V
平成 24 年度
情報セキュリティ人材の育成に向けた検討 報告書
2013 年1月
株式会社 NTT データ経営研究所
平成 24 年度
内閣官房情報セキュリティセンター
委託調査
1
1. 本調査・検討の概要 ... 2
1.1. 背景と目的 ... 2
1.2. 調査内容 ... 2
1.3. 検討会の開催概要 ... 3
(1) 委員名簿 ... 3
(2) 事務局 ... 3
(3) 検討会の開催概要 ... 4
2. 企業ニーズ等調査 ... 5
2.1. 調査対象及び調査項目 ... 5
(1) 調査対象 ~情報セキュリティ人材の分類 ... 6
(2) 調査項目 ... 8
(3) 調査対象企業 ... 9
2.2. 企業のニーズ等 ... 12
(1) 総論 ... 13
(2) 各論(現状及び課題) ... 19
(3) 各論(大学への要望) ... 27
(4) 各論(人材育成に係るその他の課題) ... 36
3. 大学実態等調査 ... 39
3.1. 調査対象及び調査項目 ... 39
(1) 調査対象 ~大学調査の対象となる教育課程 ... 39
(2) 調査項目 ... 40
(3) 調査先大学名 ... 41
3.2. 大学の実態等 ... 43
(1) 総論 ... 43
(2) 各大学の取組み ... 45
(3) 取組み成果等のコメント ... 85
4. 大学向け啓発資料案 ... 91
4.1. 啓発資料案作成における基本的考え方 ... 91
4.2. 啓発資料案構成 ... 91
4.3. 活用方法 ... 92
4.4. 啓発資料案 ... 92
別添資料 1
「大学における情報セキュリティ教育の重要性について(案) 」
1. 本調査・検討の概要
1.1. 背景と目的
本事業は、 「情報セキュリティ人材育成プログラム
1」(2011 年7月8日情報 セキュリティ政策会議決定)および「情報セキュリティ人材育成プログラムを 踏まえた2012年度以降の当面の課題等について
2」 (2012年5月31日普及啓発・
人材育成専門委員会取りまとめ)を踏まえ、情報セキュリティ人材の育成に 関する情報を収集するものである。
本調査では、企業および大学に対してヒアリング等を行うことにより、情 報セキュリティ人材の育成に関する課題、ニーズ、取り組み事例等を把握す ることを目的とする。
1.2. 調査内容
情報セキュリティ人材育成に関する課題、情報セキュリティ研究科等の設 置・教育に関する企業のニーズ、情報セキュリティ教育に関する大学の教養 課程・共通課程に対する企業のニーズ、情報セキュリティ教育に関するMB A又はMOT等に対する企業のニーズを把握するため、企業に対するヒアリ ング等を実施した。
教養課程・共通課程及び情報セキュリティ専門でない研究科において、情 報セキュリティの授業を実施している事例、資格試験等を活用した授業を実 施している事例、情報セキュリティに関する新たな学位の創設についての意 向を把握するため、大学に対するヒアリング等を実施した。
こららの調査をとりまとめ、大学における情報セキュリティ教育の実施に 資する大学向け啓発資料を作成した。
本調査は、情報セキュリティ人材育成に幅広い知見を有する有識者からな る検討会を開始し、当該検討会において、調査結果の分析・検討等を行いつ つ調査を進めた。
1
出典:http://www.nisc.go.jp/active/kihon/pdf/jinzai2011.pdf
2
出典:http://www.nisc.go.jp/active/kihon/pdf/jinzai_kadai2012_fix.pdf
3 1.3. 検討会の開催概要
検討会の委員名簿及び開催概要を示す。
(1) 委員名簿
<座長>
今井 秀樹 中央大学 理工学研究所長
<副座長>
浜田 達夫 社団法人 日本情報システム・ユーザ協会 常務理事
<委員>
下村 正洋 特定非営利活動法人日本ネットワークセキュリティ協会 事務局長
砂原 秀樹 慶應義塾大学教授
与儀 大輔 情報セキュリティ教育事業者連絡会 代表
(2) 事務局
株式会社 NTT データ経営研究所
(統括責任者)
上瀬 剛 ソーシャル・イノベーション・コンサルティング本部 本部長
(実施責任者:プロジェクトリーダー)
松丸 剛 情報戦略コンサルティング本部 シニアコンサルタント
(実施担当者)
助田 雄也 ソーシャル・イノベーション・コンサルティング本部
コンサルタント
(3) 検討会の開催概要
検討会は合計3回開催し、調査内容等について協議した。第1回検討会で は、本調査の事業概要を確認したうえで、調査方針及び調査項目等を協議し た。第2回検討会では、調査設計に基づいて行った調査結果を報告し、調査 結果の分析・検討を行うとともに、調査結果を踏まえた啓発資料案の中間報 告を行い、当該資料について協議した。第3回検討会では、これまでの協議 内容を踏まえた報告書の確認等を行った。
図表 1 開催概要
開催日 開催時間 議事次第
第 1 回 検討会
2012 年
11 月 5 日(月) 午前 10:00~12:00
(1)事業概要の確認 -調査目的と調査内容 -調査設計各項目 (2)調査対象先の協議 -IT ユーザ企業 10 社
-セキュリティ関連企業 10 社 -大学 10 機関
第 2 回 検討会
2012 年
12 月 26 日(水) 午後 13:00~15:00
(1)企業ニーズ等調査結果報告 -ニーズ等の状況
-大学教育への要望
(2)大学実態等調査結果報告 -教養課程、専門課程
(3)啓発資料案の概要(中間報 告)
第 3 回 検討会
2013 年
1 月 18 日(金) 午後 15:00~17:00
(1)報告書記載事項の確認 -事業概要
-企業実態調査 -大学実態調査 -啓発資料
(2)啓発資料内容の確認
5
2. 企業ニーズ等調査
2.1. 調査対象及び調査項目
企業ニーズ等の調査を行うにあたり、まず、調査対象となる情報セキュリ
ティ人材の分類を明確にするとともに、調査項目を整理した。その整理を踏
まえ、調査項目について有益な情報収集が期待できる企業を調査対象として
選定した。
(1) 調査対象 ~情報セキュリティ人材の分類
本調査における情報セキュリティ人材の分類は、 「情報セキュリティ人材 育成プログラムを踏まえた 2012 年度以降の当面の課題等について」 (2012 年 5 月 31 日普及啓発・人材育成専門委員会取りまとめ)の分類を踏まえて 整理した。
