サイバーセキュリティと
求められる能力・人材

　「サイバーセキュリティは、ウイルスなどからシステムだけを守ればいいのではないかと考える人もいますが、グローバルな視点で考えると必ずしもそうではありません。インターネットの経済効果は約2千兆円とも言われ、いかにコントロールするかをめぐって、世界中の国がしのぎを削っています。インターネットのインフラを制し、データフローを制し、市場を制し、情報を制した者が世界を制するとの指摘もあり、そこに係る人やモノのセキュリティと信頼性がますます重要になってきています」。

　そう語る仲間力氏は、シスコシステムズに所属するセキュリティの専門家。陸上自衛隊で通信システム系の任務を経て、前職は内閣官房で国のサイバーセキュリティ戦略を担っていたという経歴の持ち主。講演では、個人レベルから国家レベルの脅威まで、サイバーセキュリティの最新情勢を紹介した。

　はじめに、個人レベルの脅威として、フィッシングやネット詐欺などに利用される「標的型メール攻撃」について解説。次に、標的型メール攻撃へのシステム管理者の対応としては、感染者を減らす努力とともに「誰かのパソコンが乗っ取られたとしても、システム内で感染や侵入を拡大させない設計が重要」と、感染を前提とした対処についても話した。

　企業等のサイバーセキュリティ事案として、2015年、ウクライナで大規模停電を引き起こした電力会社に対するサイバー攻撃も標的型メール攻撃から始まったことや、電話を使ったDoS攻撃等の複合攻撃について解説した。

　3年前に世界中で猛威を奮った「ワナクライ」は、パソコンのデータを暗号化して、解除の見返りに身代金を要求するランサムウェアの一種。ワナクライの調査にシスコシステムズの脅威情報分析チーム「Talos（タロス）」が活躍したことも解説した。

　また、将来、サイバーセキュリティ関連業界に進みたい学生や進路について考えている学生のため、企業などから求められるセキュリティ人材となるためには、どのように努力していけばよいかという話も。「学生時代に重要なことは、それぞれの分野の基本をしっかり学ぶこと。最新技術は急に現れるものではなく、昔からの技術に基づいていることが多いのでしっかり基本技術を押さえておきたい」と語り、その基本技術の修得には、自学研鑽が必要であり、関連資格の取得やネット教材の利用が効果的であるとの考えを述べた。

　また、基本技術の修得に併せて、AIやデータ分析など、興味を持てる技術や最新技術に取り組むことや、コンテストに参加するといった方法も有効だそうだ。

　最後に「国に関わってきた人間として思うのは、皆さんはまさに『国の宝』。気持ち次第でどのようにも成長できるし、なりたい自分になれます。これからも自己研鑽に励んでもらえれば」と学生らにエールを送った。

　横浜市立大学ではデータサイエンス学部の１年生が参加。サイバーセキュリティの最前線についての講演を聴講した。「大学在籍中に学ぶべきことは？」という学生の質問に講師の仲間氏は、「データサイエンス学部生の本分は情報収集と分析ですが、いずれ業務知識が必要になります。私は大学で数学・統計を専攻していたのですが、実務で統計技法を適用するには、業務従事者と会話し、データの意味を理解し、仮説検証やデータ加工を行う必要がありました。みなさんが、データサイエンティストとしてサイバーセキュリティに取り組むには、ある程度、サイバーセキュリティについて学ぶ必要があります。まずは広く浅く勉強してみては」と回答。

　立川仁典教授、清見礼准教授も加わった鼎談（ていだん）では、清見准教授から「外資系企業と国内企業でアナリストや研究者が情報発信する際の制約など考え方に違いはあるか」等の質問に対し、仲間氏から「シスコ社の場合は、トラストの観点から、全世界で同じメッセージを発信することをポリシーとしているが、他の企業ではアナリスト毎に自由に情報発信を奨励する場合もある」等、企業による考え方やアプローチの違いなど事例を紹介しながら議論。また、立川教授は、仲間氏が米国セキュリティ資格を複数保有していることから、日本は米国より資格の数が少ないことを指摘。仲間氏は「米国セキュリティ資格は事案対処や侵入試験等、セキュリティ分野の専門職務ごとに業務を分析・明確化し、その業務を遂行できるように設計している」と説明した。

　さらに、学生からの「なぜセキュリティの勉強を始めたのか」という問いに対し、「セキュリティを始めたのは防衛大学生時代。織田信長は当時としては新しい鉄砲で一時代を築いたが、現在、それに当たる技術は何かと考えた時、サイバー技術にいきついた」と回答。清見准教授は「仲間氏は、自ら積極的に考えて能力構築してきた。皆さんには考える時間は十分にある。言われたことだけを勉強するのではなく、明確な目的を持ち、積極的に自分から動いてみることが大切です」とアドバイスした。

　出席した学生たちは「サイバーセキュリティの第一線で活躍している仲間さんの体験談を聞けたのが良かった」「将来の仕事について漠然としか考えていませんでしたが、今日の話を聞いて意識が高まりました」と普段の講義では聞けない授業内容に刺激を受けたようだ。

