8月4日、ラックと(ISC)2 Japan、CompTIA日本支局による、「組織力向上を目指したキャリアパスとスキルの可視化」と題したセミナーが開催された。3社は4月に組織力向上を目指した人材教育認証モデルにおけるパートナーシップを締結しており、今回のセミナーはその活動の一環となる。

政府の情報セキュリティ問題への取組

内閣官房情報セキュリティセンター 内閣参事官 泉宏哉氏

特別講演者として最初に登壇した内閣官房情報セキュリティセンター 内閣参事官である泉宏哉氏は、「我が国政府の情報セキュリティ問題への取組」と題して、内閣官房情報セキュリティセンター(NISC)の成り立ちや役割について説明した。

同氏はNISCについて、「NISCを結節点とした官民連携の強化と、国全体としての対処能力の最大化が必要」と、民間事業者と各省庁等、そして海外機関を接続するハブとしての役割を果たすと紹介した。そして、人材育成については、「人材育成と言うが、専門家を育てる育成だけでなく、中小企業等のビジネスユーザーを対象とした普及啓発活動も重視しなければならない」と、幅広い展開の必要性を指摘した。

また同氏は、「日本人は、世界と比較すると実際にPCに侵入されたというケースは少ないのに、個人情報の取扱いに対する不安を強く持つ傾向がある。ある意味、セキュリティに取り組みやすい環境で、これを有効に利用したい」とも語った。

情報セキュリティ人材育成

内閣官房情報セキュリティセンター 安田良明氏

続いて基調講演を行った内閣官房情報セキュリティセンターの安田良明氏は、「情報セキュリティ人材育成について」と題して、情報セキュリティ脅威の多様化・複雑化と、情報セキュリティ人材に関する現状と課題について説明した。

同氏は、「2000年末時点で世界のインターネット人口は約3億6000万人だったのに、今年3月には約20億人に達した。特に後進国や発展途上国と呼ばれていたエリアでの伸び率が大きく、SNS人口も増えている。厳しく検閲されているというイメージの中国でも、政府に批判的な発言がミニブログで数多く見られるなど、状況が変わってきている」と世界の現状を紹介。スマートフォンの急速な普及やクラウドコンピューティングの台頭など、情報通信技術の利用形態が急速に変化している点を指摘した。

そして安田氏は、「現場の社員からトップまで、全社員がリスク管理意識を共有し、トップが認識して下に教育するくらいでなければならない」と、情報セキュリティにおける企業トップの認識不足を強く指摘した。なお、企業トップの認識不足が大きな問題となることについては、他の登壇者からも繰り返し指摘された。

情報セキュリティを取り巻く環境と情報セキュリティ人材育成

最近のトレンドである標的型攻撃への対応について、中国の高速鉄道事故の事例を挙げつつ、認識のズレが大きな問題を生むと語ったのは、ラック 最高技術責任者の西本逸郎氏だ。

ラック 最高技術責任者 西本逸郎氏

同氏は、「中国の高速鉄道事故の真相はまだわからないが、信号機の見落としという説がある。時速350kmで走る電車で人が信号を目視しで確認することはできない。実は企業のICTも同じで、業務効率化や道具として利用しているうちはICTが止まっても紙と鉛筆で事業継続できるが、ICTが成長戦略であったり事業基盤である場合には(紙と鉛筆に)戻すことはできない。これを認識せず、止まったら同じやり方を人力でやればいいと考えるのは、高速鉄道の例と同じ。まずはそのことをトップが理解しなければならない。ICTがなければ高速運転は行えず、のろのろスピードで事業を行うしかないのが実情」と述べた。

そして、標的型攻撃は既存のウィルス対策ソフトでは対応できないが、その事実を理解しないことや、そこから目を背けて楽観することも事故の事例と同じだと語った。

CompTIAの認定資格

CompTIA 日本支局 シニアコンサルタント/ISEPA 情報セキュリティ教育事業者連絡会メンバーの板見谷剛史氏からは、CompTIAの認定資格について説明があった。

CompTIA 日本支局 シニアコンサルタント/ISEPA 情報セキュリティ教育事業者連絡会メンバー 板見谷剛史氏

同氏は、「CompTIAの認定資格は、ベンダー・ニュートラルでハードにもソフトにも依存しない、世界標準の認定資格。CompTIAはあくまでもプロジェクト管理を行う立場で、私たちが問題を作っているわけではない。問題は世界各国の現場従事者も加わって作られたもので、職務の分析をしっかり行い、時代に合わせたメンテナンスや改訂をきちんと行っている」と、資格試験の開発プロセスを紹介した。

CompTIAの認定資格開発プロセス

試験の内容については、「様々な条件でも高い品質能力を再現できるように、抱負な『ケース』が出題される。場面を想定して再現できることが重要視され、1+1=2というような出題ではなく、10という答えがあり要素が1ならばどうするのか、というような出題になる」と紹介した。

CompTIA認定資格試験での出題例

CompTIA認定資格の種類

CompTIAの認定資格は米国国防省でも採用されており、情報セキュリティに関する職務を行う人だけでなく、全職員が取得を義務付けられている。板見谷氏は、資格というと専門家が取得するものというイメージがあるが、CompTIAの認定資格は、PCを使って情報にアクセスする一般ユーザーも対象にしていることを強調した。

人材育成における資格の活用方法

資格の取得とその後活用について語ったのは、ラック セキュリティアカデミー プロフェッショナル・フェローであり、NPO 日本ネットワークセキュリティ協会 教育部会WGリーダーでもある長谷川長一氏だ。ISC2 CISSP 10ドメインレビューセミナー認定主任講師、CompTIA Security+講師でもある同氏は、「資格取得を目的とするのは間違い」と再三強調した。

ラック セキュリティアカデミー プロフェッショナル・フェロー 長谷川長一氏

同氏は、「資格取得のために学び、それを実際に役立てることが重要だ。知識より経験とコンピテンシーが重要だと言われているが、実は我々が知識と言う時はナレッジを指している。情報をインプットしただけで、データやインフォメーションの状態では意味がない」と説明。さらに、基礎的な部分から実践に向けて蓄積した知識をアウトプットするための積み重ねがなくてはならず、断片的な情報だけをかき集めて蓄積しておくだけでは、実業務で活用することは難しいとした。そして、資格をどう使うのかということに関しては、キャリアプランの構成要素として使うことを勧めた。

同氏は続けて、「資格は、キャリアプラン上は、ランドマークの1つとしてとらえることができる。但し、それだけではなく、社内外や他業種の人とでも会話ができる共通言語でもあり、共通のプロトコルとしての知識を身につけるためにも使える。講習会で、あなたは何のために資格を取得するのかと質問すると、業務命令だからと回答されることが多いが、学習や資格の取得は義務でなく権利とすべきだ。資格取得後も知識は常にアップデートしなければならないので、自律的に学習を継続させられなければならない」と語り、資格を自分のキャリアプランや組織開発に活用することを勧めた。

長谷川氏は、ビジネスパーソンが資格取得をした場合に、その資格が使われるシーンについても言及。人材評価に使おうとした場合には、業務に必要な知識の有無の材料になりがちな傾向にある。しかし、知識を実践に結び付けるためには、資格を取得しただけでは役に立たず、その後の経験やノウハウが重要となる。組織での資格活用をゴールと考えるのであれば、資格取得だけではなく、その取得により得た知識を活用し、成果を上げるためのモデルを作ることが重要とした。