「情報セキュリティ人材育成プログラムを踏まえた 2012 年度以降の当面 の課題等について」においては、企業内人材を「企業等の情報セキュリテ ィ担当者」 、「情報セキュリティ産業の人材」、 「先端的研究者・技術者」に 分類されている。本調査においては、この整理を踏まえつつ、企業内にお けるを人材配置状況を踏まえ、以下の6タイプに詳細化した。
タイプ1:企業の経営層の人材
情報セキュリティに係る責任者として、CSO(Chief Security Officer)や CISO(Chief Information Security Officer)などが想定される。
タイプ2:企業の総務部門等の人材
主な役割としては、セキュリティポリシの策定や情報セキュリティ監査、
セキュリティマネジメントの推進等の担当者が想定される。
タイプ3:ユーザ人材
企業における情報システムの利用者
タイプ4:企業における情報システムの部門等の人材
社内の情報システムの開発・保守・運用の担当や技術的なセキュリティ対 策を理解し、サイバー攻撃などの検知・監視またはインシデント対応等の担 当者が想定される。
タイプ5:情報セキュリティサービスに関連する製品やサービスを提供する人 材
セキュリティ関連製品・サービスの開発・提供等を行う担当者が想定され る。
タイプ6:先端的研究者・技術者
企業のなかで先端的な研究や開発行う担当者が想定される。
本調査における人材タイプの一覧及び企業内におけるこれらの人材の配
7
置モデルについては、図表 2 及び図表 3 を参照のこと。
図表 2 人材タイプ毎の主な役割
タイプ1 経営層の人材
タイプ2 総務部門等の人材
タイプ3 ユーザ
タイプ4 情報システム部門等の人材
本調査での分類
タイプ5 情報セキュリティサービスに
関連する製品・サービスを 提供する人材
タイプ6 先端的研究者・技術者
・情報セキュリティの責任者(CSO(Chief Security Officer)やCISO(Chief Information Security Officer)など)
・主にセキュリティポリシ策定、情報セキュリティ監査、
セキュリティマネジメントの推進等の担当
・情報システムを利活用する一般ユーザ
•社内情報システムの開発・保守・運用の担当
•技術的なセキュリティ対策を理解し、サイバー攻
撃などの検知・監視、インシデント対応(レスポン ス系)等を行う担当
主な役割
•セキュリティ関連製品・サービスの開発・提供等を
行う担当
•制御系システムや組込システム等のIT関連
製品・サービスの開発時に、セキュリティ面から開 発に携わる担当
・先端的な研究・開発を担う者
図表 3 企業における情報セキュリティ人材の配置図
経営層
総務部門 監査部門
情報システム部門 研究所 セキュリティ製品・サービス
開発・提供部門
その他の部門
(ITを利活用)
主にセキュリティ関連企業等に配置
タイプ2 タイプ2
タイプ5 タイプ4 タイプ3
タイプ1
タイプ6
(2) 調査項目
調査項目は、 「1.1.背景と目的」及び「1.2.調査内容」を踏まえて設定した
「調査観点」から導出した。
企業の情報セキュリティ人材の確保実態及び課題の把握は、 「情報セキュリ ティ人材育成に関する課題」と「情報セキュリティ人材採用に関する課題」
の調査観点から調査項目を設定し、 「大学教育への要望」は、教育課程の種類 別に調査項目を設定した。
企業における情報セキュリティ人材の育成・確保の取組みに関する政府や 社会制度等への要望は、 「人材育成に係るその他の課題」とした。
導出した調査項目を、以下の図表 4 に示す。
図表 4 情報セキュリティ人材に関する調査観点と調査項目 調査観点 調査項目
育成 課題
情報セキュリ ティ人材育成 に関する課題
①社内での育成・活用面の課題 -育成時に困っていること
(経営層の理解、人材育成・研修プログラム、リソースの質・量等)
情報セキュリ ティ人材採用 に関する課題
①採用時の課題
-採用時に困っていること
(経営層の理解、人材育成計画、応募人材の量・質、等)
大学 教育 への 要望
大学教育への 要望
①教養課程に求める要望
-教養レベルに求める情報セキュリティの素養スキル(教えて欲し いスキル、等)
②セキュリティ専門外の専門課程及び情報セキュリティ研究科に 求める要望
-情報セキュリティ専門家を育成する取り組みの推進に関する要 望・期待
-情報セキュリティ研究科の投資に関する要望・期待
③専門課程及び情報セキュリティ研究科に求める要望
-情報セキュリティ専門家を育成する取り組みの推進に関する要 望・期待
④MBA 又は MOT 等に対する要望
-経営層育成を念頭に置いた MBA 又は MOT の課題における情報セキ ュリティ教育の推進に関する要望・期待
人材育成に係るその他 の課題
企業における情報セキュリティ人材の育成・確保の取組みに関する
政府や社会制度等への要望
9 (3) 調査対象企業
調査は、6つに分類した情報セキュリティ人材のすべてを網羅することが 求められる。
そこで、企業内における当該人材の配置状況の特性を加味して、調査先を 選定した。セキュリティ事業を主とする企業は、情報セキュリティの専門性 が高い人材が配置されていることが想定されるものの、IT ユーザ企業は、専 門性領域は、セキュリティ事業を主とする企業との業務委託関係での利活用 を行いつつも、企業内セキュリティ対応のマネジメントや、統治するための 人材を確保していることが想定される。そこで、このような企業特性を踏ま え、本調査では、IT ユーザ企業と、セキュリティ関連企業とに分類して、そ れぞれ 10 社を調査対象とすることとした。
①IT ユーザ企業
IT ユーザ企業は、日本標準産業分類
3のなかから、現在情報セキュリティ の確保が求められる重要インフラ事業を優先的に選定した。選定は、図表 5 に示す考え方で行った。
図表 5 IT ユーザ企業選定の考え方
選定及び検討会での協議の結果、調査先業界は、金融、通信(電気通信)、
通信(情報通信)、航空、鉄道、運輸、宅配、製造(自動車)、製造(精密機 器) 、小売・サービス業の 10 業種とした。そのうえで、具体的な調査企業を 選定した。本事業の調査企業は、以下の 10 社である。
3
出典:http://www.stat.go.jp/index/seido/sangyo/19-4.htm
図表 6 IT ユーザ企業一覧
業種等 企業名 特徴
金融 金融 A 社 金融サービス事業者 通信(電気通信) 電気通信 B 社 電気通信事業会社
航空 航空 C 社 航空業界システム開発事業会社 鉄道 鉄道 D 社 民間鉄道会社
通信(情報通信) 情報通信 E 社 インターネット関連サービス事業会社