　また、全国を巡回しているシスコネットワーク体験車「Cisco Network Experience Vehicle」もキャンパス内で公開された。これはシスコシステムズの最新テクノロジーが搭載された特別車両。災害時の支援なども想定され、自家発電機、衛星通信機能などが備えられている。ビデオ会議システムを利用して遠隔にいる医者が健康チェックを行ったり、車両側面に設置されたパネル画面を活用して情報を提供したりもできる。学生たちは「今や生活の基盤となってきているネットワークを災害時でも繋げられるのが素晴らしい」「電気や通信網だけでなく、情報も届けてくれるのは革新的」と災害に役立つ最先端技術に触れて、一歩先の未来を感じていたようだ。

　芝浦工業大学では工学部の3年生を中心に、学内の聴講生も出張授業に参加。就職活動を意識している学生も多い。仲間氏は「大学生がサイバーセキュリティ人材を目指す場合、まずOSやネットワーク等の基本技術を固めることを奨励します。OSやネットワークのセキュリティには、OSやネットワークの基本動作の理解が重要です。昔からある技術ですが、これらの基本はおそらく10年後も使えます。大学生のうちにぜひ身につけて下さい。他方で、AIやIoT、５G等、ホットな分野の勉強をするのも勧めます。セキュリティは様々な技術や分野との掛け合わせなので、セキュリティ×AIなど、特定分野のセキュリティに精通する道もあります」とアドバイスを贈った。

　学生からはメール攻撃への対応に関する鋭い質問も飛び出し、仲間氏は具体的な対処法や攻撃者を特定する方法などを解説した。

　仲間氏と福田浩章准教授との対談では、サイバー空間上の新たな脅威に対し、シスコシステムズが脅威を高速に検知する仕組みなどについて、熱い議論を展開。次に福田准教授が課題に挙げたのは実機演習。学生は、OSやネットワークの概念だけの学習にとどまっていて、実機教育が必要なのではないかとの懸念を示した。「次のステップに進むためには、何を学べばいいですか」という問いかけに対して仲間氏は、「実機演習は、概念に対する理解を深め、技術として定着できるため、非常に重要です。近年は、バーチャル環境を使用して、実機がない場合でもバーチャルマシンを使って操作演習ができます。例えば、シスコ サイバーセキュリティ スカラシップ プログラムで無償提供しているオンラインコースの中級ではバーチャルマシン上で操作演習ができるのでご活用ください」と紹介した。

　さらに技術者を目指す学生向けに推奨したのは、実機操作を学べる資格試験に取り組むこと。例えば、CCNA等のネットワーク資格ではネットワーク関連の知識・技能が一通り網羅されている。より上位の資格を取得すれば企業などから高い評価を受けられる場合もあるそうだ。「講義で説明したように、サイバーセキュリティは、単なる技術分野ではなく、法、規則、政策、外交、経済、倫理等、様々な分野が複雑に絡みあっていて、様々な人材が必要とされています。この中から優秀なサイバーセキュリティ人材が育つことを期待しています」と呼び掛けた。

　学生たちは「進路はまだ決めていませんが、サイバーセキュリティの分野にも魅力を感じました」「卒業してからも学ばなければならないことが多いので、効率的に勉強を進めていきたいです」「技術者になる私たちが少しでも多くの知識や技術を身につけ、サイバー攻撃から人々を守らないといけないと思った」などと感想を語った。

　また、同大学にもシスコネットワーク体験車「Cisco Network Experience Vehicle」が訪問。学生たちは、シスコシステムズの最新テクノロジーを体験した。8名程度が着席できるビデオ会議スペースも備えた車両は、自家発電機を装備。LTE回線のほか、衛星回線でネットと接続し、災害時にネットワークサービスの提供や、ビデオ会議システムを使い遠隔地の人とコミュニケーションも行える。「実際に見て、触れて、最先端技術がどんなものか具体的に分かった」「災害時には車ごと駆け付け、電気やネットワークを提供してくれる車両なんですね！被災者はとても助かると思います」と感想を述べていた。

　東京都市大学では知識工学部の3、4年生が出張授業を聴講。冒頭で田口亮学部長が「皆さんは様々な情報産業に就職して活躍されると思いますが、情報に関わる全ての人がセキュリティの知識を持つことが必要な時代だと認識していただきたい」と述べ、学生たちはキャリアに直結するアドバイスを講師から受けた。

　仲間氏は「近年、セキュリティ業界では『信頼』という言葉がキーワードになっています」と述べ、サイバーセキュリティに関する昨今の動向について解説した。「サイバー空間をめぐる問題は、単にシステムの問題にとどまらず、政治や経済などの様々な利害関係が絡んでおり、ますます広範で複雑なものになっている」と「信頼」がクローズアップされている背景について述べた。身近な具体例として、フェイクニュースや標的型メール攻撃をあげ、何を信頼すればいいのか判断が難しくなっている現状について説明があった。

