

今は未曾有のセキュリティバブル?

丸山 日本企業って結局、人を囲い込み、同じ会社の中で転職させるわけですよね。営業やってた人が法務に行ったり、情報システムに行ったりしてるじゃないですか。あれをやるからキャリアが育たないんですよね。会社の中の人間関係が、あの部長とあの部長は仲悪いとか、こっちの部長のほうが1年先輩だからみたいな、それって社会に普遍的な知識じゃない。

 欧米の会社は横社会なんで、会社はどこでもいいけど、職としては一本筋が通っていて、私はセキュリティで生きていきますよ、とできる。最初はプログラミングをA社でやりました、そのあとB社に行って、もうちょっと管理をするようになりましたとか、「セキュリティ」というジャンルの中で、会社を移りポジションも変えながら自分のキャリアを築いていくようになっている。会社は変わっているけど、自分のキャリアは一本通っているんですね。

 それはどういうことかというと、会社の中で仕組みを作り、こういう役割ですと決めて、その人を募集するわけです。そうするとその募集した人が入ってきて、チームを作って回す。辞めますといったらほかの人が来ます。でも、役割分担が決まっているので、その通りの能力の人であれば機能します。だから取り換え可能になっています。この人は、辞めて、こっち側の、ちょっと給与の高いポストに移り、他の人が来ることによって、社会全体としてのキャリアが築けるようになっている。

 日本は終身雇用で囲ってしまう。私たちが話しているクライアントでも、大手企業では「うちの会社の中で育てたい」みたいなことを言うんですね。でもそれは無理ですと言うんです。社員が20万人いるかもしれないけど無理ですと。セキュリティ人材が何人必要なのか。それをずっと一生、今後20年30年、保障できるのか。

猪俣 セキュリティは分析にしろ、解析にしろ、リーダシップ力を出せる人がいないまま、いわゆる仲良しコミュニティな関係でやると結局揉めたりする傾向が多くみられます。結論をどう出すっていった時に、これ本当にマスコミに出すのとか、やっぱりやめようかっていう判断も。だから、いわゆるトップマネジメントとツーカーに話せる人を、少なくとも1人は立てなければいけなくなる時があるんです。もちろん、その会社とか組織が、どういう情報を扱っているかで変わってくるかもしれませんが、たとえば本当にシビアな機微的情報を扱っているところであれば、その情報管理の仕方とか、監査の専門家を入れるかどうかの判断が必要になりますよね。あるいは、うちは単純にインターネットアクセスだけとか、メールだけしか使わないというのであれば、技術を強くしようかという動機付けが起こらず、その場の雰囲気だけで構成が出来上がってしまうと思うんです。

 いずれにせよ、組織上の管理者的な立場の人、CIOとか、CISO のような立場に、きちんとした人を据えるというのはやっぱり大事なことなんです。なのに、現実、何もわかっていない役職付きをCISOに据えるんですよね(苦笑)。これが怖い現実、とんでもないことです。Palo Altoとか、言葉1つも通じないんです。本当に恐ろしい名ばかりCSIRTができちゃうんです。残念ながら、大学はまだまだそういうところばかりなのも現実なんです。あ、でも、こんなこと言ったら怒られちゃうかもしれないな。

丸山 いま、CSIRTブームみたいになっていますね。

猪俣 今、異常なぐらいセキュリティバブルですよね。これは2020東京オリンピックのおかげでもあるでしょう。しかし、私はオリンピックよりもそのあとが心配です。リオの時に何が起きていたのかっていうと、言葉は悪いですが、特別なサイバー攻撃による被害が起きていたのでしょうか。実際のところ私たちがいつも慣れ親しんでいるDDoSばかりなんです。もちろん、DDoSを舐めているわけではありません。DDoSによる攻撃は、重要インフラに対しての影響も十分考えられるので、それは人間の生命に対して、なんらかの脅威を与える恐れも確かにあるかしれません。しかし、やはり直接的なことを考えると実際にはそれほど高いリスクではないのかなと思っていたりもします。もちろん、無視して良いと言っているのではありません。想像するに、東京オリンピックでもおそらくDDoS的な、回線逼迫やサーバ過負荷みたいなことが起きる程度ではないかと。とはいえ、私たちの生活を取り巻く重要インフラに対する制御のシステムがインターネット上で動いているかというとそうじゃないですよね。そんな無理やり取ってつけたように考えた脅威を考えるよりも、もっと別のことをきちんと考えておかなければいけないのではないのかなと。

