1．はじめに

2014年の独立行政法人情報処理推進機構（以下IPA）調査「情報セキュリティ人材育成に関する基礎調査」[1]の試算によれば，国内企業において，情報セキュリティ人材は約8万人と大幅に不足しており，さらに情報セキュリティに従事している技術者のうち，約16万人がスキル不足との調査結果が出る（図１）など，情報セキュリティ人材の育成は急務である．現在不足している人材の多くは，ユーザ企業において，自社システムのセキュリティ確保を管理できる人材であるが，このような人材はセキュリティ専門家とは限らない．

2020年東京オリンピック・パラリンピックを見据えてセキュリティが重要であり，人材が大幅に不足していると叫ばれている．経済産業省の調査では情報セキュリティ人材不足は一過性の問題ではなく2030年に向けても不足が続くとの予測結果も出ている[2]．この調査によると，IT人材（IT企業と，ユーザ企業の情報システム部門に所属する人材の合計）は現在91.9万人なのに対し，人口減少と，退職者が就職者を上回ることで2019年から先は減少に転じるが，IT需要の拡大により，人材ギャップは悪化すると予測されている．特に市場拡大が見込まれるセキュリティ分野の人材不足は深刻化すると指摘している．

情報セキュリティ分野の人材不足が深刻化している要因の一つとして，「情報セキュリティ人材の定義」が不明確な点があげられる．セキュリティに携わる人材は，最高情報セキュリティ責任者である担当役員のCISO（Chief Information Security Officer，以下CISO）から，セキュリティに特化した高度なスキルを有するホワイトハッカーまでさまざまであるにもかかわらず，情報セキュリティ人材として一括りにされている．必要な情報セキュリティ人材の定義を明確にし，その人材に必要なスキルを明確化することで，各人材の育成計画が可能になるとともに，教育カリキュラムやシラバスに関しても身に付くスキルを意識しながら作成することが可能になる．

加えて，セキュリティ業務を担う人材の定義が明確になることにより，業務の一部をツール等で対応することや外部サービスの利用が可能となるなど，人材不足を解決することへ貢献することも可能となる．

本稿では，セキュリティの知識項目を整理した情報セキュリティ知識分野（以降SecBoK）を取り入れた情報セキュリティ人材育成方法を提言する．セキュリティスキルを持ったIT技術者を育成することは難しいが，SecBokは情報セキュリティ人材不足対応が急務であるユーザ企業側においても有効活用可能である．これにより，情報セキュリティ人材不足を解決し，安心安全な社会へ貢献することを目指す．

以下，本稿は次のように構成する．第2章では，本当に育成すべき情報セキュリティ人材の現状分析を行い，第3章では人材不足解決の1つの方策となるSecBoKの登場経緯を解説する．続いて第4章では，SecBoKの利用方法を説明し，最後にSecBoKと各機関との連携についてまとめている．

2．本当に育成すべき情報セキュリティ人材とは

2.1　情報セキュリティ人材不足の現状

第1章において述べた通り，近年情報セキュリティ人材不足が叫ばれており，東京オリンピック・パラリンピックが開催される2020年には約20万人が不足するとのデータもある．情報セキュリティ人材の育成は急務であり，国策が必要な状況に瀕している．しかし，この人材不足問題は数年前から叫ばれているにもかかわらず，一向に解決に向けて進んでいないように思われるが，その原因は次のように整理できると考えられる．

表1は，IPA試算「情報セキュリティ人材育成に関する基礎調査」における，情報セキュリティ人材の不足数8万人の業種別内訳である．表1によれば，従来，情報セキュリティ人材不足の解消にはセキュリティに特化した専門家育成が急務と考えられていたが，現状は，情報サービス業や情報通信業などのセキュリティ専門家が多く所属する業種よりも，卸売業・小売業や医療・福祉業などの業種における不足感が高いことが分かる．従来の情報セキュリティ人材育成は技術重視で進められてきたが，情報セキュリティ人材不足を解決するためには，ユーザ企業において活躍できる情報セキュリティ人材の育成を検討する必要があると考えられる．そのためには，従来のセキュリティ専門家が業務を学ぶことに加えて，ユーザ企業での業務担当者がセキュリティを学ぶことが必要になると考えられる．