製造(自動車) 自動車関連 F 社
IT 関連技術・機器・ソフトウェアサービス 事業会社
製造(精密機器) オフィス機器製造・
販売 G 社
ソリューション&サービス事業会社
小売・サービス サービス H 社 レンタル事業会社
運輸 運輸 I 社 輸送・運送会社
宅配 宅配 J 社 宅配事業会社
11
②セキュリティ関連企業
セキュリティ関連企業は、 「セキュリティ対策ソフト開発事業者」 、 「セキュ リティ製品・サービス開発ベンダー(IT ベンダー含む) 」 、 「セキュリティ監視・
管理事業」 、 「セキュリティ教育事業」の4つのカテゴリから選定した。
そのうえで、具体的な調査企業を選定した。本事業の調査企業は、以下の 10 社である。
図表 7 セキュリティ関連企業一覧 カテゴリ 企業名 特徴
セキュリティ対策ソフト 開発事業
K 社 アンチ・ウイルスソフト等のセキュリティ 関連製品の開発・販売事業会社
セキュリティ製品
・サービス開発事業
L 社 IT ソリューション、セキュリティ関連の製 品開発・販売事業者会社
O 社 デバイス、ネットワーク、セキュリティ関 連の製品開発・販売事業者会社
P 社 クラウド、ネットワーク、アウトソーシン グ等含めたセキュリティ関連の製品開発・
販売事業者会社 R 社
システムインテグレーション事業会社
セキュリティ監視
・管理事業
Q 社 セキュリティソリューション、システムイ ンテグレーションサービス事業会社 S 社 セキュリティ関連の診断・監視・監査・認
証支援サービス事業会社
T 社 高度セキュリティサービス・コンサルティ ンサービス事業会社
セキュリティ教育事業
M 社 セキュリティ人材育成関連の製品開発・販 売事業者会社
N 社 セキュリティ人材育成関連の製品開発・販
売事業者会社
2.2. 企業のニーズ等
企業のニーズ等は、情報セキュリティ人材タイプ別にまとめた。
さらに、ニーズ等は、企業における情報セキュリティ人材の確保状況や育 成に係る「現状及び課題」と、その解決として期待する「大学への要望」及 び「人材育成に係るその他の課題」に分けて整理した。
本節は総論を示したうえで、調査企業のコメントを紹介する各論で構成す
る。
13 (1) 総論
企業訪問インタビューから得られた情報セキュリティ人材タイプ毎の主な 現状及び課題と、その解決として大学へ求める要望について、総論として整 理した。
①全タイプ共通(タイプ3ユーザ含む)
現状及び課題 大学への要望
○情報セキュリティに関するモラ ルや作法は必須であるが、欠けて いる人が多い。(金融
A社)
○PC やスマホ等の自分が使う
IT機 器ぐらいは適切に管理すべきであ るが、できない人が多い。(鉄道
D社、情報通信
E社、運輸 I 社)
○情報セキュリティに関するモラ ルや作法は、継続的に学習しなけ れば身につかない。(航空
C社、
宅配J社)
○あらゆる分野で、情報セキュリテ ィに配慮した行動が求められてい る。専攻している分野に関連する セキュリティについては、大学時 代に学習して欲しい。
(ベンダーL 社、R 社、セキュリ ティ関連
T社)
【教養課程】
○IT 及びインターネットの基本的な仕組みを 理解したうえで、情報セキュリティモラル、
情報セキュリティリテラシーを学べる講義 を行って欲しい。最近のインシデント事例も 取り上げて欲しい。(金融
A社、航空
C社、
鉄道
D社、情報通信
E社、オフィス機器製 造・販売
G社、サービス業
H社、宅配J社、
ベンダーL 社,
M社、
P社、
R社、セキュリ ティ関連
T社)
【専門課程】
○文系理系に関係なく、専攻している分野に 関連するセキュリティ問題を講義、ゼミ、ワ ークショップで取り上げて欲しい。(オフィ ス機器製造・販売
G社、サービス業
H社、
ベンダーL 社、M 社、R 社、セキュリティ
関連
N社、T 社、有識者
X氏)
②人材タイプ1 経営層
現状及び課題 大学への要望
○情報セキュリティ事故は経営に 重大な影響を与えていることか らもわかるように、情報セキュリ ティは極めて重要な経営課題で
ある。
(オフィス機器製造・販売G社、ベンダーM 社、セキュリティ 関連
T社)
○情報セキュリティ対策を実施す るためには、人・物・金の適切な 配分が必要であり、情報セキュリ ティ対策に対する経営層の理解 は必要不可欠。
(オフィス機器製造・販売
G社、
ベンダーM 社、セキュリティ関連
T社)
○情報セキュリティ対策について、
業務と
ITの両面から適切に判断 できる人材が不足している。(金 融
A社)
【MBA・MOT】
○情報セキュリティに関する法令・ガイドラ インや技術知識等をバランス良く学べる講 義や事例研究等により、企業経営における 情報セキュリティ投資の必要性・価値を理 解できるような教育を実施して欲しい。
(電気通信B
社、鉄道
D社、オフィス機器
製造・販売
G社、サービス業
H社、宅配
J社、セキュリティ関連
T社)
15
③人材タイプ2 総務部門等の人材
現状及び課題 大学への要望
○大学等の専攻に関係なく、情報セ キュリティポリシー策定、インシ デント対応、情報セキュリティ監 査等の業務を担当。そのような業 務を行うためには、IT やセキュリ ティの基礎が必要。(金融
A社、
情報通信
E社、宅配J社、ベンダ ーO 社)
○業務に根差した情報セキュリテ ィポリシー策定やインシデント対 応には、セキュリティ関連法制に ついて体系的な基礎知識が必要。
一方、情報セキュリティ関連法令 は多岐にわたり、OJT や独学で習 得することが困難。(金融
A社、
鉄道
D社、情報通信
E社)
【教養課程】
○IT 及びインターネットの基本的な仕組みを 理解したうえで、情報セキュリティモラル、
情報セキュリティリテラシーを学べる講義 を行って欲しい。最近のインシデント事例 も取り上げて欲しい。(金融
A社、航空
C社、鉄道
D社、情報通信
E社、オフィス機 器製造・販売
G社、サービス業
H社、ベ ンダーL 社、M 社、P 社、R 社、情報セキ ュリティ関連
T社)
【専門課程】
○情報セキュリティ関連法制について、体系
的に学べる講義を実施して欲しい。(金融
A社、情報通信
E社)
④人材タイプ4 情報システム部門等の人材
現状及び課題 大学への要望
○IT ユーザー企業であっても、情報 セキュリティの専門家と対等に会 話ができる情報セキュリティ人材 が必要。(金融
A社、情報セキュ リティ関連
K社、T 社)
○インシデント等に対応する組織
(CERT)に配属できる人材が、
質と量の両面から不足している。
(鉄道
D社、ベンダーL 社、
