[Vol.9] 2020年の先を見たサイバーセキュリティ対策

喫緊の課題は、情報セキュリティを専門とする人材の不足です。経済産業省の調査によれば、情報セキュリティ人材は16年時点で13.2万人不足しており、20年には19.3万人不足すると見込まれています。

従来、物理的なセキュリティについては警察や自衛隊のほか民間の警備会社などが人材を育成して担ってきました。一方、情報セキュリティに関しては必要性が認識されてからの歴史が浅く、人材育成が追い付いていません。

さらに、日本では現在に至っても情報セキュリティ人材を育てる土壌すら十分とはいえません。

大学教育では情報工学の一部として扱われてはいますが、セキュリティを専門に学ぶ学生は限られており、そもそも指導できる教員の数も十分ではありません。こうした状況の理由の一つは、企業が情報セキュリティ人材に対して十分な待遇を用意していないことにあると考えています。

欧米では、人材不足については需給ギャップが解消しつつあります。これは情報セキュリティの専門家の重要性を評価し、給与を含む待遇が高水準になっているためです。

日本でも「情報セキュリティのスペシャリストになれば高待遇で働ける」ということにならなければ、現在の人材不足はなかなか解消しないのではないでしょうか。

人材の育成には時間がかかります。一朝一夕に解決する問題ではありませんが、大学や企業、政府が時間をかけて取り組んでいく必要があります。

サイバー攻撃はインフルエンザのようなものともいえます。気を付けて予防接種をしていても感染することはあるからです。これまで通り、ソフトウエアやシステムを導入して「予防」に努めるのはもちろん重要ですが、いざというときは、いかにスピーディーにトラブルに「対処」して被害を最小限にするかが大切です。できるだけ早く対処することで、被害を最小限にするという点もインフルエンザ対策と同じです。

これまで日本のサイバーセキュリティ対策は「予防」に重きが置かれてきました。「たくさん鍵を掛けて攻撃者が侵入しないようにする」という考えです。しかし気付かなかった裏口から攻撃者に侵入されてしまうケースはありますし、内部の人間が不正を行う可能性もあります。日本では「社員は不正をしない」という性善説を前提にシステムやルールが作られていることが多いように感じますが、内部からの攻撃にも備えることが重要です。それは、攻撃者が内部の人間に偽装する場合もあるからです。例えば社長のIDとパスワードを盗んだ攻撃者がシステムにアクセスしても、セキュリティソフトから見ればその攻撃者は社長ですから、サイバー攻撃を見抜けません。外部からの攻撃に備えるだけでなく、「社長が開発部門の設計データをコピーしている」ような普段とは明らかに異なる行動を検知して警報を鳴らすなど、被害を最小限にするシステムの導入も重要なのです。

サイバーセキュリティ対策は、コストを抑えながらトータルでセキュリティレベルが上がるよう、全体のバランスを見て考えることが大切です。まずどんなリスクがあるかを分析し、対処できているところとできていないところを明確にする。そして対処できていないリスクに最も効果的な対策を導入していくのが、セキュリティ強化の王道です。

会社全体の情報セキュリティ対策を統括する、ITと経営、そしてリスク管理の知識を併せ持つCISO（最高情報セキュリティ責任者）の設置も検討すべき対策でしょう。経営だけでも技術だけでもなく、ビジネスと情報セキュリティ対策の両方をよく知り、最適なバランスを選択できる人材が求められているのです。