2.2　人材不足数を解決するためのターゲット層

2015年に経済産業省から報告された「情報セキュリティ分野の人材ニーズについて」では，今後日本に必要となるセキュリティ人材像として下記に示す3種類の人材があげられている[3]．

• 1．ユーザ企業において，企業の情報セキュリティ確保を管理できる人材
• 2．ホワイトハッカーのような高度セキュリティ技術者
• 3．安全な情報システムを作るために必要なセキュリティ技術を身につけた人材
  

情報セキュリティのスキルレベルから見ると，他国と比較してCISO設置数が少ない現状から明らかなように，ユーザ企業内で自社のセキュリティを守る役割の経営層人材が不足している．また多方面からのサイバー攻撃に対峙できるホワイトハッカーなどの高度なスキルを持った人材についても，育成が難しいエリアであるため人材不足である．一方，人材不足数の観点から育成すべき人材に注目すると，中堅レベルである「安全な情報システムを作るために必要なセキュリティ技術を身につけた人材」の大量な育成が必要となる．

図2は，不足している情報セキュリティ人材数とスキルレベルの関係を表したものである．横軸は不足人数であり，合計約8万人強となり，その内訳は，約9割がユーザ企業側，残りの1割がセキュリティ企業側での不足人数である．また縦軸は，スキルレベルであり，円の大きさは，不足人数を相対的に表している．

1.橋渡し人材および2.トップガン人材も高いスキルレベル層であるため育成が難しく，人材が不足している状況であるが，不足人数として一番問題視されているのが，3.中堅レベルになる．セキュリティ中堅レベルの1つの基準となる国家資格情報処理安全確保支援士について，2017年10月の第2回登録に関するIPA集計結果を表2に示す．表2に示す通り，表内業種の1.情報処理，2.ソフトウェア，6.コンピュータ関連の3業種だけで，登録者数の70%強を占めている．10.卸売・小売業では2.4%，12.医療･福祉業ではわずか0.5%であり，ユーザ企業側のセキュリティ技術者は少ない．現状，情報処理安全確保支援士登録者の多くがIT企業の所属であり，ユーザ企業所属の有資格者数が少ない状況は明らかである．

3．情報セキュリティ知識分野（SecBoK）登場の背景と特徴

3.1　ITスキル標準とセキュリティスキル標準との連携

国際的な競争が高まる中，近年ではクラウド・モバイル・SNSなど新たなITサービスやITインフラが台頭し，企業を取り巻くビジネス環境は刻一刻と変化してきている．IPAでは，これらの環境変化に対応したIT人材を育成可能とするため，人材育成の枠組みを整備し活用促進を図ることで，産業界における人材育成を支援してきている．

IPAが提供する「i コンピテンシ ディクショナリ」（以下，iCD）は，企業においてITを利活用するビジネスに求められる業務（タスク）と，それを支えるIT人材の能力や素養（スキル）を「タスクディクショナリ」，「スキルディクショナリ」へ分類して体系化したスキル標準で，企業は経営戦略などの目的に応じた人材育成に利活用することができる．IPAは，2014年7月のiCD試用版を公開を経て，正式版となる「i コンピテンシ ディクショナリ2015」（以下，iCD2015）を公開している．iCD2015では，試用版における知識体系などの見直しに加え，「情報セキュリティ」など新時代に必要な人材育成に対応したタスク・スキルを追加しており，重点項目の情報セキュリティに関してはSecBoK（Security Body of Knowledge）という新たな情報セキュリティ知識分野を取り入れ対応している．

