IT技術者の中でも、特に不足していると言われる情報セキュリティ技術者。今年4月に開校した情報セキュリティ大学院大学は、世界的に見ても類がない情報セキュリティに特化した教育機関であり、人材不足解消の中核として重責を担う。辻井重男学長は、「情報セキュリティ技術者の必要なスキルは、もはやITの枠組みだけにとどまらない」と説く。情報セキュリティ業界の第1人者である辻井学長が描く、情報セキュリティ技術者の在り方とは。
情報セキュリティに特化した教育機関、人材育成へあらゆるプログラムを用意
──IT関連技術者の中でも、特に情報セキュリティ分野の人材不足は深刻です。いま求められる情報セキュリティ技術者のスキルとは。
辻井 情報セキュリティ技術者は、単にセキュリティ関連のハードウェアやソフトウェアの技術を持つ人だけでは務まりません。ファイアウォール、ウイルス対策といった製品レベルの技術的な知識や経験だけでは、企業・団体にとって、いま必要な情報セキュリティ対策を施せる人材とは呼べないからです。
情報セキュリティ技術者に求められるスキルとは、技術的分野に加え、企業・団体のマネジメントという観点からも、対策を講じられる能力を持つ人材です。マネジメントとは、社内体制やITシステムの管理、社員の教育などを含めた組織全体を安全に、かつ信頼ある状態で運用・管理することを意味します。
各企業・団体に合ったセキュリティポリシーを設定し、そのポリシーに基づいて、適切なセキュリティ製品・サービスを揃える。そのうえで、ITシステムと社員、組織全体をチェックしながら浮き彫りになった課題を随時修正し、各企業や団体が定めたセキュリティポリシーを維持していくための戦略を立てる。これが企業・団体に求められる情報セキュリティ対策の在り方です。そのためには、技術とマネジメントの両面を兼ね備えた技術者が必要なのです。
来年4月1日には、個人情報保護法が施行されます。法律関連の知識も必要になります。情報セキュリティ技術者に求められるスキルはますます多岐にわたり、そして高度化していきます。情報セキュリティ技術者は、もう、「IT技術者」としての枠組みでは語れない存在なのです。
日本は、安全対策に疎い国民性から、情報セキュリティ関連の意識も低く、対策も遅れています。セキュリティに対する意識が変わってきたと言われますが、ここ数か月間でようやく目覚めた程度。まだまだです。日本はIT先進国として、むしろ世界に先行して取り組まなければならない分野がセキュリティであり、遅れを一気に挽回しなければなりません。その基盤を作る意味で、人材不足の解消は迅速に解決しなければならない課題であり、情報セキュリティ大学院大学は、その中核機関として機能していきます。
──中核機関として、情報セキュリティ大学院大学が果たすべき役割とは。
辻井 日本には、これまで情報セキュリティに特化した教育機関はありませんでした。教育機関どころか、情報セキュリティ関連の教育科目は、一部の大学でコンピュータやネットワーク科目の中で少しだけ触れられている程度。運用・管理のマネジメント面の教育なんて、まったくありません。情報セキュリティに特化した教育プログラム自体がほぼ皆無の状況だったわけです。
わが国初の情報セキュリティに特化した教育機関として、技術とマネジメントの両輪を組み合わせた総合的な教育を施すことが至上命題でしょう。また、研究者向けの高度なセキュリティ技術教育を手がける義務もあります。
──具体的な教育プログラムと体制は。
辻井 情報セキュリティ大学院大学は、情報セキュリティに特化した初の教育機関であり、世界的に見ても類がありません。情報セキュリティ技術者の育成のためのあらゆる教育プログラムを用意しました。
現在は「暗号理論」、「コンピュータとネットワークセキュリティに関する技術」、「法制度やモラルなどを含めた運用・管理面のマネジメント」の3コースを用意しており、技術者、マネジメントスタッフ、研究者のどの分野を目指す人でも充実した教育プログラムになっています。世界的に見ても、これだけのプログラムを揃えている教育機関はないと自負しています。
教授陣に関しても、日本ではセキュリティに対し疎かっただけに、教えられる人も少ないのが本音なのですが、林紘一郎・副学長や田中英彦・研究科長などを筆頭に、情報セキュリティ教育に先進的な中央大学の教授、NTTや日立製作所などの民間企業の研究所などで日本のセキュリティ業界をリードする人材を招き入れました。私の専門分野である暗号理論に関しては自ら教壇に立ちますし、豊富な教授陣で構成しています。
日本では事後対策が欠けている、経営者の意識改革も必要
