DIALOG 日本の未来を語ろう :朝日新聞デジタル
2019/02/13

人材不足が最大のリスク
東京2020 サイバーセキュリティー強化の行方

Written by 高田彬 with 朝日新聞DIALOG編集部
Photo by 松本哉人(POTETO)

世界中でサイバー攻撃による被害が拡大しています。2020年に東京五輪・パラリンピック開催を控える日本では、国がサイバーセキュリティー強化に乗り出しました。しかし、喫緊の課題は人材不足です。そこで、2017年に、日本で唯一の情報通信分野を専門とする公的機関「国立研究開発法人情報通信研究機構(NICT)」が「ナショナルサイバートレーニングセンター」を設立しました。ここでは、国や地方公共団体などのサイバー攻撃対処能力の向上を目指して、実践的なサイバートレーニングを企画、実施しています。サイバーセキュリティーの現状と課題について、園田道夫センター長にうかがいました。

年間7億種のウイルスが誕生

Q:2017年に日本を含む約150カ国で約23万台のコンピューターが身代金要求ウイルス「ワナクライ」に感染した事件は、今でも印象に強く残っています。サイバー攻撃はどれくらいの規模で広がっているのですか?

A:コンピューターウイルスは、全世界で年間7億種の新種が生まれているという報告があります。検知ソフトウェアで対応できる数ではありません。ちまたには年間サポート付きのウイルス作成ソフトすら出回っています。ウイルスの多くは他人の個人情報を入手することが目的ですが、五輪のようなビッグイベントのシステムを狙ってくる場合は愉快犯が多く、さらに備えが難しくなります。

Q:日本のサイバーセキュリティーの課題はなんですか?

A:どこの国でも同じでしょうが、人材不足が深刻です。質も量も足りないし、それを補うシステムも足りません。経済産業省がまとめた2016年の報告書では、2020年にはサイバーセキュリティー人材が19万人不足すると予測されています。特に小さな市町村では一人の職員がいくつもの職務を担っているケースが多く、サイバーセキュリティーに専従することは困難です。とはいえ、市町村のレベルのネットワークに侵入されると、それが中央省庁につながりかねない怖さがある。人が足りないことが一番のリスクです。

Q:ナショナルサイバートレーニングセンターでは、どのように人材を育成しているのですか?

A:私たちは「CYDER」というサイバー防御反復演習を、中央省庁と全国の地方自治体に提供しています。2018年度からは重要な社会インフラを担う民間の事業者を対象としたコースも有償で設けました。CYDERは、サイバー攻撃を受けたときにどう対処すれば被害を小さくできるかを、1日かけてトレーニングします。47都道府県で年に100回以上開催し、約3000人が参加する大規模な事業です。
また、東京五輪・パラリンピックに向けた実践的サイバー演習の「サイバーコロッセオ」もあります。2012年のロンドン五輪の際にはサイバー攻撃が2億回あったと言われています。CYDERが、事件が起きた後の対処にフォーカスしているのに対し、サイバーコロッセオは、事件が起きないようにするための予防策や、攻防戦のような演習を、大会組織委員会のセキュリティー担当者などを対象に実施しています。
CYDERとサイバーコロッセオは実務についている人を対象にした事業ですが、25歳以下の社会人や学生を対象にした「SecHack365」は、40~50人くらいの若者を一般公募で選抜し、1年間かけてサイバーセキュリティーにかかわるソフトウェアなどを作り出すことを目的とした事業です。10歳の小学生から社会人まで受講者の幅は広く、研究論文やプロトタイプ、サービス、書籍など何らかの成果物が生まれています。

Q:サイバーセキュリティーの分野では、テクノロジーの進化の影響はありますか?

A:最近は潮目が変わってきている気がしています。AIを使って大量のデータを処理するノウハウが開発され、セキュリティーの自動解析システムも研究されています。7億種のコンピューターウイルスが襲ってきても、自動的に対処できるものを作れる時代が来るかもしれません。そういうシステムができることで、人間の足りない部分を補ってほしいなあと期待しています。

Q:サイバーセキュリティーの専門家にとってのやりがいは何ですか? どんな人が向いていますか?

A:やりがいは人それぞれだと思いますが、私の場合は、先端的な研究分野ならではの謎解きや知恵比べの楽しさを感じています。実効性があって、その組織に適したルールを作るのは、ある種の謎解きですし、漏れのない攻撃検知エンジンを作ることは知恵比べでもあると思います。そういう謎解きに疲弊しない人が向いているのではないでしょうか。

Q:中学生、高校生など次世代の人材を育てるにはどうすればいいですか?

A:生徒を育てる前に、まず先生を育てないといけません。そもそも、情報の科目を教えている先生が、情報が専門でないことはとても多い。大学でもセキュリティー専門の先生はまったく足りません。世界各地で開催されている情報セキュリティー技術を競う大会に、諸外国からは大学のチームがたくさん出場しますが、日本からは数校しか出ない。やはり先生が足りないんだと思います。
サイバーセキュリティーの演習をするには、その環境を整えるだけで、高いものでは数億円規模のコストがかかってしまいます。とても独学はできません。そこで、私たちのセンターでは「サイダーレンジ(CYDERANGE)」というサイバー演習環境自動構築システムを開発しています。独学だけじゃなくて、本番環境に近いところで試せるようにしたいと思っています。

セキュリティーの重要性を社会は認識してほしい

Q:危機管理の分野では、防御がきちんと機能すれば、表面上は何も起こりません。その結果、危機管理の価値が社会全体で共有されにくくなる、といったジレンマはありませんか?

A:それはありますね。皮肉な話ですが、事件が起きると、それが一番のプロモーションになり、セキュリティー関連の依頼が増えます。逆に言えば、平時を保つことの重要性が、十分に認識されていないということかと思います。サイバーセキュリティーは、成果が可視化しづらいのです。
あらゆるものがネットワークでつながる「IoT」(モノのインターネット)の時代になってきました。サイバー攻撃に的確に対処できなければ、被害は甚大になります。一般の人が想像する以上にサイバーセキュリティーの重要性は増していますが、予算の制約もあり、人材が決定的に足りません。サイバーセキュリティー担当者の待遇を上げるなど、人材を呼び込む工夫も必要です。現状のままではサイバーセキュリティーを高めていくのは難しい。そのことを社会全体でもっと認識してほしいですね。

【プロフィル】
園田道夫(そのだ・みちお)
国立研究開発法人情報通信研究機構ナショナルサイバートレーニングセンター長。中央大学大学院理工学研究科博士(工学)課程修了。サイバー大学IT総合学部教授などを経て、2017年から現職。2018年、情報セキュリティ文化賞受賞。IPA主催セキュリティ・キャンプの実行委員・講師や、SECCON実行委員会事務局長なども務めている。

関連記事

pagetop