CSIJ公開シンポジウム開催レポート
「セキュリティ人材が足りなくて.........」 から脱却するためのヒントとは
「セキュリティ対策の必要性は感じるが、推進できる人材が社内にいない」——そんな声を耳にする機会はますます増えている。国内で永年の課題とされている「サイバーセキュリティ人材不足」だが、デジタルトランスフォーメーション(DX)の進展とともにセキュリティの対応範囲は広がり、セキュリティ人材にはいっそう幅広い知識・経験が求められるようになってきた。
そんな中、企業・組織、さらには日本社会全体のセキュリティレベルを高めていくにはどのような人材が必要で、どう育成していけばいいのだろうか。2023年1月24日に開催されたCSIJ公開シンポジウム「サイバーセキュリティをリスキリングする時代 ~DX時代に必要な人材育成を考える~」では、この困難で複雑な課題をテーマに、人材育成の最前線に携わる専門家たちが意見を交わした。
====================================
-
パネルディスカッション:
議論は尽きない、「どう育てる? セキュリティ人材と理想のチーム」
====================================
【開会挨拶】
●「人材育成」はサイバーセキュリティ力の強化を支える柱の一つ
冒頭の挨拶に立ったCSIJ会長の中尾康二は、10年前に比べると日本のサイバーセキュリティ力が低下していることに触れ、あらためて強化の必要があると述べた。
「サイバーセキュリティ力といっても、研究開発・技術開発と実践、マネジメントといったいくつかの分野に分かれる。もう一つ重要なのが人材育成だ」とし、ここに法制度や政策をうまく連携させることで強化していくべきとした。
さらに「特にセキュリティの実践や人材育成においては、適切なフレームワークや仕組みが重要になる」と述べ、「CSIJはまさにその仕組み作りに取り組むことで、セキュリティ対策に悩む多くの企業を支援していきたい」とした。
【基調講演】
●DXをはじめさまざまな業務に「プラス・セキュリティ」を
経済産業省は、デジタル時代においてサイバーセキュリティ対策は不可欠なものであり、さまざまな側面からの取り組みが必要だと捉えている。
同省商務情報政策局サイバーセキュリティ課サイバーセキュリティ戦略専門官の佐藤秀紀氏は、「産業分野におけるサイバーセキュリティ政策」と題する基調講演の中で、そうした認識に基づいて同省が進める政策や取り組みの一部を説明し、特に深刻な課題となっている人材育成をどのように後押ししていくかの道標を示した。
[経済産業省 佐藤氏]
まず佐藤氏が挙げたのが、サプライチェーンリスクの高まりだ。国内では主に、サプライチェーンを構成する企業のうちセキュリティレベルの弱い企業がサイバー攻撃を受け、その影響が取引先にも及ぶ、といった意味合いで使われるケースが多い。またすでに、取引先で発生したランサムウェア被害の影響で受発注システムを停止せざるを得なくなった、といった事例もいくつか発生している。
経済産業省が行った調査でも、過去に取引先がサイバー攻撃の被害に遭い、影響が自社にも及んだと回答した企業は5社に1社に上った。佐藤氏は「『自社は機密情報を持っていないから大丈夫』ではなく、自社の被害が取引先の業務にも影響することを認識し、自社の防衛が取引先の防衛にもつながることを意識していただきたい」とし、「誰も取り残さないサイバーセキュリティ」をコンセプトに掲げる政府の「サイバーセキュリティ戦略2021」に沿って経済産業省が進めているサイバーセキュリティ政策を紹介した。
取り組みでは、「サイバー・フィジカル・セキュリティ対策フレームワーク」(CPSF)をはじめとする「業種別/分野横断的なガイドラインの作成」「事案対処に備える基盤の構築」「中小企業/地方へのサイバーセキュリティ対策の普及促進」、そして、今回のセミナー全体のテーマでもある「人材育成/国際貢献」という4つの柱から構成されている。