3.2　SecBoK登場の背景

知識体系（Body of Knowledge：BoK）は，関連する職能団体によって定義される専門領域を構成する概念，用語，および活動などを表す用語である．現状，さまざまな専門組織による知識体系が存在し，プロジェクト管理の熟達のために使用されているプロジェクト管理知識体系 （PMBoK） ，ビジネス分析の専門家のための事業分析知識体系 （BABoK）などがよく知られている．情報セキュリティの知識体系として，SecBoKは，約13年前に作成されて以来，セキュリティベンダを中心に使用されている．

3.2.1　SecBoK作成の経緯

SecBoKは，次の経緯により作成された．

• 1）IPAからの依頼で，情報セキュリティスキルマップをNPO日本ネットワークセキュリティ協会（以下JNSA）が2004年に作成し，発行した.
• 2）2007年に経済産業省受託事業「コンピュータセキュリティ早期警戒体制の整備事業（インターネット安全教室及び情報セキュリティ人材育成に関する調査等）」のアウトプットである「情報セキュリティ教育の指導者向け手引書（2007年版）」公開したが，その手引書内にある情報セキュリティ知識分野をSecBoKとして名称を変更した.SecBoKは15の情報セキュリティ知識分野の大分類があり，中分類以下に約600の小分類スキル項目から構成している[4].
• 3）2009年には，情報セキュリティ教育事業者連絡会（以下ISEPA） より，「情報セキュリティ人財アーキテクチャガイドブック」を公開しており，約30に分類された職種ごとに，その職種で必要なスキルを定義している．

その後，3.1節で述べたiCD作成の際に情報セキュリティにおけるスキル標準が必要とのことから，筆者が部会長を務めるJNSA教育部会下に，複数のセキュリティ有識者によるSecBoK改訂委員会を発足し，改訂作業を実施し，2016年春に新SecBoKとしてSecBoK2016を公開した[5]．

3.3　新SecBoK改訂のポイント

その後，SecBoKは改訂を重ね，現在はSecBoK2017が公開されている．新SecBoKを改訂した際のポイントは以下である．

1）世界基準への対応

アメリカ国立標準技術研究所（以下NIST）のNational Initiative for Cybersecurity Education Cybersecurity Workforce Framework （以下NICEフレームワーク）におけるサイバーセキュリティに関する知識項目をSecBoKの知識項目に取り込んだ．これは，セキュリティ業界の一団体であるJNSAだけの認識ではなく，グローバルに認知されているフレームワークを導入すべきであるとSecBoK改訂委員会で判断したためである．米国ではNICEフレームワークをベースにした各省庁での人材育成計画の策定が進んでいる．日本においても情報セキュリティ人材育成計画を推し進める一施策として，産官学で連携できる共通フレームワークとしてSecBoKを活用し，JNSAよりIPA，大学および各企業への利用を推進する．

2）ユーザ企業での利活用対応

SecBoK改訂委員会では，SecBoKをユーザ企業での活用に対応可能にすべきと判断し，日本シーサート協議会（以下NCA）で使用されている人材定義[6]と米国NISTで使用されているNICEフレームワークの専門分野，およびユーザ企業・セキュリティベンダ企業での職種とのマッピングを実施している（表3参照）．

たとえばNCAで「インシデントの情報収集，運用しているセキュリティセンサ異常値の発見，影響分析」と定義されている「リサーチャー」という人材は，NICE定義では「ネットワーク防御分析」する分野を担う人材であり，セキュリティベンダ分野ではSOCアナリスト職種が，共通のスキルが必要な人材であるとマッピングされていることが分かる．加えて，「POC（Point Of Contact ）」は社内外との連絡窓口となり，情報連携を行うユーザ企業において重要な人材は，NICEに該当する専門領域がない．そこで，SecBoKでは，「POC」に対する独自のスキル項目を追加するなどの対応を実施している．

3）組織・ビジネスへの対応

従来のSecBoKにあった32の役割を16の役割に集約した．これは，ユーザ企業側のSecBoK改訂委員会委員より，実際のビジネスの場やユーザ企業で利活用されるために，細かくなりすぎず，かつ実際の業務フローや組織モデルを想定できるものにするべきである，との意見に基づいて実施された．またIPAから公開されているiCDやITSS+などのITスキル標準との連携についても，スキル項目や役割についてのマッピングを実施することで連携を強化した．