O社)
○体力のない
ITユーザー企業では、
社内で情報セキュリティ人材を育 成するのが困難になりつつある。
(航空
C社、有識者
V氏)
○OJT や独学で知識を身につけた 情報セキュリティ担当者は、自ら の知識に穴があることを懸念して いる。(航空
C社、有識者
V氏)
○セキュリティの技術は、知識だけ でなく、現場で求められる技術を 把握しながら、経験と共に体得す る実践力が重要。(金融
A社、ベ ンダーO 社)
○情報セキュリティのことしかや らない人材は処遇が難しいため、
情報セキュリティ以外の業務にも 対応できる順応性が必要である。
(金融
A社、ベンダーL 社、
P社、
R
社)
【専門課程(情報関係)】
○基本的な技術知識を学んだ後に、体系的な 情報セキュリティ教育を一通り行って欲し い。(航空
C社、オフィス機器製造・販売
G社、ベンダーL 社、M 社、情報セキュリ ティ関連
T社)
【専門課程(セキュリティ)】
○現場で求められる技術を把握するため、演 習、インターンシップ、企業との共同研究 などによる現場経験をさせて欲しい。(金 融
A社、ベンダーO 社、有識者
U氏、V 氏、W 氏)
○情報セキュリティだけではなく、幅広く対
応できる人材を育成して欲しい。(金融
A社、鉄道
D社、情報通信
E社、情報セキュ
リティ関連
T社)
17
⑤人材タイプ5 情報セキュリティサービスやソリューション等を提供する 人材
現状及び課題 大学への要望
○高まるサイバー脅威やクラウド・セキュリティ などの新しい環境に対応できる 実践力をもった人材が不足。(ベ ンダーL 社)
○自動車、情報家電、複合機等の組 込みソフト開発やプラント等の制御系シ ステム開発において、セキュリティ対策を 検討できる人材が不足。(自動車 関連
F社、オフィス機器製造・販 売
G社、ベンダーO 社)
○OJT や独学で知識を身につけた 情報セキュリティ担当者は、自らの知識 に穴があることを懸念。(航空
C社、有識者
V氏)
○セキュリティの技術は、知識だけでな く、現場で求められる技術を把握 しながら、経験と共に体得すると いう実践力が重要。
(金融
A社、ベンダーO 社)
○情報セキュリティは幅広い技術領域に 跨がるテーマであるが、情報セキュリティ の専門家は視野が狭いことが多 い。 (情報セキュリティ関連
S社、
Q
社)
○情報セキュリティのことしかやらない 人材は処遇が難しいため、情報セ キュリティ以外の業務にも対応できる 順応性が必要。(金融
A社、ベン ダーL 社、P 社、R 社)
【専門課程(理工系)】
○情報関係以外の専門課程においても、各専 門分野に関連するセキュリティ問題を講義 で取り上げて欲しい。 (オフィス機器製造・
販売
G社、ベンダーL 社,
M社、セキュリ ティ関連
T社)
【専門課程(情報関係課程)】
○基本的な技術知識を学んだ後に、体系的な 情報セキュリティ教育を一通り行って欲し い。(航空
C社、オフィス機器製造・販売
G社、ベンダーL 社,M 社、情報セキュリ ティ関連
T社)
○組込みソフトのセキュリティ対策を理解す るため、模擬体験型演習機の活用を検討し て欲しい。(自動車関連
F社)
【専門課程(セキュリティ)】
○現場で求められる技術を把握するため、演 習、インターンシップ、企業との共同研究 などによる現場経験をさせて欲しい。(金 融
A社、ベンダーO 社、有識者
U氏、V 氏、W 氏)
○情報セキュリティだけではなく、幅広く対
応できる人材を育成して欲しい。(鉄道
D社、情報通信
E社、情報セキュリティ関連
T社)
⑥人材タイプ6 先端的研究者・技術者
現状及び課題 大学への要望
○クラッキング技術やその解析技 術等を試しながら、セキュリティ 技術の知識を高めることが重要。
(電気通信
B社)
○特化した領域を研究しているこ とから、応用が利かないという印 象がある。
(ベンダーP 社、情報セキュリテ ィ関連
S社)
【専門課程(セキュリティ)】
○演習、企業との共同研究などにより、実践 的な研究者を育成して欲しい。 (金融
A社、
電気通信
B社、ベンダーO 社、情報セキュ リティ関連
Q社、T 社、有識者
U氏)
○社会実態に適したユースケースを想定でき る人材を育成して欲しい。
(金融
A社、ベンダーL 社、R 社)
19 (2) 各論(現状及び課題)
IT ユーザ企業 10 社及び情報セキュリティ関連企業 10 社へ実施した訪問イ ンタビューから、以下の情報セキュリティ人材タイプ毎の現状及び課題を得 た。
①全タイプ共通(人材タイプ3 ユーザ 含む)
企業人全般には、情報セキュリティに関する脅威や、モラル・お作法(対 応すべき行動の判断)を習得していることが求められる。(金融 A 社)
IT 機器を取り扱う際の注意すべき観点や個人情報保護、サイバー対策な どに関する知識が不足している。 (鉄道 D 社)
社員は全員、自身の扱う PC について情報セキュリティを意識した取り扱 いができることが求められる。 (情報通信E社、運輸i社)
IT や情報セキュリティに関わる分野は、技術環境の変化が非常に早いた め、自ら学習する姿勢を身につけて、継続的な学習が必要である。 (航空 C 社、宅配J社)
あらゆる分野で情報セキュリティに配慮した行動が求められている。企 業では実践的な面を教育できるが、専攻している分野に関連するセキュ リティについては、大学時代に学習して欲しい。 (ベンダーL 社)
セキュリティ対応について、テクニカル領域だけに関係する時代ではな い。インシデント発生後は、テクニカル面から原因究明するほか、マス コミ対応など多様な法律領域の知識も必要になるため、あらゆる分野で 情報セキュリティに関係した知識が求められている。 (ベンダーR 社)
情報セキュリティは様々な領域に関係するため、所属する業務ごとにセ
キュリティに配慮する視点が求められる。 (セキュリティ関連 T 社)
②人材タイプ1 経営層
情報セキュリティ事故は経営に重大な影響を与える。このような特徴が あるものの、経済状況が停滞しているなかでは、情報セキュリティへの 投資は事業に明確にその影響が把握されにくい性質があり、マネジメン ト層に理解されにくい。 (オフィス機器製造・販売 G 社)
企業経営者にとって、情報セキュリティは経営に直接関係するものでは ないため、理解されにくいものの、情報セキュリティは企業経営におい て重要な項目である。 (ベンダーM 社)
セキュリティ対策にどの程度予算をかけることが望ましいのかを判断で きる等のマネジメント力のある人材が必要。 (セキュリティ関連 T 社)