さらに、大企業だけでなく、中小企業を服得た産業界全体でサイバーセキュリティを推進する目的で「サプライチェーン・サイバーセキュリティ・コンソーシアム」(SC3)を設立し、「中小企業対策強化ワーキンググループ(WG)」などを設けて議論を進めている。その1つである「産学官連携WG」では、主に人材育成や教育といった観点から産学官が協力できないか、議論を進めている段階だ。
続けて佐藤氏は、人材育成の取り組みとも関連する「サイバーセキュリティ経営ガイドライン」について説明した。このガイドラインはセキュリティ対策をコストではなく投資としてとらえ、経営トップの責任で推進することを明記したものだ。ここではCISOに指示すべき重要10項目の中に「体制構築」と「人材の確保」が挙げられており、つまり「セキュリティ人材の育成・確保もまた経営課題の1つである」と述べた。
たびたび指摘されているとおり、セキュリティという分野は非常に幅広く、一概に「セキュリティ人材」といってもさまざまな人材が含まれる。経済産業省は「サイバーセキュリティ人材育成・活躍促進パッケージ」の中で、経営層に高度な助言を行う人材、セキュリティを専門に運用やビジネスを行う人材、担当業務の中でセキュリティを意識する人材、といった複数の階層に分けて整理し、それぞれの育成を進めるよう示している。
ここでポイントになるのが「プラス・セキュリティ」という考え方だ。セキュリティを専門業務とするわけではないが、日々の業務の中でセキュリティを意識し、対策を実現していく人材像を指し、前述のサイバーセキュリティ経営ガイドラインの「付録F」にある「セキュリティ対策構築・人材確保の手引き」でも触れられている。佐藤氏は「セキュリティは特定の人材に任せておけばよいというものではなく、業務に携わる人員すべてが少しずつセキュリティを意識して業務を遂行できるようになることが重要になっている」とした。
もう一つ重要な概念が、「セキュリティ統括機能」だ。セキュリティ対策推進は経営の責任だが、専門的な知見や経験を元にその経営層を補佐したり、事業部門のセキュリティ対策を支援する機能となる。これはあくまで「機能」であって、特企業の規模や事業形態によってさまざまな形態があり得るという。
佐藤氏は、セキュリティ体制構築・人材確保の手引きを踏まえ、「プラス・セキュリティの人材がすぐに育つかというと難しいだろうが、少しずつ取り組みを進めていくことが大事だと思う」と述べ、たとえばシステム開発時に外部のセキュリティ専門家を入れ、一緒に業務検討を進めたり、事業部門からセキュリティ統括組織に一定期間「留学」させて修行するといったアイデアを示した。
さらに、2022年12月に公表したDXを推進する人材を定義した「DX推進スキル標準」においても、人材類型の1つとして「サイバーセキュリティ」が定義されていることにも触れた。
佐藤氏は「DX推進においてサイバーセキュリティの考慮は必須となっており、それぞれの人材が相互に協力することで業務変革が進められる」とし、どちらかがどちらかに押しつけるのではなく互いにコミュニケーションを取り、協力し、一緒に検討していくことが重要だとした。また、DX推進を支えるクラウドエンジニアにもセキュリティへの考慮が必要であり、これもまたプラス・セキュリティの一つだとした。
【パネルディスカッション】
●議論は尽きない、「どう育てる? セキュリティ人材と理想のチーム」
続けて、「DX時代におけるセキュリティ人材育成のベストプラクティス~中長期視点で考えるチームを強くする方法~」をテーマにしたパネルディスカッションが行われた。
登壇したのは、NRIセキュアテクノロジーズの時田剛氏、ラックの白井雄一郎氏、グローバルセキュリティエキスパートの武藤耕也氏、そしてラックの谷口諒之介氏だ。ラックの大塚英恵氏がファシリテーターを務め、「今求められる「セキュリティ人材像」とは」「理想のセキュリティチームをどのようにして育成するか」という主に2つの側面から意見を交わした。
パネル冒頭には、CSIJの「人材分科会」「評価分科会」の活動内容も紹介された。
◆「人材分科会」紹介
