サイバーセキュリティ戦略で示された課題サイバーセキュリティ戦略 ( 平成 25 年 6 月 10 日情報セキュリティ政策会議決定 ) で示された人材育成に係る課題は以下のとおり情報セキュリティ人材の不足解消に向け積極的な取組が必要 ( 国内における情報セキュリティに従事する技術者約 26.5

Size: px

Start display at page:

Download "サイバーセキュリティ戦略で示された課題サイバーセキュリティ戦略 ( 平成 25 年 6 月 10 日情報セキュリティ政策会議決定 ) で示された人材育成に係る課題は以下のとおり情報セキュリティ人材の不足解消に向け積極的な取組が必要 ( 国内における情報セキュリティに従事する技術者約 26.5"

ひとおさかいざわ
6 years ago
Views:

1 資料４情報セキュリティ材育成に係る現状と今後の検討課題について 2013年11 6 内閣官房情報セキュリティセンター NISC

2 サイバーセキュリティ戦略で示された課題サイバーセキュリティ戦略 ( 平成 25 年 6 月 10 日情報セキュリティ政策会議決定 ) で示された人材育成に係る課題は以下のとおり情報セキュリティ人材の不足解消に向け積極的な取組が必要 ( 国内における情報セキュリティに従事する技術者約 26.5 万人のうち約 16 万人が質的に不足さらに約 8 万人が量的に不足 ) 人材の発掘育成活用促進が必要 1. サイバーセキュリティ従事者の能力の底上げ具体的な取組 1 政府機関における人材育成登用の推進 2 グローバルに活躍できる人材の育成 3 実践的な教育プログラム等に対する大学等専門教育課程の充実化 4 必要とされる能力知識の明確化 2. 教育だけでは得られない突出した人材の発掘育成 Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 1

3 1. 現在の取組状況

4 1.1 政府機関における人材育成登用の推進 (1) 各府省庁における人材育成に関する取組事例政府機関における情報セキュリティ人材の育成として人事ローテーション等の工夫外部人材の活用採用面接時の資格の有無の確認等を行うなどの取組が行われている情報セキュリティ担当者に係る人事ローテーション等の工夫専門的知識を有する者を情報セキュリティ担当としその後係長課長補佐へ計画的に登用通常 2 年の人事異動を情報セキュリティ担当者については長期化システム関連部門経験者に独法等のセキュリティ関連部門や別の部門のセキュリティ業務を担当させるなど人事異動に配慮職員を国内外の情報セキュリティ関係大学院等へ留学外部人材の活用専門資格を有する外部人材を任期付で採用し最長 5 年に渡って担当させる任期中の勤務状況が優れている者は内部選考を経て常勤化官民交流法に基づき高度な知識と豊富な経験を有する外部人材を採用公募により民間セキュリティ人材を期間業務職員として採用セキュリティ監視管理等を行う業務を外部委託し委託先職員が省内に常駐公務員採用時における情報セキュリティ関連素養の確認採用面接時に IT パスポート情報セキュリティ等の資格の有無を確認官庁訪問者に記載させる面談カードに IT に関する資格等を取得しているか記載させるとともに面談の場において確認採用面接において情報セキュリティに関する常識について質疑応答職員全体の意識啓発と能力の底上げ全職員に対し e ラーニングによる情報セキュリティ対策にかかる研修を実施新規採用者中途採用者管理職向けに情報セキュリティに関する研修を実施省内で実際に発生した障害事故の事例やヒヤリハットを強調法律家の活用情報セキュリティに詳しい法学者や弁護士を懇談会等の委員に委嘱別の部署で採用している弁護士と必要に応じ連携 3

1.1 政府機関における人材育成登用の推進 (2) 情報セキュリティ緊急支援チーム (CYMAT) の設置政府機関等の情報システムに対するサイバー攻撃等が発生した際技能を持った要員による機動的な支援が可能となるチームを内閣官房に整備名称構成等 1. 名称情報セキュリティ緊急支援チーム通称 :CYMAT(Cyber Incident Mobile Assistant Team) 2.