情報セキュリティ対策について、業務と IT の両面から適切に判断できる
人材が不足している。(金融 A 社)
21
③人材タイプ2 総務部門等の人材
このタイプの人材は、社内規程に詳しく、業務を横断的に把握できる人 材が必要である。とくに監査部門では、IT 部門に的確に指摘を行うため に、IT の知識が求められるだろう。このため、タイプ3や4などのテク ニカル系の人材がこのタイプに配置されるようなキャリアパスがあって もいいと思う。これによって、社内ルールに基づいて、業務要件をシス テム要件に落とし込める知識が確保できると思う。 (金融 A 社)
業務に根差したセキュリティ規程を策定するため、総務系・法務系の人 材は、リーガルマインドをもった人材で配置する必要がある。規程策定 を、技術系人材に任せると、規程内容の落とし所が的確に対処できない 場合が多い。また、監査部門系の人材は、いろんな部署(業務系、技術 系)からの人材で構成され、ユーザの(仕事がわかる)知恵を結集させ ている。 (情報通信 E 社)
監査スキルが必要な人材は、現在業務監査知識偏重になっているものの、
これからは、IT の観点からの監査知識が必要だと思う。ただ、そのよう な知識は、法制度などの要求項目(義務という意味)がないと積極的に 習得されることはないとは思う。 (ベンダーO 社、宅配J社)
業務に根差した情報セキュリティポリシー策定やインシデント対応には、
セキュリティ関連法制について体系的な基礎知識が必要。こういう情報
は OJT でその都度習得するだけでは難しいと思う。 (鉄道 D 社、有識者 V
氏)
④人材タイプ4 情報システム部門等の人材
必要なスキル・知識は、①システム全体を理解する力、②システムプロ ダクトを理解する力、③セキュリティ対策に関する知識、④業界標準の セキュリティ基準(PCI-DSS,FISC)の知識、と考えている。それに加え、
実務経験として、①アーキテクチャー設計、②セキュリティ対策、③セ キュリティ対策ソフトの導入、が求められる。これらに基づいて、さら に発注者側として RFP が書けて、ベンダーに指示・管理できる能力が必 要である。 (金融 A 社)
IT ユーザ企業であっても、情報セキュリティの専門家と対等に会話でき る情報セキュリティの素養が必要だろう。そのためには、最低限 CISSP や情報セキュリティスペシャリストの資格を当該タイプは習得しておく べきだろう。 (セキュリティ関連 K 社、T 社)
サイバー脅威が増加している状況を踏まえると、社内システム(社内ス ケジュールなどのグループウェアシステム)は、クローズ環境であるも のの、安心しているわけではなく、サイバーセキュリティに対する対策 方法や人材の(スキルと数の両方に)不足を感じている。(鉄道 D 社)
サイバー脅威への対応できる人材が不足している。 (ベンダーL 社)
CERT のようなインシデントレスポンスやミティゲーションを担当する人 材が不足している。ハッカーと直接対峙する実践力が求められている。
(ベンダーO 社)
セキュリティ担当者は限られた人材に特化しており、属人的になってい る。年々重要性が増していっていることは認識しているが、十分に注力 できていない。(航空 C 社)
体力のない IT ユーザー企業では、社内で情報セキュリティ人材を育成す るのが困難になりつつある。(有識者 V 氏)
社内の情報セキュリティ教育について、体系的な習得プロセスは整備し ていない。OJT(現場で都度実施)と本人の独学に委ねているところが大 きいため、自分の知識で十分なのか、不安がある。 (航空 C 社)
OJT や独学で知識を身につけた情報セキュリティ担当者は、自らの知識に 穴があることを懸念している。(有識者 V 氏)
セキュリティの技術は、知識だけではく、現場で求められる技術を把握
しながら、経験と共に体得する実践力が重要である。 (金融 A 社)
23
サイバー脅威に対応するには、手足を実際に動かす実践力が必要である。
(ベンダーO 社)
情報セキュリティのことしかやらない人材は処遇が難しいため、情報セ キュリティ以外の業務にも対応できる順応性が必要である。 (金融 A 社)
現在はセキュリティのことしかやらない人材は処遇が難しいため、その ような人材は採用していない。(ベンダーP 社、R 社)
幅広い業務を経験して IT スキルを身につけてから情報セキュリティに取
り組んでもらいたいと考えている。情報セキュリティは業務を理解して
いる人が実装していないと十分な対応ができないと考えている。業務が
できていないとイメージができない。(ベンダーL 社)
⑤人材タイプ5 情報セキュリティサービスやソリューション等を提供 する人材
高まるサイバー脅威やクラウド・セキュリティなどの新しい環境に対応 できる実践力を持った人材が不足している。(ベンダーL 社)
国内に“車×情報セキュリティ”の人材が絶対的に不足している。 (自動 車関連 F 社)
複合機の開発などでは、組み込みセキュリティ対応が必要になってきて いる。また、サービス系の開発も行っており、クラウドサービスやイン ターネット・アプライアンス・セキュリティなどの領域でもセキュリテ ィ品質が求められているので、この領域の人材は、セキュリティに関す るテクニカル知識はほしいと思う。(オフィス機器製造・販売 G 社)
組み込み系は、スマートフォン製造の領域で他社と協働で事業を実施す る段階にあるので、これから人材確保が明確になる状況。この組み込み 領域は、コンポーネントが共通のカテゴリ(情報家電領域、カメラ領域、
クルマ領域、等)ごとに人材確保が求められるので、どの領域でセキュ リティ知識が必要になるか見極めて対応していきたい。(ベンダーO 社)
社内の情報セキュリティ教育について、体系的な習得プロセスは整備し ていない。OJT(現場で都度実施)と本人の独学に委ねているところが大 きいため、自分の知識で十分なのか、不安がある。 (航空 C 社)
OJT や独学で知識を身につけた情報セキュリティ担当者は、自らの知識に 穴があることを懸念している。(有識者 V 氏)
セキュリティの技術は、知識だけではく、現場で求められる技術を把握 しながら、経験と共に体得する実践力が重要である。 (金融 A 社)
サイバー脅威に対応するには、手足を実際に動かす実践力が必要である。
(ベンダーO 社)
求める人材は、以前はセキュリティ専門系の人材であったが、ここ最近 は人物重視に移行している。セキュリティ専門の人は視野が狭く、最近 のビジネスで重視されているヒューマンインターフェースを確保された 人材像に当社は重きを置いているためである。 (セキュリティ関連 Q 社)