 あと、やっぱり残念ながらと言うか、不謹慎な話ですけれども、ドラマに登場するようなカッコいいサイバー攻撃って、もうほぼ無理になってきているような気がします。なんだかんだ言ってMicrosoftさんもWindowsに対する脆弱性対策もすごく頑張っていますし、Linuxのようなオープンソースコミュニティの努力も大きいと思います。実際に、以前と比較して迅速な修正やパッチ作成など、本当に深刻な脆弱性もだいぶ減ってきていますよね。今やほとんどもう、有償OSのソースコードが漏洩するなどよっぽどの深刻な事例がなければほとんど無理ゲーなんじゃないかな。それじゃぁ、結局何が起きているかっていうと、人間のミスで起きた事案ばかりですよね。なんだ、やっぱり我々人間はソーシャルエンジニアリングから逃れられないのかなって。

 なので、私は今後のセキュリティって、やっぱり人間系が引き起こしてしまうミスをどう減らしていくのかっていう、当たり前のような課題が続いていくような気がしています。自治体さんなんかもそうですし、企業さんなんかもそうですけども、どれだけセキュリティを学んで対策したといっても、起きうるほとんどのインシデントが、USBメモリを自宅から持ち込んでうっかりやらかしてしまったとか、あるいは、ちょっとした休憩時に、つぶやいた写真の中に重要な情報が写っていたとかいう程度のことが大きな事件になっていますよね。私のようなダークサイドが好きな人にとってはとてもがっかりするようなサイバー攻撃ばかりなんです、結局(笑)。

丸山 技術的にがっかり、ですね(笑)。ただ、先生の指摘は私もそう思っています。なので、できる限り人間系のオペレーションを減らし、テクノロジーを使った自動化をサイバーセキュリティ対策も目指すべきだと思っています。

猪俣 これからもずっとそのようなことばっかりになるのではないかと。だから、人の管理っていうところをきちんと守るにはどうすればいいのか、そういうのを教えられる人っていうのを、育てていかないといけないのかなと思っています。

丸山 それこそ、COBITの中の考え方にも書いてありますし、あるいは古いですけど、リスクマネジメントですか、BS7799から始まりますけど、やはりそういうのはきちんと育っているので、ホームページにセキュリティポリシーの検証みたいなのを書くだけではなくて、それをちゃんと組織の中に根づかせるような教育をできる人が必要なんでしょうね。

猪俣 そこでちょっと疑問に思うのは、トラフィック解析であるとか、マルウェア解析で、そんな優れた技術者ばかりをいったいどんな企業が本当に必要としているのでしょうか。世の中では人材が不足している、急いで大量に増やさなければならないとばかり言われてますけど、本当に問題はそこなのでしょうか? 本当のところ、まさに丸山さんのおっしゃっているような人を育てていかないとダメなのかなと思いますね。残念な話なのかもしれませんが、もうお金があることを前提として、8万人とか20万人とか、根拠が明確に示されていないようない数字を出してきてですね、セキュリティ人材が大きく不足と言われてもねぇ。私はいらないと思いますよ、ほんとに(笑)。もちろん優秀な人は必要なのは事実ですが、そんなたくさんの人たちを受け入れる組織の数はまだ十分ではないはずです。

丸山 来ても採用できないですよね。

猪俣 そんな高度な専門技術しか知らない人は、ってなりますからね。

丸山 オリンピックで煽っているだけで、オリンピックのあと、どうするのか。

猪俣 問題はそこなんです。いろんな大きな組織でセキュリティの部署をまとめて、横断的なほにゃららセキュリティといったグループを作ることが流行っていますけど、オリンピックが終わったあと本当に、それで生きていけるんですかっていうのがとても心配です。いや、本当に真面目な気持ちで。

●↓↓丸山所長の寄稿が掲載されています。↓↓
今、経営者はサイバーセキュリティとどう向かい合うべきか?
―IoT、AI 時代のリスクと価値創造』

セキュリティ人材に本当に必要なスキル

猪俣 ちょっとこれも話、少しずれてしまうかもしれないのですけど、プログラミングのスキルを持っている子が大きく減っているんですよね。これはなぜかっていうと、私の主観ですけども、高等言語がどんどん登場し出過ぎているのも理由なのかなと。プログラミングっていうと、我々の時はCですら高等言語でしたよね(笑)。

丸山 C、高等言語ですね。

猪俣 私たちがパソコンで動かしたい動作はすべてこのアドレスにこの数値を入れて動かしていくっていうことをやっていたのですけれど、今はそうではなくて、中身が全く見えない暗黙的なブラックボックスに入れると、なんか高級な機能が勝手に処理をしてくれて、きれいにポンと吐き出すっていうふうになっています。教育で使われことの多いJavaが典型的な例で、全部オブジェクトっていうかたまりにして、中身を隠蔽します。それは確かに便利ですし、入出力の振る舞い、すなわちJavaの場合はCのポインタと違ってアドレスを意識せずにオブジェクトへの参照だけを意識すればいいだけなので、プログラムを考える人は中身のことは全然意識せずにプログラミングしちゃうんです。もちろん、これは便利なことですよ。