人材分科会リーダーを務める時田氏によると、人材分科会では「どのような人材が足りないのか、育成が必要な人材とはどのような人材かを考え、どう育てるかのフレームワークを作成している」という。すでに成果物として「インシデントハンドラ」をはじめとする5つのロールについてジョブディスクリプションとレベルを定義し、公開済みだ。「現在新たに3つのロールについて検討を進めており、春ごろのリリースを予定している」(時田氏)
[人材分科会リーダー 時田氏]
◆「評価分科会」紹介
一方、評価分科会サブリーダーの谷口氏は、評価分科会では、現状を見える化し、課題を浮かび上がらせることで、あるべき姿とのフィットギャップを示す「共通対策評価フレームワーク」の策定・維持に取り組んでいることを説明した。
まず第一弾として、クラウド環境のセキュリティを評価する「共通評価フレームワーク(クラウド版)」が公開済みだ。さらに、製造業向けの攻撃が増えている背景を踏まえ、「今後は製造業向けにOT環境のセキュリティを評価したり、中小企業を対象にセキュリティ体制やインシデント対応体制をチェックできるようなフレームワークを打ち出そうと考えている」という。「何から始めればいいかわからない、という企業や組織がかなり多いため、そうした方々に向けて指針を示せるようなフレームワークを立ち上げていきたいと思う」(谷口氏)
[講演資料ダウンロード ▼ ]
[評価分科会サブリーダー 谷口氏]
◆今求められる『セキュリティ人材像』とは
続けて、本題の「今求められる『セキュリティ人材像』とは」というテーマに移り、さまざまな鋭い意見が交わされた。
白井氏は「セキュリティはやはり幅も深さもあるため、スキルにもいろいろな層がある」と述べ、スペシャリストと、セキュリティについて必要十分な意識を持ちルールを守る従業員、そして業務の中にセキュリティ対応を付け加えていく「プラス・セキュリティ」人材という三階層で構成されているのではないかという見方を示した。
武藤氏はこれを受け、企業・組織内での役割分担を踏まえ、経営の立場でものを見る「経営層」、いわゆる管理職的な立場でチームの方向性を決める「戦略マネジメント層」と、現場で実務に携わる「実務者層・技術者層」という、また別の三階層の分け方もあると指摘した。そして「それぞれ担当分野も、期待される役割も異なる。それに則って人材層を定義し、育成の方向性を作っていかなければならないだろう」と述べた。
[GSX 武藤氏]
このように、一口に「セキュリティ人材」といっても多様な役割がある。時田氏は、しかしだからこそ「一足飛びにセキュリティエンジニアになろうとする傾向があるが、ネットワークやアプリケーションに関するベースの知識が不可欠だ」と指摘した。そしてその上で、自分が学んだこと、知っていることをさまざまな形で「アウトプットできる人」の市場価値が高まっていくだろうとした。
これには武藤氏、白井氏もまったく同感だという。アウトプットを意識しながら学べば理解度は深まるし、スキルアップのスピードも向上する。そもそもアウトプットするには読んだり聞いたりするだけでなく、実際に作業を行うことが重要で、近年さまざまな「演習」が注目されているのにもそうした背景があるだろう。
◆人材としての「市場価値」を高めていくには
さらに、人材としての「市場価値」を高めていくには、過去の経緯なども含めたベースの知識や、「周辺領域」に関する知識もポイントになるといった議論が交わされた。
「次世代ファイアウォールと言われるものも、ベースになっているのは古典的なファイアウォールであり、それを理解しておいた方がより適切な提案ができる。最新のソリューションの知識だけではなく、ベースになる知識を持ち、温故知新的なことができる人の価値は高まっていくと思う」(時田氏)。また武藤氏は、特定の領域を突き詰めることも重要だが、「その周辺領域を知っているかどうかが、身につけたスキルの使い方を変え、刀で言うならば『切れ味』を鋭くしてくれると思う」(武藤氏)