情報セキュリティは幅広い技術領域に跨がるテーマであるが、情報セキ
ュリティの専門家は視野が狭いことが多いと思う。 (情報セキュリティ関
連 S 社)
25
情報セキュリティのことしかやらない人材は処遇が難しいため、情報セ キュリティ以外の業務にも対応できる順応性が必要である。 (金融 A 社)
現在はセキュリティのことしかやらない人材は処遇が難しいため、その ような人材は採用していない。(ベンダーP 社、R 社)
幅広い業務を経験して IT スキルを身につけてから情報セキュリティに取
り組んでもらいたいと考えている。情報セキュリティは業務を理解して
いる人が実装していないと十分な対応ができないと考えている。業務が
できていないとイメージができない。 (ベンダーL 社)
⑥人材タイプ6 先端的研究者・技術者
クラッキング技術やその解析技術等を試しながら、セキュリティ技術の 知識を高めることが重要。 (電気通信 B 社)
特化した領域を研究していることから、属人的な対応になっている。 (ベ ンダーP 社)
特化した領域を研究していることから、応用が利かないという印象があ
る。 (情報セキュリティ関連 S 社)
27 (3) 各論(大学への要望)
IT ユーザ企業 10 社及び情報セキュリティ関連企業 10 社へ実施した訪問イ ンタビューから、以下の情報セキュリティ人材タイプ毎の大学への要望を得 た。
①全タイプ共通(人材タイプ3 ユーザ 含む)
【教養課程への要望】
セキュリティに関するコンピュータ・ウイルスなどの脅威や、対策の作 法、モラルなどの基本的なことを学んでほしい。(金融 A 社、宅配J社)
IT や情報セキュリティに関わる分野は技術環境変化が非常に早いため、
知識習得も重要だが、自ら学習する姿勢を身につけてきてほしい。 (航空 C 社)
情報の取り扱い、IT 機器操作のイロハを教えるのみならず、個人情報漏 えいやサイバーテロなどの事例紹介なども行われるとよい。 (鉄道 D 社)
インターネットの基本的な仕組みについては学んでほしい。とくに、サ イバー空間についても、リアルな世界と同様に扱う教育が必要だと思う。
というのも、サイバー空間の追跡性はリアルな世界よりも強いはずだか らである。一般教養のなかで、サイバー犯罪に関する知識・法令も教え て良いのではないだろうか。 (情報通信 E 社)
情報の取り扱い(機密区分、等)や管理方法、コンプライアンス等の知 識や情報セキュリティに関わる社会の課題をとらまえてほしい。情報リ テラシー教育のなかで、是非とも情報セキュリティ教育も実施してほし い。 (オフィス機器製造・販売 G 社)
情報セキュリティに関するテクニカルなことのみではなく、知識を活用 して情報処理の仕組み全体を理解する力を身につけてほしいと考えてい る。技術、ガイドライン、現場のオペレーションについてバランス良く 考えられる力が重要であると考えている。(サービス業 H 社)
企業で使える知識は、企業で教えるので、大学には、基本的な知識(イ ンシデント事例、リテラシー/モラル、サイバー脅威、等)を教えてほ しい。企業は、大学卒業時には、とんがった技術者は求めていない。 (ベ ンダーL 社、M 社、R 社)
ノンテクニカル層向けの人材がセキュリティ・リテラシーや素養が醸成 される機会があってもいいだろう。 (ベンダーP 社)
教養課程では、リスクが分かることを求めたい。リスクに対する正しい
理解、自分の PC をきちんと管理できるようになることが重要。米国では
学童対象にセキュリティ教育を行っている。 (セキュリティ関連 T 社)
【専門課程への要望】
基礎的な技術知識を学んだ後に、セキュリティをどう確保するか、を押 さえるようなカリキュラム体系にしたうえで、教育してもらいたい。 (オ フィス機器製造・販売 G 社)
ケーススタディ等の活用や、ゲーム手法などを活用した授業が理解しや すいと思う。(サービス業 H 社)
文系・理系関係なく、各科目内で、各シラバスの最後の章でセキュリテ ィ観点からの内容を取り入れてほしい。例えば、ネットワーク技術の科 目では、最後の章でネットワークセキュリティを扱うなどが考えられる。
(ベンダーL 社、M 社)
文系、理系の区分は昔の話。インシデント対応の場合、原因究明をする となるとマスコミ対応まで多様。法律的な知識も必要となるため、文系・
理系関係なくセキュリティ観点を教える必要がある。 (ベンダーR 社)
セキュリティは法律、社会心理学等様々な専門の集合体。法律、社会心 理学の分野をセキュリティの切り口からワークショップ、ゼミ等で展開 してみては面白いと思う。犯罪心理学、プロファイリングもセキュリテ ィの一種であり、知識と経験を組み合わせていくことが必要。 (セキュリ ティ関連 N 社)
情報セキュリティは領域横断なテーマであることから専門科目を一通り
学習してから学習することが効果的ではないか。 (セキュリティ関連 T 社)
29
②人材タイプ1 経営層
【MBA コースへの要望】
MBA プログラムのなかでは、危機管理に関する教育をしてみてはどうかと 考えている。技術一辺倒ではなく、法律やコンプライアンス、マネジメ ント等の観点から情報セキュリティ教育を行ってもらいたい。
(電気通信 B 社)
企業経営において、求められるセキュリティの知見を教育してもらいた い。例えば、情報システムから機密情報が漏えいした場合の損害や企業 信用の低下など企業の経営リスクについて重要だと考える。
(鉄道 D 社)
経営者層の教育としては、コンプライアンス順守や業務の優先順位付け 等について、学習してもらいたい。(オフィス機器製造・販売 G 社)
情報セキュリティは、企業外部に公開しにくいテーマであるため、経営 層の教育はセキュリティの取り扱いが難しいと思う。その意味で、例え ばセキュリティ関連 Q 社の某氏のような客観的な事例の伝え方は上手い と思う。経営層は、理想像はもっているが、他社事例や具体的取り組み に関するインプットは十分ではないように思う。このような他社事例を 活用して経営層に注意喚起するような教育を行ってほしい。
(サービス業 H 社)
セキュリティをテーマとした事例研究を行い、セキュリティをないがし ろにした場合の損害を理解したうえで、セキュリティ投資への価値を理 解する教育が必要と感じる。(セキュリティ関連 T 社、宅配J社)
経営教育として、取るべきセキュリティ対策の知識に加え、ユーザ等と
のコミュニケーションを取ることによって、組織内の実態を把握する重