 でも、セキュリティってそうじゃないですよね。中身でどう動いているかっていうのを常に考えていかなきゃいけないはずなんです。見えない闇の中でプログラムが本当はどうやって動いているのかっていうことをきちんと把握しておかなければいけないはず。それを知らずに、Javaしか知らない学生たちは課題のプログラムを実装してなんか出力された結果の値だけを信じる癖が出てくるんです。「なぜこの結果が出てきたの」と聞いても「いや、プログラムは絶対間違ってないです、こういうふうに吐き出したので。もう間違いなくこういうふうな結果なんです」っていう変な自信を持ってしまうわけです。もちろん自信を持ってくれることはいいのですけど、それ以外はもう絶対信じないっていう、固定観念を持った子が多くなっているかなと特に感じますね。悪いことを企むプログラマーは当然、結果を騙そうとしてプログラミングしますよね、私だったら確実にそうします(笑)。一方、凄腕ハッカーたちって、結果そのものより中身が好きでいじくりまわすんです。要するに、出力された値を当たり前のように信じるのではなく、中でどういうふうに値が変わっていったのか、という見方をしていくんです。良いか悪いかは置いときますが、まさに犯罪者の気持ちにもなりきってですね、セキュアプログラミングのコーディング技術なんかを学ぶことも時には必要なのではないかな、なんて私は時々そう思います。とにかく基本が大切なんです。

丸山 なるほど。原点に帰りなさいと。

猪俣 プログラミングなんかも、Cはいいですけど、怒られてしまうかもしれないですがJavaなんか全部捨ててしまって機械語をもう一度取り戻したい。今や、工学系の大学教育でもカリキュラムから機械語がなくなっているのが一般的です。なので、マルウェアの静的解析の演習なんかをやるともうほとんどの学生はちんぷんかんぷんです。でもマルウェアをじっくり学ぶには、機械語の知識絶対に必要なんです、そんなことからもうかれこれ5年ぐらい前から大学教育に機械語のカリキュラムを呼び戻してやっています。

 20年前の知識をもう一回掘り出してきて、もちろんいらない昔話も多いのですけれど、使える知識はちゃんとカリキュラムとして提供していくことをやりたいんですね。これは前から早くやらなきゃいけないとずっと思っていて、これを本気でやっていかなければ日本の発展も、危ぶまれてしまうんではないかと本気で感じます。残念ながら、今私たちを支えている技術のほとんどが外から買ってきたものを組み合わせているものばかりだけです。例えば、タネンバウムのアーキテクチャ本が私にとって計算機の根本を理解するには最高と未だに思っているんですが、今や悲しくも教科書として使われていないんですよね。古い本からもしれないけど、きっちりした計算機アーキテクチャの原点を学ぶことをきちんとやはりやっていく必要があるはずなんです。うわべだけのセキュリティより計算機アーキテクチャを理解することの方が、ほんと大切なんですよ。

丸山 メモリリークとか、わからないですよね。

猪俣 今の子たちは、バッファオーバーフローなんていうと、雰囲気だけで考えるんですよね。なんかよくわからないけど溢れちゃったみたいな。イメージでいうならばフラスコみたいな絵が出て、こう、溢れていて(笑)。実際はそんなことではない。でも最近の教科書を見ると、本当にフラスコの水が溢れた絵が描いてあるんです。そんなきれいなものじゃないよ!って(笑)。

丸山 ああ、なるほど。物理的にはさっきの配列の話もそうですが、割り当てるって概念がないから。

猪俣 今の教科書を否定するわけじゃないですけど、現実はそうじゃないんだということに気づいてほしいんです。もっと深刻なことが起きているはずなのに、具体的なイメージが湧かなくなっちゃう気がしますね。

 そういう教科書だけを使って学んできた若いエンジニアの方が「バッファオーバーフローを知ってます」と言いつつもやっぱり全然違うことを言ってくることが多いですね。本当にそのあたりを丸山さんと一緒に、どうにかしたいなと思っているんです。もちろん、古くていらない知識がたくさんあるのは事実です。ですが、大事なところは今でも全く変わらず本にすごく大切な知識学なので、それをもう一度きちんと学んでいってほしいですね。

