日本の｢ホワイトハッカー｣育成に不可欠な視点 学ぶ場の充実により年々レベルは向上している

筆者も実務家の立場としてIoTセキュリティの授業を担当している。サイバー攻撃の手法が日々進化しているため、現在の教員だけではタイムリーかつ実践的な教育を提供するのが難しく、高専機構では「副業先生」を公募し、民間企業のITプロフェッショナル人材を招聘する試みも始まっている。

全国に51校ある国立高専の卒業生は、毎年約1万人だ。そこでK-SECでは、下図のようにサイバーセキュリティのトップオブトップの人材を毎年1%（100人）輩出し、20％を占める情報系の高専生（2000人）に社会で必要とされているサイバーセキュリティ技術を習得させ、さらには機械・建築・土木・電気電子・材料工学など全専門学科の学生がプラスセキュリティ人材に育つことを狙っている。

とくに地方の工場や中小企業で働く技術者が、サイバーセキュリティの知識を入社時点で持っていることは非常に価値が高く、地方の高専ではユニークな取り組みが見られる。

例えば、広島商船高専は、日本初の実運航船を使った「船舶へのサイバー攻撃防御演習」を2023年にラックと協働で実施。船のGPSの位置情報を混乱させるサイバー攻撃を受けた場合のリスクと対処法について学ぶこの演習は、好評だったという。

木更津高専では、千葉県警と日本大学理工学部と連携して人材育成を強化。例えば専攻科の学生が地元の中小企業向けにセキュリティ診断を実施し、その結果を説明する活動に取り組んでいる。就職前のこうした機会は学生にメリットが高いだけでなく、まだセキュリティ人材がいない企業側では、ニーズの再認識や受け入れ態勢の準備などが促進されるだろう。

「リスキリング」による人材補充も重要

厚生労働省が2020年に始めたサイバーセキュリティ教育訓練プログラム「SECKUN」も興味深い。これは、社会人のキャリア変更やスキルアップを目的としたものだ。

九州大学サイバーセキュリティセンターが主体となり、産業界の専門家と開発した教材を用いて、職種別・職能別の訓練コースをオンライン形式で実施している。九州大学を含む7つの大学と産業界が協力し、実用的な内容を提供しているのも大きな特徴だ。

技術系、マネジメント系の科目だけではなく、経営との橋渡し人材を育成するブリッジ科目も用意されており、サイバー攻撃への対応だけでなく、リーダーシップやリスクマネジメントも学べる。

インシデント対応の現場では、組織間のコミュニケーションが多く発生するため、外部人材登用よりも、社内に顔見知りが多いプロパー社員のほうが、調整がうまく進むこともある。よって、企業に勤める社会人に対して、SECKUNのような場を活用してセキュリティのスキルをアドオンすることは、セキュリティ人材の充足を狙う有力なアプローチの1つと言える。

このように、日本のホワイトハッカー育成の場は充実しているが、現場のセキュリティ人材不足を補うまでには至っていない。セキュリティ人材のキャリアパスを自社で担保できる大企業やIT企業はまだよいが、中小企業や非IT企業においては需要に対して供給が追いついていない状況だ。

人材育成は一朝一夕にできるものではないという認識の下、企業同士が協力して育成のエコシステムを作り上げていく必要もあるだろう。

竹迫 良範：リクルート アドバンスドテクノロジーラボ所長