　続いて塩本公平教授が、大学での教育や研究、学生が身に付けるべきスキルなどについて説明。卒業後に必要な能力として、発想力・実行力・完遂力・読解力の4つを挙げた。同大学総合情報システム部の西村大吾氏は、大学のファイアウォールで遮断している外部通信は1日に数千万件あり、全体のおよそ96％を占めると報告。「ファイアウォールで止められない4％の中にいる悪い人たちにいかに対処するかが大事」と、具体的なポイントについても触れた。

　さらに、セキュリティの現状や課題について踏み込んだ議論が行われた。塩本教授は、シスコが自社で運用している高度な防護技術をビジネス展開する可能性について質問。仲間氏は「シスコは、製品・サービスを信頼してもらうため、積極的に社内セキュリティについて説明していますが、本日も弊社のSOCの説明もさせていただきました。SOCそのものの提供はありませんが、その構成要素であるセキュリティ製品やサービスは提供されています」と説明した。

　セキュリティ業界の人手不足や、求められる人材についても話題に。仲間氏は「将来の変化を見極めて、計画的・継続的な能力向上が必要。例えば、IoT関連では、様々な製品にソフトの組み込みが進むと言われている。そうなると、ソフトウェアの信頼性を確保するため脆弱（ぜいじゃく）性管理の需要が増していく」と提言した。

　授業を終えた学生たちは「セキュリティに興味を持った」「サイバーセキュリティの話題はもっと身近であるべき。今日の授業のような内容は、みんな知っておくと良いと思う」「IoTの時代に突入していくにつれ、情報の確かさを確認できる技術や能力が今までよりも求められていると感じました」と意識を高めていた。

　また、「セキュリティについて、就職先では自分の担当ではないと思っていたが、これからも学び続ける必要性を実感した」と語る企業への内定が決まった学生も。「普段学んでいる知識がセキュリティ業界の第一線でも必要とされていることをあらためて認識した」「さらに勉強したくなったので、オンラインプログラムを利用したい」などと、各々が学びの大切さを再確認していた。

　出張授業の最後に行われたのが「シスコ サイバーセキュリティ スカラシップ プログラム」の体験。これは、シスコシステムズが提供する、サイバーセキュリティの課題に対応するために必要な技能を習得できるプログラムだ。

　「サイバーセキュリティ人材の不足は世界的に深刻で、国内でも政府が言及する最重要課題のひとつになっています」と語るシスコシステムズ・マーケティング本部の見松利恵氏。こうした課題認識から、シスコシステムズでは、サイバーセキュリティ人材の育成に力を入れ、このプログラムを創設。政府や教育機関と連携し、情報セキュリティ人材の育成を支援している。「20年以上前から取り組んでいる人材育成の豊富な実績をいかして、サイバーセキュリティ人材等、グローバルな課題を解決できる人材を育成することを目指しています」。

　シスコ サイバーセキュリティ スカラシップ プログラムは、誰でも気軽に始められるオンラインの入門コースと中級コース、そして、対面での５日間の上級コース、さらに国内外でのインターンシップから構成されている。交通費や宿泊費も支給されるため、地方から受けに来る方も多いそうだ。学生たちは、充実したプログラム内容に興味津々の様子で、真剣に耳を傾けていた。

　プログラム説明の後、見松氏の指導でオンラインの入門コースの初級編の一部を、学生たちがパソコンで体験。このコースでは基礎的な学習項目が用意され、クイズや動画などで楽しく学べるようになっている。ハッカーやマルウェアの種類といった基本用語について学んだ後で、クイズに挑戦した。基本用語に対応する説明文を選択する形式の問いに対し、学生が解答。例えば「私の仕事は、勤務先のコンピュータシステムの弱点を特定することです。この特性は何ハッカー？」。学生たちに答えてもらうと選んだ解答はバラバラ。「ホワイトハットハッカー」と正解が発表されると、「なるほど！」の声も。「初めて聞いた言葉なので戸惑いましたが、クイズ形式なので具体的に理解しやすかった」と学生の反応も上々だった。

　「ログインさえ出来れば、自分の好きな時に学べるのでとても便利」「セキュリティは目に見えないものだが、クイズを通して具体的に感じられた」と感想を述べる学生たち。サイバーセキュリティのプロへの第１歩を踏み出す可能性を秘めたこの体験授業。実感を伴う実りある機会となったようだ。

サイバーセキュリティ人材の不足は全世界的な課題となっています。「シスコ サイバーセキュリティ スカラシップ プログラム」は、過去20年に渡り全世界で920万人を超える方々に活用されてきたシスコネットワーキングアカデミーの教材を使用した、シスコのサイバーセキュリティ人材育成プログラムです。受講費用は無料、初心者から学べる3段階のコース設定で、応用コースでは国内外のインターンシップの機会もご用意しています。オンラインの入門コースは、学生以外の社会人・一般の方も、無料でいつでも、どこでも簡単に受講可能です。