5 1.1 政府機関における人材育成登用の推進 (2) 情報セキュリティ緊急支援チーム (CYMAT) の設置政府機関等の情報システムに対するサイバー攻撃等が発生した際技能を持った要員による機動的な支援が可能となるチームを内閣官房に整備名称構成等 1. 名称情報セキュリティ緊急支援チーム通称 :CYMAT(Cyber Incident Mobile Assistant Team) 2. 構成各府省庁から派出される情報セキュリティに関する技能知見を有す職員を要員に併任定常時で約 50 名政府 CISO が総括責任者 ( 注 )CYMAT 発足当初は要員推薦が困難な府省庁もあるため要員育成等の観点から研修員という枠も用意 3. 設置平成 24 年 6 月 29 日発足式の写真活動の概要 1. 活動事象サイバー攻撃等によって政府機関等の情報システムに障害の発生又はそのおそれがあり政府として一体となった対応が必要となる情報セキュリティに係る事象 2. 支援対象政府機関国会や裁判所等のCISO 等連絡会議のオブザーバー機関独法等 3. 活動概要 1 発生事象の正確な把握 2 被害拡大防止復旧再発防止のための技術的な支援及び助言 3 対処能力の向上に向けた平時の取組 ( 研修訓練等の実施 ) 4 * 習得した技能を省庁内で共有し他の職員のスキルの向上

6 1.2 グローバルに活躍できる人材の育成グローバルに活躍できる人材の育成に向けた取組企業による海外展開の動きに合わせグローバル化に対応する IT 人材の需要が高まっているがグローバル IT 人材は大幅に不足グローバルに活躍できる人材の育成を目指し海外の専門的な大学院等への留学支援や国際会議への参加等の取組を推進しているユーザー企業におけるグローバル IT 人材の確保状況出典 : 独立行政法人情報処理推進機構 IT 人材白書 2013 グローバル IT 人材を育成するための取組事例 ( 政府関係機関 ) 職員を国内外の情報セキュリティ関係大学院等へ留学等 ( 企業等 ) ( 出典 : IT 人材白書 2013 ( 独立行政法人情報処理推進機構 )) インターンシップや海外ベンダーへの派遣などのプログラムを実施トレーニー制度を活用した若手人材の海外派遣を行っているトレーニー経験者の多くは帰国後戦略企画スタッフとして日本から海外をサポートする業務や海外との人脈を活かしたプロジェクトに配属等 Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 5

1.3 実践的な教育プログラム等に関する大学等専門教育課程の充実化 (1) 情報セキュリティ教育の取組み事例大学等において情報セキュリティに関する専門教育課程の設置が進みつつある教育課程等の区分大学学部名電気通信大学 ( 情報理工学部総合情報学科 ) 特徴ネットワークセキュリティソフトウエアセキュリティ暗号理論コンテンツセキュリティ等のセキュリティ関連の講義を幅広く開講 (

7 1.3 実践的な教育プログラム等に関する大学等専門教育課程の充実化 (1) 情報セキュリティ教育の取組み事例大学等において情報セキュリティに関する専門教育課程の設置が進みつつある教育課程等の区分大学学部名電気通信大学 ( 情報理工学部総合情報学科 ) 特徴ネットワークセキュリティソフトウエアセキュリティ暗号理論コンテンツセキュリティ等のセキュリティ関連の講義を幅広く開講 ( 学科定員 150 名 ) セキュリティ専門課程情報セキュリティ大学院大学中央大学東京大学 ( 修士課程 ) 奈良先端科学技術大学院大学京都大学大阪大学北陸先端科学技術大学院大学 ( 修士課程 ) 3 大学と 8 企業等が連携し ISS スクエアとしてセキュリティの研究と実務を融合した教育プログラムを提供 (3 年間に 96 名が教育プログラムを修了 ) 4 大学と 4 企業等が連携し IT Keys として高度かつ実践的な教育プログラムを提供 (3 年間に 67 名が教育プログラムを修了 ) MBA コース中央大学 ( 戦略経営研究科 ) 青山学院大学 ( 国際マネジメント研究科 ) 選択科目としてネットワーク時代のセキュリティとガバナンス (2 単位 ) を開講選択科目として情報セキュリティ (2 単位 ) を開講 Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 6

実践的な教育プログラム等に関する大学等専門教育課程の充実化情報技術人材育成のための実践教育ネットワーク形成事業 (enpit) 文部科学省では情報技術を活用して社会の具体的な課題を解決できる人材を育成するため平成 24 年度より情報技術人材育成のための実践教育ネットワーク形成事業を実施し大学と産業界の連携による実践教育の推進ネットワーク形成を支援している代表校

実践的なセキュリティ能力を有する人材を育成する連携大学間の実践的なセキュリティ教育に関する情報を蓄積しセキュリティ教育のための教材を HP 等を通して共有する実践的セキュリティ教育の内容や指導の仕方を共有し教員の FD を推進するいわゆるビッグデータの分析手法, 新しいビジネス分野の創出といった社会の具体的な課題を, クラウド技術を活用し解決できる人材社会

8 実践的な教育プログラム等に関する大学等専門教育課程の充実化情報技術人材育成のための実践教育ネットワーク形成事業 (enpit) 文部科学省では情報技術を活用して社会の具体的な課題を解決できる人材を育成するため平成 24 年度より情報技術人材育成のための実践教育ネットワーク形成事業を実施し大学と産業界の連携による実践教育の推進ネットワーク形成を支援している代表校国立大学法人大阪大学補助期間 5 年間平成 25 年度参加学生数 90 名セキュリティ分野 (5 機関 ): 東北大学慶応義塾大学北陸先端科学技術大学院大学奈良先端科学技術大学院大学情報セキュリティ大学院大学 4 つの分野で情報技術を活用して社会の具体的な課題を解決できる人材の育成に取り組むセキュリティ分野では全国の学生大学 IT ベンダー企業ユーザ企業等が参加して実践的なセキュリティ能力を有する人材を育成する連携大学間の実践的なセキュリティ教育に関する情報を蓄積しセキュリティ教育のための教材を HP 等を通して共有する実践的セキュリティ教育の内容や指導の仕方を共有し教員の FD を推進するいわゆるビッグデータの分析手法, 新しいビジネス分野の創出といった社会の具体的な課題を, クラウド技術を活用し解決できる人材社会経済活動の根幹にかかわる情報資産および情報流通のセキュリティ対策を, 技術面管理面で牽引できる実践リーダー組込みシステム開発技術を活用して産業界の具体的な課題を解決し, 付加価値の高いサイバーフィジカルシステムズを構築できる人材情報技術人材育成のための実践教育ネットワーク形成事業各種の先端情報技術を有機的に活用し, 社会情報基盤の中核となるビジネスアプリケーション分野の実践的問題解決ができる人材. 7

9 1.4 必要とされる能力知識の明確化資格試験教材等の活用による能力知識の明確化資格試験基礎的な教材スキル標準の活用等により必要とされる能力知識の明確化に取組んできている取組資格試験の活用教材の提供帝京大学早稲田大学機関名独立行政法人情報処理推進機構 (IPA) 内容 IT パスポート試験関連の参考書を参考文献として扱い IT パスポート試験の合格により単位取得を認めている選択科目として CompTIA Security+ 入門 (2 単位 ) の講義を開講 IPA では学生が情報セキュリティの重要性と基礎的な技術について理解するとともにリスクを見出す問題発見の重要性について理解できることを学習目標とする教材の開発に着手しているスキル標準経済産業省各種 IT 関連サービスの提供に必要とされる能力を明確化体系化した指標であるスキル標準の策定及び活用 Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 8

2. 教育だけでは得られない突出した能力を有する人材の確保 (1) セキュリティキャンプ ( 独立行政法人情報処理推進機構 (IPA)) 合宿形式の研修で IT に対する意識の高い若者に対し情報セキュリティおよびプログラミングに関する高度な教育を実施技術面のみならずモラル面セキュリティ意識等の向上を図り将来の IT 産業の担い手となり得る優れた人材の発掘と育成を目的としている 2004

10 2. 教育だけでは得られない突出した能力を有する人材の確保 (1) セキュリティキャンプ ( 独立行政法人情報処理推進機構 (IPA)) 合宿形式の研修で IT に対する意識の高い若者に対し情報セキュリティおよびプログラミングに関する高度な教育を実施技術面のみならずモラル面セキュリティ意識等の向上を図り将来の IT 産業の担い手となり得る優れた人材の発掘と育成を目的としている 2004 年度からセキュリティキャンプとして開催しこれまで数多くの将来有望な人材を輩出してきている合計応募者受講者出典 : 独立行政法人情報処理推進機構ホームページ Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 9

2. 教育だけでは得られない突出した能力を有する人材の確保 (2) セキュリティコンテスト (SECCON)(SECCON 実行委員会 ) 国や自治体企業組織を含めた日本の情報セキュリティ技術者人材の育成を目的に実施する競技イベントチームに分かれて主催者の用意する課題をクリアしながら得点を競う参加者はハッキング攻撃を仕掛けるだけでなく

11 2. 教育だけでは得られない突出した能力を有する人材の確保 (2) セキュリティコンテスト (SECCON)(SECCON 実行委員会 ) 国や自治体企業組織を含めた日本の情報セキュリティ技術者人材の育成を目的に実施する競技イベントチームに分かれて主催者の用意する課題をクリアしながら得点を競う参加者はハッキング攻撃を仕掛けるだけでなくハッキング攻撃からシステムを防衛することも求められ攻撃と防御の 2 つの立場での能力が求められる各地方大会の CTF 予選ではそれぞれ上位 1 チーム ( 横浜予選のみ 2 チーム ) 合計 10 チームが SECCON 2013 全国大会の CTF 決勝戦に出場する権利を取得 CTF 地方予選を通過した 10 チームとオンライン予選上位最大 10 チームを招待し全 20 チームで全国大会の決勝戦を実施 SECCON 2013 全国大会では 300 名規模のカンファレンスも併催出典 :SECCON2013 ( Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 10

12 2. 現状分析

13 企業等における人材スキルの不足現状企業等においては情報セキュリティ人材は量的にも質的にも強い不足感情報セキュリティ技術者の人数もスキルも足りていると感じている企業等は全体の 4 分の 1 に満たない人材不足の状況及び原因 0% 25% 50% 75% 100% 社内向け N= % 22.3% 16.1% 38.8% 社外向け N= % 25.0% 19.3% 31.4% 人数もスキルも足りているは全体の 1/4 に満たない人数もスキルも足りている人数は足りているがスキルが足りていないスキルは足りているが人数が足りていない人数もスキルも足りていない出典 : 独立行政法人情報処理推進機構情報セキュリティ人材の育成に関する基礎調査 2012 年 4 月 Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 12

情報セキュリティ人材の育成に関する基礎調査 2012 年 4 月では誰についてどのような取組を進めるべきか Copyright

14 人材不足に対する企業等の取組状況人材不足解消に対する取組みについて 6 割の企業が何らかの姿勢で取組む意向を示しているものの特に取組んでいないという回答が半数近くを占める調査対象 : 社内向け業務出典 : 独立行政法人情報処理推進機構情報セキュリティ人材の育成に関する基礎調査 2012 年 4 月では誰についてどのような取組を進めるべきか Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 13

15 情報セキュリティに関する最近の事例現実のセキュリティインシデントに対応できる人材頻発するインシデントの防止対応が求められているそのためにはどのような事件が発生しているかを観察する必要最近の事例イランの原発電所へのスタックスネットによる攻撃が判明その後ウラン濃縮施設への攻撃も判明し遠分離機が全て停ソニー国会社のネットワークへの不正侵最で 7700 万分の顧客情報が流出 ~ 三菱重業衆議院等において標的型攻撃によるウイルス感染事案発原安全基盤機構においてウイルス感染事案発過去数か間に情報流出の可能性が確認宇宙航空研究開発機構 (JAXA) 及び三菱重業においてウイルス感染事案発本原研究開発機構においてウイルス感染事案の発農林産省においてサイバー攻撃事案に関する報道調査等の結果情報流出の可能性が確認韓国内重要インフラ事業者における同時多発的 IT 障害の発宇宙航空研究開発機構 (JAXA) のサーバに対する外部からの不正アクセス OCN のサーバーに不正侵最で 400 万分の顧客情報が流出セブンネットショッピングに不正侵最で 15 万分の顧客情報が流出本資料は報道ベースで作成 Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 14

被害を大幅に低減することが可能と言われている IPA 10 大脅威 (2013 年度版 ) より基礎的な対策

16 最近の情報セキュリティに係る脅威の本質最近の代表的な脅威として脆弱性をついた攻撃標的型攻撃等が挙げられるこれらはソフトウェアの更新等の脆弱性対策等を行うとともにウイルスが潜入した際の内部からの攻撃を想定した対策を講じておくことで被害を大幅に低減することが可能と言われている IPA 10 大脅威 (2013 年度版 ) より基礎的な対策システム設計等がきちんとできる人材が求められているのでないか Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 15

17 企画設計開発段階から情報セキュリティを考える人材の重要性一般的に開発ライフサイクルの下流工程になるほどシステムの脆弱性等を修正する費用は増大するとされるより上流工程でセキュリティ対策が実施されるのが望ましいと考えられるしたがって企画設計段階に携わる人材にセキュリティ知識技能が必要ではないか Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 16

18 IT の普及と情報セキュリティ人材 IT の普及によりサイバー攻撃の対象となりうる範囲が個人や家庭等の私的な空間から社会インフラ等の公的な空間まで拡大しているしたがってますます幅広い領域で情報セキュリティ技術者が必要やはりこれらの企画設計開発等のエンジニアがセキュリティを知るべきでないか般利者 ( 個家庭 ) 職場スマートデバイス自動車 BYOD( スマートデバイス ) デジタル複合機店舗施設 ( 社会インフラ等 ) 様々な機器におけるインターネットへの接続防犯カメラ POS 端末ビル社会インフラ Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 17

19 3. 検討課題

20 人材不足の解消に向けた仮説高度人材の発掘に引き続き取組むと共に量的不足 (8 万人 ) 及び質的不足 (16 万人 ) を解決するためにエンジニアを中心とした IT 人材の情報セキュリティに係るスキルを高めることが必要ではないかわが国の IT 人材の規模感と国が実施しているセキュリティ教育の現状は以下のとおり IT 人材国内約 106 万人 * ( うち約 80 万人がエンジニア ) 対象としたセキュリティ人材育成施策スキル標準の策定資格制度等( 間接的な支援 ) 普及啓発セミナー等の開催等高度人材 ( 左のうち一部 ) 対象としたセキュリティ人材育成施策 SECCON セキュリティキャンプ等 IT 人材のボリュームゾーンでありシステム設計運用の要でもあるエンジニアに対し実践的なセキュリティ教育が足りていないのではないか? 潜在的なセキュリティ人材不足 (8 万人 ) についてエンジニアを中心とした IT 人材 (106 万人 ) のセキュリティに係るスキルを高めることが求められるのでないかセキュリティ人材 (26.5 万人 ) の約 6 割 (16 万人 ) は能力不足と企業が感じているのであればエンジニアを中心として全体的な能力の底上げが必要ではないか Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 19

情報セキュリティ人材のキャリアパスこれまでもセキュリティ人材の必要性は主張されてきたが人材のキャリアパスを考えるべき現在示されているキャリアパスモデルも一部のセキュリティの専門家についてのもの経済産業省が公開しているモデルキャリアの例 (IT スペシャリストのモデルキャリアパス ( 基本パターン )) むしろセキュリティの専門家だけでなく

21 情報セキュリティ人材のキャリアパスこれまでもセキュリティ人材の必要性は主張されてきたが人材のキャリアパスを考えるべき現在示されているキャリアパスモデルも一部のセキュリティの専門家についてのもの経済産業省が公開しているモデルキャリアの例 (IT スペシャリストのモデルキャリアパス ( 基本パターン )) むしろセキュリティの専門家だけでなく広く一般的なエンジニアのキャリアパス上でもセキュリティ素養の向上を図っていくべきではないか出典 : 経済産業省平成 24 年度情報セキュリティ対策推進事業 ( 情報セキュリティ人材の育成指標等の策定事業 ) 事業報告書 Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 20

22 情報セキュリティの素養を身につける環境の整備職種別の IT 技術者に対し今後 5 年間程度で自分自身にとって重要になると思う技術領域分野についてアンケートを行った結果重要と考える項目は多岐にわたるが情報セキュリティの項目は全体としてポイントが最も高い IT 関係各分野の技術者は情報セキュリティを今後重要となる分野と認識しているエンジニアが情報セキュリティの素養を身につける環境 ( 研修教育等 ) が必要とされているのではないか今後 5 年間程度の環境の変化を考えた場合に自分自身にとって重要になると思う技術領域分野 ( 技術者別 ) ( 出典 : 独立行政法人情報処理推進機構 IT 人材白書 2013 より ) Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 21

情報セキュリティの面でも強化すべきでないか情報系学科卒業生に対する企業の需要の変化 (2012 年と 2011 年との比較 ) IT 人材育成に関する優先度の高い課題出典 :

23 実践的な能力の養成全体の半数以上の IT 企業において採用における質の高い人材の確保が人材に関する課題の中で最も重要な課題として位置づけられているそうした中で即戦力と思われる高等専門学校や専門学校に対する企業の需要は増加している企業からの需要に応じた質の高い人材特に職業に必要となる実践的な能力を有する人材の育成を情報セキュリティの面でも強化すべきでないか情報系学科卒業生に対する企業の需要の変化 (2012 年と 2011 年との比較 ) IT 人材育成に関する優先度の高い課題出典 : 独立行政法人情報処理推進機構 IT 人材白書 2013 Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 22

企業経営層への動機づけ企業の人員不足の原因として情報セキュリティにまで人材が割けない経営層の理解や認識が足りないが半数を超えている経営層のセキュリティに対する理解度としてやや理解が不足全く理解していないが 6 割程度企業経営層に情報セキュリティに対する何らかの動機づけを与えることが必要ではないか人員不足の原因 ( ) 人材不足の原因 ( 社内向け業務 ) 0% 25%

24 企業経営層への動機づけ企業の人員不足の原因として情報セキュリティにまで人材が割けない経営層の理解や認識が足りないが半数を超えている経営層のセキュリティに対する理解度としてやや理解が不足全く理解していないが 6 割程度企業経営層に情報セキュリティに対する何らかの動機づけを与えることが必要ではないか人員不足の原因 ( ) 人材不足の原因 ( 社内向け業務 ) 0% 25% 50% 75% 100% 3.1% 28.6% 27.9% 21.9% 17.1% 1.4% 本業が忙しく情報セキュリティにまで人材が割けない経営層の理解や認識が足りない社内に情報セキュリティ業務の適任者が少ない分からない採用をしたいが情報セキュリティ業務への応募者が少ないその他 N=1,736 企業経営層の情報セキュリティに対する理解度 ( 経営層以外からの回答 ) 出典 : 独立行政法人情報処理推進機構情報セキュリティ人材の育成に関する基礎調査 2012 年 4 月 Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 23

25 課題解決に向けた方向性の検討高度人材の育成に引き続き取組むことに加え以下のようなエンジニアの能力向上策による底上げを検討するのはどうか実践的なセキュリティ能力が身につく仕組み作り 1 教育機関 ( 高等教育含む ) 企業 ( 経営者人材部門エンジニア ) 等においてセキュリティのスキルが不可欠である共通認識を形成 2 セキュリティのスキルを身に着けさせることで職業上の報酬や待遇等につなげる ( 経営層の意識改革 ) 3 セキュリティ能力の評価基準策定 ( 一般エンジニアのレベルで有するべきセキュリティ技術の基準スキルの評価等 ) 4 政府調達におけるセキュリティ資格等の要件設定それに伴う企業等におけるセキュリティ能力の向上セキュリティのスキル向上のための実践的取組の実施 1 実践的な知識としてサイバー攻撃の事例の情報共有ケースの作成 2 ケースを基にした教材教育プログラムの提供 3 ケースを基にした多くの人が取り組みやすいコンテンツ ( シミュレーション等 ) の開発 4 仮想空間上でのインシデント発生時の対応訓練等現場での対応力の強化 5 設計段階からのセキュリティ対策織り込み必要性の認識の共有 Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 24

26 ( 参考 ) 有識者からの主な意見

27 有識者からの主な意見 (1) エンジニアを中心とした IT 人材の底上げについて高度人材育成策中心では不足する 8 万人が埋まらないというのは確か SIer はシステムを設計開発する段階からセキュリティを意識したものにしないといけない設計段階のセキュリティ教育にもっと力を入れた方がよいセキュリティを外部に頼む場合も自社の IT エンジニア部隊が中身を理解しておく必要がある現場の力があれば外部サービスの活用もスムーズに行く IT 人材の素養底上げは必要であるが一部の層だけでなく各層を同時に強化する必要がある IT 人材の素養底上げは必要であるが教育する場所やコンテンツがない教える側の知識も少ない理屈だけでなく実践活動の中でないと学ぶのは難しい実践で揉まれる場面をもっと増やしてほしいセキュリティのわかる人材に対する需要がない需要が生まれれば自然と人は育ってくる教育機関でセキュリティを単独で教えることは難しいネットワークハードウェアのベースの上で学ぶべき enpit ではハッキングを実習することなどで必要な能力を磨いている経営者の意識改革についてセキュリティの重要性を企業が理解し投資することが最も重要現在セキュリティのできる IT エンジニアがいても不遇な状況この状況を解決する必要があるセキュリティがビジネスに不可欠であり費用をかけるべきという共通認識が必要事案事例を示すことで経営的にどう対処すべきか考えてもらうことが重要なぜ今対策が必要かどの程度まで対策するかは議論の必要があるセキュリティが必要という一般的な認識は高まったが自社が攻撃を受けるという当事者意識がまだまだ経営側に何らかのインセンティブが必要政府調達でセキュリティ確保を要件にするなどして業界に波及させていくのはどうか Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 26

28 有識者からの主な意見 (2) 調達の際の要件としてセキュリティを義務付ける事についてセキュリティの資格や認定基準を政府が要件化すれば業者は必ずその資格を取ってくる意識向上ではなく調達要件という外部的な力が必要 P マークのように国が率先して進めるべき調達に資格を設けるのは競争の阻害要因にならなければ個人的には良いと思う講習や CYDER の受講歴を書かせるなどが考えられる手軽に受講できるようなものがあると良い現状セキュリティは発注要件に書きづらいその結果受注したベンダーは予算の範囲内で書かれている最低限のものを作る結果になる事例をもとにしたケースの作成共有教材化についてどんなインシデントが起こりそれがどのウィルスでどういう挙動で感染拡大に至りどの程度の被害が出てどう収束に至ったかという一連の情報があれば非常に役にたつインシデントのデータベース共有化は難しい現状インシデントがあっても外に言わない秘密保持や匿名などルールがあればできるのではないか標準化した知識を教えつつある程度から先はケーススタディ教育のように自ら考えさせた方が良い米国のようにオープンソースを活用して教育コンテンツを作成できないか情報をどこまで出してくれるかは信頼関係が重要になるであろう若者にとってハードルが低く広く提供できるシリアスゲームの活用は効果があると思う必要なセキュリティレベルの基準について何らかの能力の標準があるとよいという意見はユーザーベンダー双方から聞く一般の IT エンジニアにどこまで教えるかの基準は難しいネットワークやデータベース等との縦横の関係性の上で考えなくてはならない Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved. 27

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E > 身近な情報利活用による生活環境の事例をベースにネットワークがなかった時代の生活環境と比較させながら IT により生活が豊かに変化したことについて解説します 1. 身近な情報利活用の事例スライド上部の事例を紹介します学生が利用している情報サービスについて問いかけます IT によって実現していることについて説明します 2. ネットワークがなかった時代スライド上部の事例を活用し過去の事例を紹介します