「組織としての責任 ~サイバーセキュリティ編」
砂原 秀樹(副会長)
サイバーセキュリティに関するインシデントにかかわるニュースを見ない日はない。このような状況下において、サイバーセキュリティにかかわる人材あるいはサイバーセキュリティについて理解し本務に従事する人材の育成は不可欠であると言われて久しい。私自身もサイバーセキュリティ人材の育成にかかわっており、2025年3月でSecCap(修士1年を対象、2013年開始)において1,000名、BasicSecCap(学部3、4年対象、2017年開始)において2,000名の修了生を輩出することとなった。これ以外にIT-KeysおよびISS Square(いずれも修士課程対象、2008年開始)、ProSec(社会人対象、2018年開始)を含めると、私がかかわったプログラムだけでも延べ4,000名近い人材を輩出したことになる。そして、高専生を対象とするK-SEC、NICTのCYDERやSecHack365、IPAのSecCamp、東京電機大が実施しているCYSECなどのさまざまなプログラム、そして大学、企業などの個別の育成プログラムによって多数のセキュリティ人材が輩出されてきた。それでも、人材不足であるという議論が未だ続いている。これは本当にそうなのだろうか? 実は根本的問題が解決されていないのではないかと考える。
2025年度に入ってすぐに国内でも有数の大規模大学がサイバー攻撃に遭い授業や学内業務が停止するというインシデントが発生したという報が入ってきた。本件に関しては6月に入った現状でも復旧には至っていないと伺っている。中で対応されている方々、事業継続のための努力をされている方々には深く敬意を払うとともに、ここで個別の案件を批判するつもりはないので誤解ないようにお願いしたいが、この報とともにネット上のコメントを見ながら考えたことがある。一つは、どの組織においても本件は他人事ではないということである。現状において自組織において同様の案件が発生することを想定して準備をしておくことが必要であるということである。にもかかわらず、そうした動きができている組織はあまりないのではないかという懸念があまりにも強い。そしてもう一つ、デジタル基盤の運用についてセキュリティにかかわることも含めて専門組織にアウトソースをしてそれで安心されている組織が多いのではないかということである。いざインシデントが発生したときには、組織内部の人間が責任を持って判断し計画を立て対応にあたる必然性があるのではないかということである。前述の組織においてもせっかく組織内に専門的な知識を持たれた方々がいらっしゃるのにそうした力を活用できていないように見受けられるのである。
つまり、人材は多数輩出されたが活用できる体制が整っていないのではないかという懸念である。攻撃をしてくる側は今や専門性を持った分担を行っており組織立って攻めてきている状況にある。これに対して守る側も体制を整えて臨まなければならないと考える。これは一つの組織だけではできるものではない。すべての組織が連携して防御にあたる体制を整えることが不可欠である。私がかかわった人材育成においては、知識やスキルだけでなく、人間関係を築くことに重点をおいて進めてきた。サイバーセキュリティにかかわる運用・研究・教育といった活動における連携も含めて、こうしたことをさらに進めていくことが大切だと考える。学会はこうした活動の中核にならなければならないと考えている。組織の壁を越えた連携防御体制の構築に今後も取り組んでいきたいと考えている。
