[デジタル時代のサイバーセキュリティ対策を考える]

2018年2月5日(月)西野 弘（特定非営利活動法人CeFIL 理事/DBIC 共同設立者）

リスト

　先日、サイバーセキュリティ対策の重要性を再認識させられる大事件が起きました。日本で最大の現金強盗事件といえば皆さまもよくご存知の3億円事件ですが、今回は仮想通貨とはいえ580億円相当がわずか20分足らずで盗まれてしまいました。まだ犯人は捕まっていませんが、今後の動きから目が離せません。記者会見でセキュリティ対策について質問されたコインチェックの社長は「なかなか人がいない」という趣旨の発言をしていました。

　「そもそもセキュリティ対策が甘かったのでは」という指摘もありますが、優秀なセキュリティ人材の存在は重要です。対策のレベルをどうするかはITではなく人間が決めますし、サイバーセキュリティ対策を実効性のある形にするには何といっても人材がカギになるからです。もちろん優秀な防御ツールは必要ですが、前回もお伝えしたように、完全には防御できないのが現実。脅威にさらされた時の対応は人が行うことになります。

　経産省は、東京オリンピック・パラリンピックが開催される2020年までに、日本では17万人近いサイバーセキュリティ人材が不足すると公表しています。途方もない数字ですが、問題はそれだけではありません。この数年、米国やシンガポール、韓国、北欧などのセキュリティ対策人材の育成について調べてきた筆者は、日本と各国は根本が大きく違っていると考えています。諸外国では政策として数年をかけて人材育成を推進しているのに対し、日本では総数としての不足の話と「橋渡し人材」などというよく分からない資格制度が先行し、本質的な人材育成策が後回しになっているのです。

　例を挙げましょう。オバマ政権の時代に政府や大手銀行などのサイバーセキュリティ被害が相次いだ米国では対策を根本から見直し、人材育成を最重要課題の1つに位置づけました。これに基づき「TechHire（技術者採用）イニチアチブ」と呼ばれるサイバーセキュリティ人材の育成と採用に関わるプログラムが開始され、政府機関では様々な省庁が連携して取り組む「NICE（National Initiative for Cybersecurity Education）」が推進されるなど、官民連携の人材育成が進んでいるのです。次の写真1は2015年10月にCybersecurity Information Sharing Act（CISA）予算が上院を通過したときの様子です。

写真1　Cybersecurity Information Sharing Actが米上院を通過したときの様子（出典：C-SPAN）

米国のサイバーセキュリティ関連予算案は2017年度だけで約1兆9000億円

　2016年4月に米国を訪問した筆者は10人近い方々と面会しました。国家安全保障局（NSA）の前・研究開発部長、メリーランド大学Cybersecurity Centerの副センター長（Advanced Cybersecurity Experience for Student部長）、インテリジェンス及びセキュリティ担当の前国防総省次官、米国下院の安全保障委員会・法務部長、などです。それによって多くの情報を得たと同時に、米国と日本のサイバーセキュリティ対策の違いに気付かされました。

　特に顕著なのが組織と予算の規模です。オバマ政権末期の2016年末に政府の基本方針を取り決めたアクションプランに大統領が署名し、それが今のトランプ政権下で実行されています。その内容は以下のようなものです。