要性を理解することが重要だと感じる。 (宅配J社)
③人材タイプ2 総務部門等の人材
【教養課程への要望】
セキュリティに関するコンピュータ・ウイルスなどの脅威や、対策の作 法、モラルなどの基本的なことを学んでほしい。(金融 A 社)
IT や情報セキュリティに関わる分野は技術環境変化が非常に早いため、
知識習得も重要だが、自ら学習する姿勢を身につけてきてほしい。 (航空 C 社)
情報の取り扱い、IT 機器操作のイロハを教えるのみならず、個人情報漏 えいやサイバーテロなどの事例紹介なども行われるとよい。 (鉄道 D 社)
インターネットの基本的な仕組みについては学んでほしい。とくに、サ イバー空間についても、リアルな世界と同様に扱う教育が必要だと思う。
というのも、サイバー空間の追跡性はリアルな世界よりも強いはずだか らである。一般教養のなかで、サイバー犯罪に関する知識・法令も教え て良いのではないだろうか。 (情報通信 E 社)
情報の取り扱い(機密区分、等)や管理方法、コンプライアンス等の知 識や情報セキュリティに関わる社会の課題をとらまえてほしい。情報リ テラシー教育のなかで、是非とも情報セキュリティ教育も実施してほし い。 (オフィス機器製造・販売 G 社)
情報セキュリティに関するテクニカルなことのみではなく、知識を活用 して情報処理の仕組み全体を理解する力を身につけてほしいと考えてい る。技術、ガイドライン、現場のオペレーションについてバランス良く 考えられる力が重要であると考えている。(サービス業 H 社)
企業で使える知識は、企業で教えるので、大学には、基本的な知識(イ ンシデント事例、リテラシー/モラル、サイバー脅威、等)を教えてほ しい。企業は、大学卒業時には、とんがった技術者は求めていない。 (ベ ンダーL 社、M 社、R 社)
ノンテクニカル層向けの人材がセキュリティ・リテラシーや素養が醸成 される機会があってもいいだろう。 (ベンダーP 社)
教養課程では、リスクが分かることを求めたい。リスクに対する正しい 理解、自分の PC をきちんと管理できるようになることが重要。米国では 学童対象にセキュリティ教育を行っている。 (セキュリティ関連 T 社)
【専門課程への要望】
社会に出た時に、実務に精通することが大切だと考えているので、業界、
分野別のセキュリティ技術や法制に関する知識を学生時代に習得するこ
とは非常に有効であると考えている。IT(情報セキュリティ)の基準は
31
業界ごとに異なっている。例えば、カード業界であれば、PCIDSS(カー ド業界におけるグローバルセキュリティ基準)等を理解していることは 非常に有用である。 (金融 A 社)
サイバー犯罪に関する知識として、不正アクセス禁止法などサイバー犯 罪に巻き込まれないよう、セキュリティ法制について教えてもらいたい。
(情報通信 E 社)
④人材タイプ4 情報システム部門等の人材
【専門課程(情報関係)への要望】
セキュリティ知識を理解する前提として、ネットワーク構築に関する基 本的なスキルをきっちりと身につけてきてもらいたい。ただし、知識を 身につけること自体は重要であるが、中途半端な知識は、逆に悪意ある 行動に出る懸念もあるため、注意が必要である。 (航空 C 社)
基礎的な技術知識を学んだ後に、セキュリティをどう確保するか、を押 さえるようなカリキュラム体系のもとで事例も活用するなどして教育し てもらいたい。 (オフィス機器製造・販売 G 社)
各科目内で、各シラバスの最後の章でセキュリティ観点からの内容を取 り入れてほしい。例えば、ネットワーク技術の科目では、最後の章でネ ットワークセキュリティを扱うなどが考えられる。 (ベンダーL 社、M 社)
情報セキュリティは領域横断なテーマであることから専門科目を一通り 学習してから学習することが効果的ではないか。 (セキュリティ関連 T 社)
【専門課程(セキュリティ)への要望】
実務で活躍できる人材となるためには、座学だけでなく、演習も必要だ と思う。 (金融 A 社)
大学はもっと企業講師を使って、実践を教えた方がいいと思う。産学交 流や学校間の交流があるとより効果的な教育ができると思う。米国では、
企業講師として、AT&T、ベライゾン、BTなどが派遣していると聞 く。日本もクラウドコンピューティングやネットワークセキュリティに 携わる人材が学生を教育すると企業が採用する際に、卒業生の価値が分 かりやすいと思う。 (ベンダーO 社)
大学以外でも情報セキュリティ教育に係る取組みを行っている機関があ るので、そのような機関と協働して講義などに取組むと効果的だと思う。
有識者 U 氏)
情報セキュリティ対策に携わる組織内人材のスキル向上を継続的に図る ため、インターンシップ制度を活用することも有益である。 (有識者 W 氏)
鉄道業界の制御系システムや情報機器は特殊であるので、そのような実 践的な知識は企業内に入ってからで十分である。そこで、セキュリティ だけでなく電気工学やプログラム言語なども教育して欲しい。 (鉄道 D 社)
情報セキュリティは幅広い領域に関係するので、業務を俯瞰できる視点
も備えた人材教育が必要だと思う。 (情報通信 E 社、セキュリティ関連 T
社)
33
⑤人材タイプ5 情報セキュリティサービスやソリューション等を提供する 人材
【専門課程(理工系)への要望】
基礎的な技術知識を学んだ後に、セキュリティをどう確保するか、を押 さえるようなカリキュラム体系のもとで事例も活用するなどして教育し てもらいたい。 (オフィス機器製造・販売 G 社)
各科目内で、各シラバスの最後の章でセキュリティ観点からの内容を取 り入れてほしい。例えば、ネットワーク技術の科目では、最後の章でネ ットワークセキュリティを扱うなどが考えられる。 (ベンダーL 社、M 社)
情報セキュリティは領域横断なテーマであることから専門科目を一通り 学習してから学習することが効果的ではないか。 (セキュリティ関連 T 社)
【専門課程(情報関係)への要望】
セキュリティ知識を理解する前提として、ネットワーク構築に関する基 本的なスキルをきっちりと身につけてきてもらいたい。ただし、知識を 身につけること自体は重要であるが、中途半端な知識は、逆に悪意ある 行動に出る懸念もあるため、注意が必要である。 (航空 C 社)
基礎的な技術知識を学んだ後に、セキュリティをどう確保するか、を押 さえるようなカリキュラム体系のもとで事例も活用するなどして教育し てもらいたい。 (オフィス機器製造・販売 G 社)