技術や環境は非常に早いスピードで変化しているが、そこでもやはり重要なのは「ベース」だ。白井氏は、かつて「何の役に立つんだろう」と思いながら学んだ情報処理試験関連の知識が、後になって生きてきたという実体験を振り返りつつ、「原理・原則を押さえているかどうかが重要だと思う。逆にそこさえ押さえていれば、新しいものが突然出てきても、応用して付いていけると思う」と語った。
パネリストの中では比較的若い世代に属する谷口氏も、「コンサルティングを提供する中で、ベースラインスキルは本当に必要だし、運用のスキルも非常に重要だ。さまざまな攻撃が増えている中、運用のスキルを持ちつつ、プラス・セキュリティとしてセキュリティの知識を持ち対応できる人材が必要になってくると思う」とした。
IT環境が変わり、サイバー攻撃が激化し、リスクは比べものにならないほど高まっている。そうした中では、経営層もエンジニアをはじめとする現場層も、さらにはIT部門以外のさまざまな部署の人が、「誰かに丸投げ」するのではなく、セキュリティをしっかり意識ししていく必要があるという。同時に、実際の運用にどれだけ落とし込めるか、セキュリティの全体増をイメージし、考えることのできる人材が必要ではないかというコメントもあった。これは、昨今深刻な課題となっているサプライチェーン攻撃に対処する上でも重要なポイントとなりそうだ。
◆セキュリティチームの理想的な役割分担
続けて話題は、セキュリティチームの理想的な役割分担に移った。企業・組織でセキュリティ対策を推進するにはCISOのようなリーダー役が必要であり、それを実際に作業を行う人たちが実現していくことになる。もちろんそこには経営層の関与も必要だ。「運用をしている方がさらにセキュリティの知識を身につけ、そこから経営層に進言できるようなチームを作っていくのがやりやすいのかなと思う」(白井氏)
[LAC 白井氏]
この中で興味深かったのは、「セキュリティを知るエンジニアが経営目線を身につけるよりも、経営層がITやセキュリティのベースを身につける方が、話が早いのではないか」という指摘だ。
「経営層の方々は、組織を守り、ビジネスを前に進めるためにどうすべきかを常に考えているので、その意味で『本当にこれ(セキュリティ)が必要だな』と思ったら行動もすごく早いと思う」(武藤氏)。さらに、「経営のベースを持っている方がセキュリティを学ぶ方が早いし、そうあるべきだと思う。経営に限らず、さまざまな業務もそうで、プラスするセキュリティよりも業務知識の方が全然重いと思う」(白井氏)
それには「セキュリティの部分をプラスしていく」部分を支援する存在も必要だ。「セキュリティを学んでから業務を知る方もいるはずで、それがおそらく『右腕』になる人だと思う。業務の担当者が一生懸命セキュリティを勉強するというよりも、セキュリティのアドバイザーがいて、業務をしている過程の中で自然と覚えていければいいなと思った」(白井氏)。業務の中でセキュリティをプラスしていく人々がおり、それをセキュリティの専門家であるスペシャリストがアドバイスする、という枠組みだ。
武藤氏によると、現場で情報セキュリティのリーダーをしていた人物が実績を積み、情報システム部門のマネージャーに、さらに経営者を支える懐刀として経営幹部へなった例もある。「自分の領域でどういう風に行動したり、どういう風にアドバイスしたらチームがよくなるか、お客様に喜んでもらえるかというパッションを持って積み重ねていくことで、経営的な視点もどんどん身に付くのではないかなと思う」(武藤氏)
ここで非常に重要なのは「目的」だ。「セキュリティに限らず、これは何のためにやっているのかを意識して仕事をすると、業務知識もセキュリティもどんどん身についていく。『なぜ』という意識は非常に重要だと思う」(白井氏)
大塚氏は「セキュリティという業務に携わる一員として、誰かを守り、被害がでないようにするという、人のために働くという考え方も重要かなと思います」と述べた。
[LAC 大塚氏]
◆「なぜやるのか」を理解するためのさまざまな手段
