「サイバー攻撃により機密情報が流出」「マルウェア感染で工場の稼働が停止」「キャッシュレスサービスで不正送金被害」など、日々サイバー攻撃に関するニュースがメディアで報じられています。そこで注目を高めているのが、サイバー攻撃から社会を守る『セキュリティ技術者』。セキュリティ技術者になるには、どのようなことを学べばよいのでしょうか。
セキュリティ対策待ったなし! サイバー空間の脅威
社会生活に必要不可欠なサイバー空間
社会生活においてインターネットは、切っても切れない存在となりました。身の回りを見ても、情報の入手にウェブサイトは欠かせません。ショッピングやバンキング(オンライン銀行)、シェアリングエコノミー(個人所有のモノ、人間のスキルなどを貸し出すシェアリングサービス)など、多くのサービスがインターネット経由で提供されています。
2020年に入ってからは、新型コロナウイルス感染症の拡大も影響し、学校のリモート授業や企業のテレワークなど、オンラインを活用するケースが多く実施されており、インターネットへの依存度が増しました。
さらに「5G時代」の到来で、社会はサイバー空間とフィジカル空間が融合した「Society 5.0」に向かっています。それが実現すれば、さらに多くのサービスがデジタル化されていくでしょう。
利便性の増加と比例して脅威も増加するサイバー空間
サービスのオンライン化で利便性が高まる一方で、懸念されているのが「サイバー犯罪」です。パソコンやスマートフォンに感染する「マルウェア(ウイルスなど、悪意を持って作られたプログラム)」、公的機関や企業などのITシステムを狙う「不正アクセス」、パスワードやクレジットカード情報をだまし取る「フィッシング」など、サイバー空間における脅威は無視できない存在となっています。
今後も、自動運転のクルマ、エアコンやテレビ、冷蔵庫などさまざまな機器がネットにつながるIoTなどが浸透すれば、それらがサイバー攻撃にさらされるリスクも高まるでしょう。
国の重要インフラがサイバー攻撃に狙われるリスクも
さらには、国家が背後で関与するサイバー空間でのスパイ活動やサイバー攻撃もあります。電気やガス、水道、交通、医療など重要インフラがサイバー攻撃を受ければ、社会生活に大きな支障が出るでしょう。
国境がなく、世界中どことでもつながるサイバー空間だからこそ、法律による規制や犯罪の取り締まりが難しい実情があります。国や企業では、こうしたサイバー攻撃から国民やビジネスを守らねばなりません。そこで求められているのが「セキュリティ人材」です。
『セキュリティ技術者』になるためには何を学ぶべきか
「セキュリティ人材」というと、IT技術者はもちろん、セキュリティの面から企業の経営に携わる「CISO(Chief Information Security Officer)」、企業のなかでIT技術者と一般従業員の間でセキュリティに関するコミュニケーションを仲介する「橋渡し人材」など幅広い人材を指します。今回は特に技術面で専門性を問われる「セキュリティ技術者」に焦点を当てます。
『セキュリティ技術者』に必要とされるさまざまスキル
『セキュリティ技術者』は、どのような技術を学べばよいのでしょうか。ネットワークの知識はもちろん、接続されるハードウエアやソフトウエアなど、いわゆる「コンピューターサイエンス分野」の知識が必要となります。
欠かせないのは「何を守るか」という視点
「何を守るか」ということも重要な要素です。例えば自動車であれば、安全を確保するには、コンピューターに関する知識だけではなく、自動運転や車体制御などの知識も必要となることがわかります。
医療現場、工場、発電所などで使われるさまざまな機器がオンラインに接続されるようになれば、増加した分だけサイバー攻撃から守らなくてはならない機器も増えます。
『セキュリティ技術者』の国家認定資格
『セキュリティ技術者』に幅広い知識が求められるとはいえ、まず何から学べばよいかと迷う方もいると思います。
そこでひとつ参考となるものに「セキュリティ技術者」として国家資格「情報処理安全確保支援士(通称セキスペ)」があります。
情報処理安全確保支援士
「情報処理安全確保支援士」は、もともと情報処理技術者試験の「情報セキュリティスペシャリスト試験」として実施されていたものですが、人材不足を解消すべく、2016年にあらたな国家資格としてスタートしました。
他の専門家と協力しながら、セキュリティを確保した情報システムの企画や設計、開発、運用、保守など行える知識やスキルが試され、セキュリティ対策の調査や分析、評価を行い、結果に基づいて必要な指導や助言を行います。
「情報処理安全確保支援士」に登録するには、犯罪歴がないことなど一定の要件がありますが、学歴などは関係なく、誰でも挑戦することができます。
国際的な資格「CISSP」
「情報処理安全確保支援士」以外にも、セキュリティに関する有名な資格としては、国際的に認められている認定資格に「CISSP(Certified Information Systems Security Professional)」がありますが、実務経験が必要であり、こちらは社会人向けの資格となっています。
セキュリティを独学する若年層を支援する動きも
セキュリティ技術者のみなが試験を受けたり、学校で技術を習得したかといえば、必ずしもそうとは限りません。独学で技術を身につけ、実務で腕を磨き、トップで活躍するセキュリティ技術者も数多く存在します。
若者層を支援するセキュリティ・キャンプ
セキュリティを学ぶ若年層を支援する取り組みもあります。ひとつはセキュリティ・キャンプ協議会が開催している「セキュリティ・キャンプ」です。
セキュリティ人材の発掘や育成のため、2004年度から22歳以下の学生を対象に研修会などを展開しています。第一線で活躍する技術者から、高度なセキュリティ技術などを直接学ぶ場を提供しています。全国大会では、選考をパスしなければ受講できないほど人気があります。
セキュリティイノベーターを育てるSecHack365
情報通信研究機構(NICT)では、1年間のハッカソンを通じて25歳以下の次世代セキュリティイノベーターを育てる取り組み「SecHack365」を開催しています。
身につけた技術を試す場としては、「CTF(Capture The Flag)イベント」もあります。初心者向けのCTFイベントなどに参加すれば、周囲がどのようにセキュリティを学習しているかを情報交換をしたり、同じ目標を持つ仲間を見つける機会にもなるでしょう。
セキュリティを学ぶ大学や学部
資格制度や独学といった方法を紹介してきましたが、大学や専門学校において、ネットワーク技術やソフトウェア技術など、コンピューターサイエンスを学ぶことも、セキュリティ技術者になるためのひとつの方法です。
情報システム工学や情報通信工学、コンピューター応用工学といった学科においてセキュリティコースを設置したり、カリキュラムに取り入れている大学も多数あります。
最近ではセキュリティを前面に押し出して学科を設置する大学などもあります。長崎県立大学の情報セキュリティ学科は、その代表例といえるでしょう。
文部科学省もIT人材育成を目指す教育プログラムで後押し
文部科学省では、高度なIT人材の育成を目指す教育プログラム「成長分野を支える情報技術人材の育成拠点の形成(enPiT)」という取り組みを進めており、対象4分野に「セキュリティ分野」も入っています。
同取り組みでは、東北大学をはじめとする14の大学が連携し、幅広いセキュリティ分野における最新技術や知識を、体験を通して習得する実践的な人材育成コース「Basic SecCap」を開講しています。
こうしたセキュリティ人材の育成に力を入れている大学なども、「セキュリティ技術者」を目指す上での進学先を選ぶひとつのポイントになります。
情報通信、システム開発運用、重要インフラ、防衛、航空宇宙、社会基盤全般、医療、自動車、IoT、商取引、ゲームなど
enPiT Security
https://www.seccap.jp/