3.4　新SecBoKの特徴

新SecBoKは，下記の2つの特徴がある．

1）役割（ロール）の定義

筆者らはNICEフレームワークおよびNCA人材定義・セキュリティベンダと連携，およびセキュリティベンダ職種との対応関係を明らかにし，セキュリティに必要な役割（ロール）として16種類（表4）を定義している．ここで，人材定義ではなく役割としているのは，各々の企業や組織の状況において，一役割を複数人で担うケースもあれば，1人で複数役割を担うケースもあるためである．このように人との対応でなく，役割を定義している点がSecBoKの特徴である．

2）グローバル標準スキル項目との連携と不足スキルの追加

SecBoK改訂委員会では，セキュリティ業務を担うために必要な約400のスキル項目を選出し，16の役割へのマッピングを行った．表5にSecBoKの一部を抜粋した例を提示する．SecBoK内スキル項目にあるKSA-IDは，NICEフレームワークのスキル項目と一致しており，スキル項目コードはiCDのスキル項目に一致している．このようにスキル項目が，米国標準であるNISTと日本標準であるiCD双方と連携していることが，SecBoKの大きな特徴である．また，どちらの標準にも存在しないが，必要と思われるスキル項目についてはSecBoK独自に追加している[7]．

4．SecBoK利用による情報セキュリティ人材育成方法

4.1　ユーザ企業での必要スキル明確化

NCAでは，コンピュータやネットワーク上でのセキュリティ上の監視および問題が発生した際の対応を行う組織であるCSIRT（Computer Security Incident Response Team，以下CSIRT）の役割と業務内容の関連図を公表している．従来は，セキュリティに従事する技術者は「セキュリティ技術者（セキュリティスペシャリスト）」，セキュリティインシデントに対応するCSIRT要員は「CSIRT要員」などと一括りにされていた．NCAは，CSIRTの運用に必要な業務内容を分類し，自組織で対応すべき業務内容とアウトソーシング可能な業務を分類した複数のモデルケースを作成している．

図3は，NCAが分類したCSIRTの役割と業務内容を，自組織で最低限実施しなければならない業務内容（白い円内）と，セキュリティ専門業者へのアウトソーシング可能業務（色付き円内）に分類したモデル図である．

この図3の中央に「コマンダー」という業務（役割）が存在する．この「コマンダー」業務は，自組織内で必ず存在し，万一のインシデント発生の際は中心的役割を果たす大変重要な業務である．これは，外部業者に任せることが難しい業務のため，ユーザ企業においても，要員の育成と設置が望まれる．しかし，ユーザ企業において，コマンダー要員の育成を試みても，どのように育成すべきかが不明確であるため，NCAがモデル図を作成し，推奨体制を公表している．

NCAでは，コマンダー業務の役割と必要なスキルとして下記を定義している．

1） インシデント統制担当

自組織で起きているセキュリティインシデントの全体統制を行う．また重大なインシデントに関してはCISOや経営層との情報連携やCISOや経営者が意思決定する際の支援を行う．

2） 任用前提スキル

システム障害の全体統制を行える能力，および自組織のセキュリティアーキテクチャ，ビジネスに関する知識，経営層に説明できるコミュニケーションスキルを有する．

3） 追加教育スキル

リスク影響とビジネス継続を考慮して優先順位を決定できる能力，攻撃戦術・ステージ・技術・手順に関する知識，およびセキュリティに特化したインシデント統制能力が必要．

次項では情報セキュリティ人材育成の1つの方法であるセキュリティ資格と外部研修プログラムについて，SecBoKを利用する効率的な人材育成の取り組み方法について提案する．