「なぜやるのか」を理解するにもさまざまな手段がありそうだ。「インシデントが起きたらどのような被害があるかを、勉強会のような形で社内に広く知らせ、意識してもらう必要があるのかなと考えている」(谷口氏)。時田氏は、IPAが公表した「セキュリティ関連費用の可視化」を例に挙げ、「リスクを具体的な数字として見せること」もポイントだとした。それが、会社全体で共通の言語、共通認識を持つ一歩になるだろうと武藤氏も同意した。
白井氏によると、「手段が目的化されるケースは少なくない」。何のためにやるのかを明確にしておかないと、取り組みが見当違いな方向に向かってしまう恐れがある。それを避けるためにも、「事業を統括する責任者にとっての『右腕』『懐刀』として、セキュリティ運用の全体を俯瞰できる人が技術的な後ろ盾となり、日頃からコミュニケーションを取ることが重要だ」と武藤氏は述べた。
10年以上言われているセキュリティ人材不足だが、特にこの数年、人材育成計画とセキュリティをいかにマッピングするかといった相談が増えてきている。「それだけセキュリティの実効性を向上させるには、きちんと人を育て、チームを組まなければいけないことを理解する企業や組織が増えたのだと思う」(武藤氏)。
もちろん、企業それぞれに組織構成も課題も文化も違う中、何か一つ「これ」という解があるわけではない。そんな中で白井氏は一つの解として、「インシデント対応をベースに、日本シーサート協議会が定義している役割をベースにすると、チーム構成が見えてくるのではないかと思う」とした。そして、自社に当てはめ、弱い部分を強化したり、逆に強い部分をさらに強化して、弱いところは外部に任せるなど、それぞれの考え方で進めていくやり方を紹介した。
「経営層や現場がリスクを認識していない、つまり同じ方向を向いていないと、何から始めたらいいかわからないということになる。CSIJの分科会の成果なども活用し、まずは自分たちのリスクを可視化し、評価フレームワークで自分たちの立ち位置を把握してもらえればと思う」(谷口氏)
武藤氏は、「とんがった技術者を目指すのもいいが、技術を理解した上でチームを引っ張っていくマネジメント層や幹部層もすごく重要な立場だ。それが企業や組織の中で中核になり、ひいてはお客様や社会をもっとよくする方向に向かうと思う」と述べ、個人のキャリアとしてもチャンスになるとした。
「ITは我々と切っても切り離せないものになっている。そんな中で、こんなソリューションを入れろ、このルールを守れと言われて窮屈に感じているのもおそらく事実だろう。セキュリティの担当としては、普通に生活している中で自然に守られる環境になり、何かあればセキュリティ担当に相談にいくような、セキュリティに対する感度が高まる世の中が作れればいいなと思っている」と時田氏は述べ、そのためにCSIJ会員各社の提供しているトレーニングやCSIJのフレームワークなどを活用してほしいとした。
最後に白井氏は、「セキュリティってそんなに難しくありませんよ、と伝えたいです」と述べた。「目的を意識すれば、それほど難しいことは言っていない。セキュリティでは新しい、難しい言葉がどんどん出てくるが、われわれ教育する側としてはそれらをうまく、わかりやすく、プラス・セキュリティ人材に伝えていけなければいけないと思っている」(白井氏)。そしてこうした循環を通して、「自分が納得したセキュリティを周囲の人たちに伝え、セキュリティが当たり前という文化にしていければと思う」と述べ、こうした取り組み、努力がきちんと評価され、報酬などの形に反映されることも必要だとし、パネルディスカッションを締めくくった。
【特別講演】
●セキュリティエンジニアにも言える「成長のVSOP」
2006年、30歳の時にセキュリティ専業の会社として株式会社トライコーダを立ち上げ、以来17年にわたってサイバーセキュリティ教育やペネトレーションテストといったサービスを提供してきた上野宣氏。同時に、CYDERやサイバーコロッセオの演習を行ったり、CSIJの会員企業であるGSX社とともに「認定脆弱性診断士(Securist)」というセキュリティ資格を立ち上げるなど、非常に幅広い活動を行っており、とても一言では表せない。