各科目内で、各シラバスの最後の章でセキュリティ観点からの内容を取 り入れてほしい。例えば、ネットワーク技術の科目では、最後の章でネ ットワークセキュリティを扱うなどが考えられる。 (ベンダーL 社、M 社)
情報セキュリティは領域横断なテーマであることから専門科目を一通り 学習してから学習することが効果的ではないか。 (セキュリティ関連 T 社)
組込みソフトのセキュリティ対策を理解するためには、触ってみて学習 することが重要である。そのためにも、模擬体験演習機の活用を検討し て欲しい。またセキュリティの知識を持つ以前に、コンピュータサイエ ンスに関する知識をきちんと学ぶことが重要だと考える。 (自動車関連 F 社)
【専門課程(セキュリティ)への要望】
実務で活躍できる人材となるためには、座学だけでなく、演習も必要だ と思う。 (金融 A 社)
大学はもっと企業講師を使って、実践を教えた方がいいと思う。産学交
流や学校間の交流があるとより効果的な教育ができると思う。米国では、
企業講師として、AT&T、ベライゾン、BTなどが派遣していると聞 く。日本もクラウドコンピューティングやネットワークセキュリティに 携わる人材が学生を教育すると企業が採用する際に、卒業生の価値が分 かりやすいと思う。 (ベンダーO 社)
大学以外でも情報セキュリティ教育に係る取組みを行っている機関があ るので、そのような機関と協働して講義などに取組むと効果的だと思う。
有識者 U 氏)
情報セキュリティ対策に携わる組織内人材のスキル向上を継続的に図る ため、インターンシップ制度を活用することも有益である。 (有識者 W 氏)
鉄道業界の制御系システムや情報機器は特殊であるので、そのような実 践的な知識は企業内に入ってからで十分である。そこで、セキュリティ だけでなく、電気工学やプログラム言語なども教育して欲しい。 (鉄道 D 社)
情報セキュリティは幅広い領域に関係するので、業務を俯瞰できる視点
も備えた人材教育が必要だと思う。 (情報通信 E 社、セキュリティ関連 T
社)
35
⑥人材タイプ6 先端的研究者・技術者
【専門課程(セキュリティ)への要望】
実務で活躍できる人材となるためには、座学だけでなく、演習も必要だ と思う。 (金融 A 社)
セキュリティ人材育成に際しては、様々なセキュリティ技術(ハッキン グ技術の逆解析など)を試す環境に課題を感じている。今後は、定常的 にトライアルの場を整備し、大学と共同研究など実施していきたいと考 えている。 (電気通信 B 社)
大学はもっと企業講師を使って、実践を教えた方がいいと思う。産学交 流や学校間の交流があるとより効果的な教育ができると思う。米国では、
企業講師として、AT&T、ベライゾン、BTなどが派遣していると聞 く。日本もクラウドコンピューティングやネットワークセキュリティに 携わる人材が学生を教育すると企業が採用する際に、卒業生の価値が分 かりやすいと思う。 (ベンダーO 社)
セキュリティキャンプ(IPA)や、ペレトレーションテストのような取り 組みを実習系授業として取り入れることは、有効であると考えている。
また、官民や民民の人材交流なども有効だろう。 (セキュリティ関連 Q 社)
企業との共同研究(大学は、特許が見込め、企業は、サービス実現が見 込める)によって、ビジネスで求められる技術を知ることも有益だと思 う。 (セキュリティ関連 T 社)
日本として○○業界がどうあるべきか、を考え、日本版セキュリティ基 準を策定できるような思考がほしい。具体的には暗号、ウイルス対策等 の在り方が日本の業務をベースに考えてほしい。今はこの人材が不足し ている。とくにネットワーク、データベースなどの領域で、日本社会に 合ったセキュリティ対策(アクセス・認証対応等)が考えられる人が必 要である。現在はアメリカの思想を受け入れる状況になっていると感じ ている。 (金融 A 社)
セキュリティテーマを深く研究してほしい。日本として押さえるべき技 術テーマにフォーカスするべきである。例えば、ウイルス解析できる人 材などの育成は重要である。 (ベンダーL 社)
日本社会に沿ったユースケースが想定できる人材が必要だと感じている。
(ベンダーR 社)
(4) 各論(人材育成に係るその他の課題)
IT ユーザ企業 10 社及び情報セキュリティ関連企業 10 社へ実施した訪問イ ンタビューから、人材育成確保に向けて政府等への要望を得た。
【我が国の環境面(全タイプに係る)への要望】
情報セキュリティ人材のイメージアップが必要だと思う。ヒーローのよ うに「国民がなりたい」という人物像があると、情報セキュリティ業界 が魅力的になると思う。政府はマスコミ等を活用して、そのような取組 みを行うことも必要なのではないか。 (電気通信 B 社、セキュリティ関連 Q 社、T 社、有識者 Y 氏)
企業側が変わるべき側面もある。人事一括採用制度や、総務部・人事部 が旧態依然の体質である。時代の求めに応じた人材を採用するためには、
採用する側の組織が、変わる必要もあるのではないか?(有識者 V 氏、
有識者 W 氏)
教育の現場では、情報セキュリティを教える教員も不足している、とい う課題もある。 (有識者 X 氏)
情報セキュリティ教育を大学に任せるだけでなく、民間等でも実施して いる機関
4があるので、そのような取り組みを把握できるような仕組みが あるとよい。 (有識者 U 氏、W 氏)
育成アプローチとして、日本は「禁止思考」が根強いと思う。罰則を教 えることに終始しており、その思考を教えるにしても、なぜ禁止なのか、
という理由は最低でも教えるべきと考える。 (有識者 V 氏)
情報セキュリティ教育に対する要望として、 「インシデント事例を取り上 げてほしい」という内容があった。そのためには、インシデント情報を 収集して、ある程度匿名化処理等の公開できる加工を行ったうえで、事 例情報を共有化する仕組み
5があるといい
6。 (有識者 U 氏、V 氏、X 氏)
IT 企業だけの取組みには限界があり、国として、セキュリティ事業の産 業を育成する筋道を示すことが重要だと思う。(セキュリティ関連 K 社)
企業では、人材不足を感じていると思うが、だからといって、企業ごと
4
一般社団法人電子情報技術産業協会(JEITA)や NPO 日本ネットワークセキュリティ協会(JNSA)
では、教員を派遣して、大学等で講義やセミナー等を開催している。
5
サイバー攻撃による被害拡大の防止のため、経済産業省主管の下、重工、重電等、重要インフラで利 用される機器の製造業者を中心に情報共有と早期対応の場として、サイバー情報イニシアティブ
(J-CSIP)が 2011 年 10 月に発足して取り組みを進めている。
6