4.2　各種資格スキルと業務に必要なスキルとの連携

表6は，SecBoKより「コマンダー」に必要なスキル項目の一部と，情報処理資格である「情報セキュリティマネジメント」試験の出題範囲シラバスとを対応づけた例である．これにより出題範囲シラバスのどこを学べばコマンダー業務能力が身に付くのか，またはその逆に情報セキュリティマネジメント資格保有者は，どのスキル項目が満たされているのかを判断することが可能になる．表6は一例であるが，情報セキュリティマネジメントでは充足できないスキル項目については，他のセキュリティ研修プログラムや資格シラバスよりスキルを身に付ける人材育成計画を作成し，コマンダー業務を実践できる人材の育成に役立てることが可能になる．

「コマンダー」業務の役割の理解と，その業務遂行に必要なスキルの明確化により，ユーザ企業側においても，現体制の従業員に研修を受講させるなどの人材育成計画を立てることが容易になる．またセキュリティ経験者を中途採用する際には，どのようなスキルや資格を持った人物が自組織に必要でマッチするのかが明確となる．このことは，ユーザ企業側の情報セキュリティ人材不足の解消に有効と考えられる．

4.3　大学等の学術機関での教育体系

SecBoKのスキル項目を利用して学部教育参照基準[8]との関係性を整理した例の一部を表7に示す．従来の大学および大学院での情報学分野においては，基準となる BoKがなかったため，SecBoKを有効に利用することにより，大学教育カリキュラムを作成する際に学ぶべきスキル項目の体系と網羅性を確保することが可能となる．

現在，表7は，J07（情報専門系カリキュラム標準）[9]の後継となるJ17委員会と連携を図り，あたらなセキュリティ教育体系の作成を現在進めている．

表8は筆者が実際に担当している大学学部生を対象とした情報セキュリティ講義のシラバスとSecBoKのスキル項目を対応づけた結果の一部である．これは，15回の各講義が修得目的とするスキルと，全15回を通して総合的に何を学ばせたいのかを明確にできたシラバスの作成事例である．スキル項目とシラバスを連携させることは，授業カリキュラムの品質向上と標準化にも繋がり，このことは，情報セキュリティ教育のモデル・コア・カリキュラム作成にも利用されている[10]．

セキュリティ分野の教育では，技術や攻撃手法の変化などのスピードが速いため，外部専門家や有識者および第一線で活躍する現場技術者を招いた産学連携によるオムニバス講義を実施するケースも多い[11]．その際に現状では各講師間の内容重複や逆にテーマがかけ離れているケースが見受けられるが，毎回の講義で学ぶスキル項目が明確になれば，そのような問題点の解決にも期待できる[12]．

5．まとめ

情報セキュリティ知識分野であるSecBoKは，「Body of Knowledge」として，IT関連企業に加えてユーザ企業での対応との連携はもちろん，IPAのスキル標準や各種資格制度やJ17などの学術機関および資格制度とのスキル項目連携など，さまざまな組織や制度などから参照することが可能である（図4）．またSecBoKを有効活用することにより，以前から問題となっているセキュリティ分野において不足している人材に求められるスキルを明確にし，ユーザ企業などのセキュリティ専門組織でなくとも，効率的かつ最適な育成計画を作成することが可能となる．

教育側ではSecBoKを有効活用することによりスキルが標準化され，従来カリキュラムや教育体系を作成することが難しいとされていた情報セキュリティ分野において，モデル・コア・カリキュラムを提供することが容易になる．また人材を採用する側は，必要な人材を明確にでき，その人物評価もスキルの観点から判断が容易になる．各個人においては，自分の目指す人材像の必要スキルが明確になることで，自身の目標が立てやすくなるなど，それぞれの立場においてもSecBoKを有効に活用することが可能である．

数年前から問題となっている情報セキュリティ人材不足は解消されるどころか不足数が増大している状況である．また東京オリンピック・パラリンピックに向けた2020年時の不足数を問題視しているが，2020年を超えて2030年においても不足数は一向に改善されないとの予測も出ている．本稿とSecBoKの利用が今や社会問題ともいえる情報セキュリティ人材不足の解決の一助になれば幸いである．