その同氏が、「セキュリティエンジニアの未来」と題し、セキュリティエンジニアとしていかに成長していくべきかをテーマに特別講演を行った。
[トライコーダ 上野氏]
上野氏はまず、さまざまな分野で言われる「成長のVSOP」という概念を紹介した。
VSOPとは、Variety(多様性)のV、Speciality(専門性)のS、Originality(独自性)のO、Personality(人間性)のPという頭文字をつなげた言葉だ。「20代は多様性を身につけるべきだ。30代になると専門性を身につけ、40代になると独自性を出していく。そして50代になると人間性を出していく、こういう成長が私にとっては非常にしっくりくるなと思っている」。これに従うと、最初に身につけるべきは多様性だが、「セキュリティの仕事もやはり多様性が必要である、ということを、私自身はすごく感じている」と上野氏は述べた。
そもそもセキュリティは単独で存在するわけではなく、ITはもちろん、公共、不動産、エンターテイメントなど他のさまざまな分野に存在し、必要とされている。従って「それぞれの業界特有の知識や商慣習、ルールを踏まえた上でセキュリティがわかれば、なおさら役に立つと思う」(上野氏)。
さらに、セキュリティという仕事自体も何か一つに固定されているわけではない。同氏も策定に携わった「セキュリティ知識分野(SecBok)」に示されるとおり、CISOにはじまり脆弱性診断や教育啓発、あるいはフォレンジックなどさまざまな職種や役割がある。「セキュリティの分野とは、ハッキングみたいな技術一つではなく、さまざまな技術や知識が必要になって来る」(上野氏)
そして、多様性を獲得していくためにも、まずはチャレンジすることが重要だとした。そもそもやってみなければ、自分にできることや得意なことというのもわからない。さまざまな仕事や経験を積むことではじめて、「得意なこと」「苦手なこと」や「やりたいこと」が見つかるという。
実は多様性を獲得していくためにも「基礎」が重要になってくる。上野氏はパネルディスカッションでの議論に触れ、「専門分野の技術や知識は陳腐化するリスクがある。今、先端を行っているツールやサービスが他のものに置き換わる可能性は十分あり、そういったものに完全に依存している技術は使えなくなる可能性がありる」と指摘し、揺るぎない基礎が重要であると述べた。それもできれば若い時期、学生の頃に身につける方がベターだという。
次に、30代で身につけるべき専門性については、「この技術と言えばあの人」と呼ばれることが目標になる。ただ、「自分ではなかなか専門性がわからないこともあると思う。そういう場合には人に聞くのがいい」と上野氏は述べ、周囲の人々に教えてもらうことも一案だとした。事実上野氏自身、かつて「上野君は難しいことを人に平易に教えるのがうまいよね」と言われたことが、教育などに携わる今の仕事につながっているという。
また逆説的だが、専門性の強さは他の分野の知識や技術といった多様性に支えられるし、常に登場する新たな技術に追いつくためにも基礎をベースにした学習が必要だとした。
40代のオリジナリティとは、「自分にしかできない仕事を意識していくこと」だという。知識や技術は時間が経てば陳腐化するリスクがあるし、しかも若い優れた世代がどんどん登場する。そんな中で、「単に経験だけ長い人物」で終わるのではなく、上野氏自身が脆弱性診断と教育を掛け合わせて独自性を出していったように、何かと掛け合わせることで独自性を出していくことがポイントではないかとした。
そしてパーソナリティとは、50代に限らず求められる要素だ。「あの人に付いていきたい」「あの人のようになりたい」と思わせる人間性は重要で、「特にセキュリティの仕事は信用・信頼を必要とするため、やはり信頼されるかどうかが自分の価値を決める一つの要因になるのではないかと思う」(上野氏)
その上で上野氏は、自分自身のキャリアを振り返った。自ら立ち上げた企業で、セキュリティエンジニアとして診断サービスや教育を提供するという今の仕事は、「『天職』に就いたと思っている」と上野氏は言う。
その「天職」とはどのようなものだろうか。上野氏は「好きなこと」「できること」「お金になること」が両立する仕事だと捉えている。「好きでできるけれどお金にならないのは趣味で、好きでお金になるけれどできないのは夢だ。できるしお金になるけれど好きじゃないのは労働であろう。これらが全部マッチしたら天職だ。好き、できる、お金になる。 これ、最高じゃないか」(上野氏)
上野氏にとってサイバーセキュリティはもともと趣味であり、好きなこと。それゆえに日々学び続ける動機にもなっているという。
ただ、かつて別の企業を立ち上げて働いていたときにストレスを溜め過ぎた経験も踏まえ、「嫌いな人とは仕事をしない」「下請けはしない」「徹夜はしない」といった項目を並べた「やりたくないことリスト」を作り、それを守って仕事をしてきたそうだ。たとえ忙しくても自分でやろうと決めたことならばそれほどストレスにならない。
もう1つ意識しているのは「ファンになってもらうこと」。ただ、人はそう簡単にファンにはなってくれない。そこで上野氏は、100%の成果は当たり前であり、120%の満足度を目指して仕事をしている。「『予想は裏切るけれど、期待は裏切らない』を座右の銘にしている」(上野氏)
上野氏は他にも、頼まれたことは出来るだけ引き受けること、たくさん書いたり話いたりしてアウトプットを継続すること、売り上げを特定の一社だけに依存しないこと、お金の話はうやむやにしないけれど、セキュリティの仕事の報酬は金銭的価値だけではないことといった、自らのキャリアを通して貫いてきたポイントを紹介した。さらに、「才能で得たものは社会に還元する」という恩師の言葉も常に胸に刻みながら仕事に取り組んでいるという。
最後に上野氏は、人材を育成する側が留意すべき事柄にも触れた。厚労省の資料なども踏まえると、企業は社会の公器であり、収益を上げると同時に人材の育成を図ることも重要な役割となる。また、人材育成に熱心な企業には、自ずと有望な優れた人材が集まり、経済的合理性にもつながる。
こうした事柄を理解し、従業員が勉強するために必要な時間の確保と、そこで身につけた知識を生かす場の提供、力の養成と、そうしたスキルを測るためのものさしの提供、「なりたい」と思えるロールモデルといった事柄に、ぜひ取り組んでほしいと呼びかけた。
【閉会挨拶】
●「好きこそものの上手なれ」はサイバーセキュリティにおいてもポイント
最後に、CSIJ運営委員でグローバルセキュリティエキスパートの常務取締役を務める与儀大輔氏が、閉会の挨拶に立った。
[CSIJ運営委員 与儀氏]
与儀氏はシンポジウム全体を振り返り、「温故知新」やベーススキルの重要性、なぜセキュリティが必要なのかについての全体の理解、リスクの可視化と共通認識およびそれを進めるための経営の関与といった、各セッションでスピーカーが取り上げたキーワードを挙げていった。
さらに上野氏の講演を踏まえ、セキュリティ人材を目指す上では「セキュリティが好きになれるか」がポイントになると述べた。難しくて好きになれないのでは、残念ながら勉強してもなかなか身に付くものではない。ちなみに与儀氏がサイバーセキュリティ業界に入ったのは2000年前後のことだが、「インターネットで悪いことをする奴をやっつける正義の味方でありたい」と思ったことが原点であり、その後もずっとサイバーセキュリティの仕事を好きであり続けているという。
最後に与儀氏は、CSIJの意義についても紹介した。CSIJの設立にはさまざまな思いが込められているが、サイバーセキュリティのアセスメントにおいて、日本国内で統一された「ものさし」「フレームワーク」を用意することが趣旨の一つとなっている。「統一された単位がなければ、エンドユーザーの皆様が迷ってしまう。そのものさしをCSIJの中できちっと作り上げていきたいと考えている」(与儀氏)
そして、こうした思いに賛同するセキュリティ業界の企業だけでなく、ユーザー企業にも賛助会員として広く参加してもらい、よりよいサイバーセキュリティを目指す取り組みに協力してほしいと呼びかけた。