丸山 うちはですね、テクノロジーの中心に育つ人材と、ITやセキュリティをわかっていて、経営者にちゃんと伝える人材というのと、大きく2つに分けて育てようとしています。

猪俣 日本に限る話かどうかわからないですけども、よく文系、理系っていう言い方があるじゃないですか。この分け方はあまり好きではないのですがそれでいくと、理系ってやっぱり、物事をなんでも計算機でどう動かすのかとか、数式でどう落とし込むのかっていう、もちろん私は好きなんですけども(笑)、やっぱりそういう癖はあるので、証明できなきゃイヤだとかわがままな人が多い気がするんです。でも、セキュリティって、実際のところいわゆる理系人間が好きな技術話なんかよりも、マネジメントであるとか組織論であるとか、人の関係であるとかいう、ちょっと論理的には説明できないところがほとんどだったりしますよね。それをきちんと包含できる才能を持っている人、もちろん文系理系っていう区別でわけるのも変ですけども、法律とか経済とかいわゆる文系の知識を持っている方のほうが、どんどんリーダー的な立場に立っている事例って多い気がしませんか。そんな方々と話してみると技術的知識も長けていて、実は私、文系出身なんです、みたいな(笑)。そういう方は、もともとやっぱり物事を丁寧に見極める力を持っていらっしゃることも多く、セキュリティを理解するのに必要な理系の知識なんかすぐに習得されてあっという間にセキュリティのトップリーダーに。

丸山 さっきの話で言うと、経営者と話ができる人間ですね。会社として何を、たとえば、顧客や株主に伝えないといけないからということを視野に入れ、与えられたデータ、個人情報漏えいしましたという中において、このデータを、どういうふうな文脈で株主に説明するのか、また、どういうふうな文脈で顧客に説明するのかを考えて、「こういう情報をくれ」と現場に言わなければいけないですよね。その時に、こういう情報ならたぶん持っているだろう、出せるだろうっていうのがないと務まらないですよ。だから単なる経営者ではダメで、単なる技術者でも難しい。両方に橋渡しできる人がいい。

 まとめるとすると、私の求めているセキュリティ人材は、テクニカルな人というのは、オペレーションをきちっとして、コミュニケーションを図れるようなオペレーション系のタイプと、物事を追求していくことに、すごく好奇心が強い人、知的好奇心が強くって、機械語を覚えないと無理だなと思ったら、覚えることに躊躇しない人。いや、これはもう正しいのを出しているに決まっているので、で終わってしまう人ではなくて、なんかこれ、本当にそうなのかな?なんかこいつ間違っているんじゃないの?みたいな考えにいく人がいいですね。

 マネジメントのほうの人は、そういう基本的なセキュリティの考え方も技術もある程度知っていて、これってテクニカルができそうだねとか、これってテクニカルにはできないよねとかいうことをある程度わかっていたうえで、経営者の人がどういうふうに考えるかというような視点がある人。

猪俣 やっぱり好奇心が大切ですよね。セキュリティにおいて言えば、解けない問題はまず解けないものばかりです。暗号の話を例に挙げるならばRSAの例がわかりやすいかもしれません。今、どんなことをやっても良いから鍵長サイズが2048ビットである暗号を解きなさいっていう問題が出されたとしましょうか。この問題に対しては「はい、解けません」で終わりなんですね。でも本音はそうであってはいけない。今の計算機環境では絶対に解けない問題だから、じゃあ諦めるしかないとか、他のプロフェッショナルに任せてしまおう、とかじゃなくて、じゃあ攻撃者だったらもしかしたらこんな方法でやるかもしれないとか、正解を見つけることが目的じゃなくてより自由気ままに、若いうちにそういう見方を持てることができるようになることが大切なんじゃないかなって、そんな教育をこれからもずっとやっていきたいなと思います。

猪俣敦夫

東京電機大学 教授
奈良先端科学技術大学院大学 客員教授
一般社団法人 JPCERTコーディネーションセンター 理事
一般社団法人 公衆無線LAN認証管理機構 代表理事

専門分野である暗号理論と高速実装、制御システム・組み込みセキュリティ等の研究開発のかたわら、日頃より若手セキュリティ人材育成に取り組む。奈良県在住。毎週、東京と自宅のある関西の痛勤生活を送りつつ、週末は愛犬(スタッフォードシャー・ブル・テリアのJet)と赤ちゃんの世話という癒しの時間を過ごしている。著書には「サイバーセキュリティ入門(共立出版)」等。

●↓↓丸山所長の寄稿が掲載されています。↓↓
今、経営者はサイバーセキュリティとどう向かい合うべきか?
―IoT、AI 時代のリスクと価値創造』

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9524 2017/07/24 06:00

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング