なぜ法律、国際関係、地政学、ビジネスなどの知識や経験が必要なのか。サイバー攻撃は国境をまたいで行われることが多く、今後の攻撃を予測するには国際関係や地政学の知識が必要だ。万が一被害が発生したとき、ターゲットにされた企業や政府は、仮に攻撃者グループの潜む国を特定できたとしても、逮捕、起訴するには相手国と自国の法律を知っていなければならない。限りある予算を配分してサイバーセキュリティを強化するには、バランスあるビジネス感覚も必要になる。だからこそ、多分野の知識が必須なのだ。 では、どうすれば多彩な人材をサイバーセキュリティ分野に呼び込むことができるのか。

通常の業務にセキュリティ知識をプラスする

内閣サイバーセキュリティセンター（NISC）参事官の佐伯宜昭さん（提供：NISC）

内閣サイバーセキュリティセンター（NISC）で、人材育成に取り組む参事官の佐伯宜昭さんは「プラス・セキュリティ」という取り組みをスタートしているという。プラス・セキュリティとは、もともとセキュリティ部門ではない人が専門家と協力するのに必要なセキュリティに関する知識を身につけること。たとえば、法務部の人が契約書にセキュリティ対策やインシデント対応に関する事項をどう記すか検討する、あるいは事業部の人が新規事業の立案時にサイバー攻撃の観点からもどんな問題が起こりえるか検討する。 「営業、製造、開発などの事業部門、総務、人事、法務などの管理部門。こうした方々にセキュリティ対策の能力を身につけてもらう。今、企業では業務をデジタル化するDX（デジタルトランスフォーメーション）が進んでいますが、セキュリティ対策も同時に進めないといけない。DXでもたらされる利便性が、サイバー攻撃にも悪用されかねないからです。多様な部門の人がセキュリティ対策を意識することで、全体の対策が底上げされると考えています」

その上で、現時点のセキュリティ対策でより重要なのは「経営層の意識改革」だと佐伯さんは指摘する。対策を向上させるには、企業の中で、人材や資金の配分を担う経営層の理解が欠かせないからだ。 「サイバー攻撃に遭ったときに何をすべきなのか、たとえ攻撃を防ぎきれなかったとしても、どの部分は必ず守らなければならないのか。その対策を経営層に普段から考えておいてもらう。そうした方向性は（閣議決定された）政府の『サイバーセキュリティ戦略』にも示しています」 先に紹介したIPAの「中核人材育成プログラム」の「中核」も、企業などの経営層と現場担当者をつなぐという意味が込められている。 世界ではアメリカのNSA（国家安全保障局）のように電子機器を使ったデータ収集活動を中心にした情報機関をもち、サイバー攻撃や防衛手法に長けた人材を結集させている国もあれば、北朝鮮のように素質のある子どもを通常の教育カリキュラムから離して、徹底した英才教育を施して優秀なハッカーを育成する国もある。 一方、日本のサイバーセキュリティ戦略は、突出したスペシャリストを育成する代わりに、官民それぞれの実務者がプラスアルファでサイバーセキュリティの知識や対策をもつことで対応する。そのベースにあるのが、IPAの中山さんが言う「組織の壁を超えてつながるセキュリティ人材の信頼関係」だ。 今後ますます規模を拡大し、巧妙化するサイバー攻撃をどこまではね返せるか。日本のサイバーセキュリティの未来は、総合力にかかっている。

--- 緑慎也(みどり・しんや) サイエンスジャーナリスト。1976年大阪府生まれ、福岡育ち。出版社勤務を経て、フリーランスとして、週刊誌や月刊誌などにサイエンス記事を執筆。著書に『消えた伝説のサル ベンツ』(ポプラ社)、『認知症の新しい常識』(新潮新書)、共著に『ウイルス大感染時代』(KADOKAWA)、『山中伸弥先生に、人生とiPS細胞について聞いてみた』(講談社)、訳書に『フィボナッチの兎』(創元社)など。