──企業・団体ではどのような情報セキュリティ対策が求められますか。
辻井 まずは経営者の意識改革が必要です。セキュリティ確保を経営問題として取り組む姿勢をもたなければなりません。
情報セキュリティ対策は、システム管理者の中の誰かが担当していることが多いかもしれませんが、経営者が先頭に立って情報セキュリティの在り方を考え、それを社員やセキュリティ管理者に徹底させていく必要があると思います。
加えて、企業・団体に少なくとも1人は「CISO(情報セキュリティ管理最高責任者)」のようなセキュリティ専任担当者を設ける必要もあるでしょう。それは、大手企業でも、中小企業でも、財政難の自治体でも同じです。
中小企業や自治体では、セキュリティポリシーの作成からITシステムの運用までをITベンダーに任せっきりのケースが多いようですが、ITベンダーが各顧客に合ったセキュリティ対策を講じられるわけはなく、最終的な責任は自分で取るしかありません。ですから、たとえコストがかかっても、自社にセキュリティ担当者を配置する必要があると思います。
──日本の情報セキュリティには、まだまだ課題が多いように思います。これから取り組むべき分野はどこですか。
辻井 日本のセキュリティ業界全体を見ると、システムトラブルや情報漏えいが起きた場合への備え、つまり事後対策が欠けています。安全対策に100%はあり得ないだけに、万一、何かが起きた時の備えも必要です。事件・事故が起きた場合に証拠となるログ情報の取得・管理、情報漏えいが起きた場合の対策など、事後対策分野は今後の課題でしょうね。
情報セキュリティ大学院大学としての課題は、教育体制はほぼ整備できているので、今後は他の大学との協力関係を強めたいと考えています。情報セキュリティ大学院大学だけで情報セキュリティ技術者の育成を行うのではなく、遅れていた日本の情報セキュリティ教育を底上げするため、他の大学でも活発に情報セキュリティ技術者を育成できるよう情報公開や公開講座、学会などを通じて、レベルを上げていきたいと思います。
眼光紙背 ~取材を終えて~
数学的興味から暗号理論に魅せられて25年。暗号理論中心に研究活動に没頭してきた。情報セキュリティの重鎮として、今やさまざまな業界団体の要職も務め、カバーする範囲は、暗号だけにとどまらなくなった。
「本当は暗号だけをやっていたいんです。でも、今は世間が情報漏えいや個人情報保護法などで騒がしくなってきて、それどころじゃなくなってきました」
多忙な日々のなか、暗号以外の情報セキュリティの勉強と調査も欠かさない。今は、もっぱら海外出張の際の移動時間が、最も集中できる勉強時間だとか。
暗号理論に関しては、「日本が先行している唯一の分野」との思い入れが強く、今でも論文を書き、発表する。「いくつになっても暗号は面白い。世界は変わり、求められるニーズも変化するから」。学長になっても、こだわり続けてきた暗号研究者の立場は崩さない。(鈎)
プロフィール
辻井 重男
(つじい しげお)1933年生まれ。58年、東京工業大学工学部電機工学科卒業。同年、日本電気(NEC)入社。65年、山梨大学教授。78年、東京工業大学教授。94年、中央大学教授。情報システム、暗号理論、デジタル暗号処理の研究に従事。04年4月、情報セキュリティ大学院大学学長に就任。情報セキュリティの業界団体活動にも携わり、日本セキュリティ・マネジメント学会(JSSM)会長、デジタル・フォレンジック研究会会長などの要職を務める。著書に「暗号と情報セキュリティ」(昭晃堂)、「暗号-ポストモダンの情報セキュリティ」(講談社)などがある。
会社紹介
情報セキュリティ大学院大学(横浜市神奈川区)は、今年4月1日に設立された。大学の教育科目として情報セキュリティを専門に扱う学部・学科はまだ珍しいとされるなか、情報セキュリティ分野に特化した初めての大学院大学としてスタートした。
「暗号プロトコル」や「セキュアOS」などの技術的科目だけでなく、「セキュリティの法的実務」、「セキュリティ管理と経営」といった管理運営・法制度などの科目も揃え、合計28科目を開設している。
セキュリティ関連のプロダクトやシステムの開発技術者育成だけでなく、企業・団体のセキュリティ管理体制構築・維持のためのセキュリティ管理者育成も教育理念に掲げる。
教授陣には、辻井重男学長が自ら「暗号理論」や「電子認証」分野の講義を担当するほか、慶應義塾大学メディア・コミュニケーション研究所教授を務めた林紘一郎氏や、東京大学大学院情報理工学系研究課長を務めた田中英彦氏など約20人を揃えた。現在の生徒数は33人で、社会人が大半を占める。来年度には募集人員を50人程度に拡大させる予定だ。
