サイバー警察官が一堂に会する "白浜シンポジウム"

1997年開催から今年で27年目を迎えるサイバーセキュリティに取り組む警察関係者の集いが、6月25日から6月27日の日程で南紀白浜において開催されました。私は1997年の初開催の頃から８回連続で登壇したことから、毎年、招待されています。サイバーセキュリティに関する会合は、このほかにも越後湯沢、道後温泉、防衛関係者が集まる熱海温泉と、温泉シリーズと呼ばれるシンポジウムがありますが、サイバーセキュリティ関係者は、とりわけ対面での「ここだけの話ですが、・・」というのが好きなようです。このシンポジウムでも、夜８時から始まるBOF（Birds of a feather flock together）と呼ばれる関係者だけのミーティングは、興味深い話が聞けるのですが、残念ながら他言無用がルールですので、お話しすることはできません。

シンポジウム開催当初は、参加者が200名という小規模なものでしたが、現在は500名近い人が集まっています。これも政府の方針に沿ってサイバー捜査員を警察が増員してきた結果でしょう。今回のテーマは「足りない人材、追いつかない育成、次の一手は？」でした。

キャリアパスが用意されていないセキュリティ要員

セキュリティ人材不足に悩んでいるのは、民間企業だけではありません。官公庁も例外ではありません。「警察における人材の育成」と題して発表した 警察庁サイバー警察局企画課課長補佐の渡邊和彦氏の話では、警察全体で技術系職員は34,000人、そのうちサイバー関係者は1,900人だそうで、この数では、全く足りないそうです。ちなみに昨年設置された警察庁サイバー警察局の職員は910名だそうです。

サイバー警察局というのは、昨年、警察庁に設置された庁です。そもそも日本における犯罪捜査は、地方自治の一環で行われ、政府は関与しないというのが基本的なスタンスでしたが、政府機関がはじめて直接の捜査権を持つという歴史的大転換でした。海外からの攻撃が大多数を占めるサイバー事案の国際性から、捜査権を持たせたサイバー警察局を警察庁に置くという決定がなされたのです。日本には海外との統一的な捜査窓口がないとの問題を指摘する声も多かった一方で、サイバー警察局の設置は、AIやビックデータの利用による警察監視国家に近づくのではと危惧する声もあった設置だったのです。

警察庁や県警では、現在、サイバー捜査のために中途採用した人たちが、県警でいうところの警察署長になる年齢に達しているということで、この人たちの処遇が問題となっているそうです。給与と職位が一体となっている今の昇進昇格制度では、この人たちの居場所を確保できないのです。この問題は、民間企業でも同じ状況だといえるのではないでしょうか。サイバーセキュリティを志し、研鑽を積んだ人が、専門家として組織のなかで活躍できるキャリアパスについて明確な方針が示される必要があります。

資格を取った途端に辞めていく職員

警察では、プロパーの職員の処遇にも苦慮しているそうです。警察組織の中で技術力を裁量するために、サイバーセキュリティの国際的な資格認定制度であるCISSP（Certified Information Systems Security Professional)の資格をとらせるのも、民間企業がおこなっている育成方法と同じ手法ですが、ここでも一つの問題があります。資格を取った途端に辞めていく職員が多いことです。

この問題は、警察関係者だけではありません。自衛隊も昨年、陸海空３自衛隊の統合部隊として発足させたサイバー防衛隊を、2027年度までに4,000人の防衛部隊とそれを側面から支援する16,000人の要員の合計20,000人の体制にすることが、防衛力整備計画に明確に謳われているのです。ただ、自衛隊の総人数は増やせませんので、部隊間異動が基本です。現在、各部隊から希望者を募って、半年毎に150人から300人程度の人員を教育して配置転換が行われています。ここでも資格をとったら自衛隊を辞めて行くという、警察と同じ現象がおこっています。

根本的原因は、民間企業との給与格差にあることは間違いありません。お金が全てではありませんが、せっかく正義感や愛国心に燃えて警官や自衛隊を目指した若者が辞めていくのは惜しい限りです。渡邊氏は、すぐには、打開策はないものの、これも社会全体のセキュリティ人材の底上げにつながっているはずだと話されていたのが印象的でした。

これからは倫理教育も課題に

実践的サイバー防衛演習（CYDER）など、長年サイバーセキュリティ教育に従事されてきた国立研究開発法人情報通信研究機構サイバーセキュリティ研究所ナショナルサイバートレーニングセンター、サイバートレーニング研究室室長 花田智洋氏からは、実践的情報セキュリティの人材の発掘や育成を実現するためには、企業や教育機関の実務側とセキュリティコミュニティ側の連携が必要不可欠であるとの話や「情報銀行」の実現に向けて研究を進めている慶應義塾大学大学院メディアデザイン研究科教授の砂原秀樹氏からは、これからのサイバーセキュリティ教育は倫理教育が課題だという話をされていました。現在、多くのサイバーセキュリティに関わる教育は、ハッキング技術を教えることで防御方法の理解を深めるという手法が取られているのですが、そうした教育を受けた人物が、その技術を悪用しないという倫理面での教育が足りていないのではと問題提示されていました。

ウクライナ情勢からの教訓

NTTのチーフ・サイバーセキュリティ・ストラテジストの松原実穂子氏は「ウクライナ・台湾情勢を受けて求められる人材とは」と題して、主に海外の報告書やカンファレンスからの得られた最新情報をもとに講演されていました。ロシアのウクライナ侵攻から得られた教訓としては、データセンターが破壊されることも視野にクラウド化を急ぐ必要があると提言されていました。ウクライナが開戦後1週間で政府システムを海外のクラウドに移行したという例を挙げての説明でしたが、日本政府はISMAP制度を運用しており、原則データは海外の捜査当局が差し押さえできないよう、国内にデータを蔵置することを原則としています。この政府の方針は、重要インフラを担う民間事業者も同じです。台湾有事を想定するならデータを暗号化した上で、海外に拠点を置いたクラウドサービスを利用すべきですが、海外のデータセンターが安全なのか、日本のデータセンターが安全なのか、企業の判断としては悩ましいところです。

また、ネットワークの分離分割ができるように設計すべきといった提言や、とりわけシステム管理者を二重化するなどの対策の重要性や従業員の退避方法を具体的に検討するなど、普段からの机上演習が大切だといった点は、傾聴に値しました。また、ウクライナではストレスからパスワードを忘れてしまうという現象が発生しているとの話は、印象に残りました。台湾有事が現実のものとならないことを願うばかりです。

まとめ

今回のシンポジウムは、従来にも増して、非常に盛況だったように思います。永遠のテーマである人材育成は、ようやく官が民に追いついたということでしょうか。

教訓として得られたことは、サイバーセキュリティの人材育成は、技術面だけではなく倫理面での教育も大切だということ。そしてセキュリティ技術者のキャリアパスについて真剣に考えるべき時ではないかということでしょう。また、台湾有事などのリスクも常に考えたリスクマネジメントが重要だということで、狭義の意味でのサイバーリスクマネジメントではない企業活動全体を見定めたリスクマネジメントができる人材が今求められているということでしょう。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。