「地方自治体で情報政策・システム担当の人員総数が1人または2人のところが全体の60%を占め、セキュリティ業務推進が実質的に困難な状況にあるものの、人員補充を考えている自治体は3割しかいない」――。経済産業省の委託で情報処理振興事業協会(IPA)が今年3月にまとめた「情報セキュリティプロフェッショナル育成に関する調査研究」の報告書で、情報セキュリティの人材を取り巻く厳しい実態が明らかにされた。「現在、情報セキュリティに対する社会的な関心が急速に高まっているが、実際に対応できる人材は不足している。地方自治体についてもセキュリティニーズがクローズアップされるなかで、必要な人材をどのように供給していくかは重要な課題だ」(山崎琢矢・経済産業省商務情報政策局情報セキュリティ政策室課長補佐)。
レーダーチャートで最適な人材を
今年8月に住民基本台帳ネットワークシステムの第2次稼動を控え、現在開催中の国会では個人情報保護法案の審議も始まっている。地方自治体のセキュリティ対策は待ったなしの状況だ。今回のIPAの調査研究は、経済産業省が昨年12月に策定した「ITスキル・スタンダード」と連動する形でスタートした。スキル・スタンダードは、IT技術者の技術や知識のレベルを体系化したもので、その中にセキュリティ専門のITアーキテクトやITスペシャリストも定義されている。しかし、一口にセキュリティと言っても、求められるスキルは非常に多岐にわたり、技術内容も大きく異なる。
セキュリティ専門以外の技術者にもセキュリティ技術は必要なことから、セキュリティスキルだけを取り出して体系化する必要があると判断したわけだ。調査研究では、ユーザー企業や地方自治体が抱えている課題が明確に浮かび上がってきた。現実問題として、情報担当者が1、2人の地方自治体が内部だけでセキュリティ対策を講じることは難しい状況だが、「どういう人材を募集してよいかわからない、仕事を依頼するにしても技術者のスキルを測るのが難しい、といった声が多かった」(IPAセキュリティセンター・石井茂氏)という。
さらに、セキュリティ確保の必須業務が明確に定義されていないため、どのような対策を講じれば良いのかわからないとの声も聞かれた。こうした問題を解決するための基盤として「情報セキュリティに関するスキルマップ」(図)が作成された。セキュリティに携わる人材に求められる技術、知識をまとめて体系化したもので、全体を16のカテゴリーに分け、それぞれのスキルレベルを3段階に分けてレーダーチャートに表示する仕組みだ。ユーザー企業や地方自治体が人材募集を行う場合も、まず業務に必要なセキュリティレベルをレーダーチャートに書き込み、そのチャートの形に一番近いスキルをもった人材を採用すれば、人材のミスマッチも防げるというわけだ。
報告書では最後に3つの提言を行っている。情報セキュリティを確保するために必要な業務量を判断する基準「情報セキュリティ業務基準」の策定、地方自治体向けに特化した「教育カリキュラム」の整備と教育の場の提供、セキュリティ対策技術などを網羅的に揃えて接続実験なども可能な「ITリハーサルスタジオ」の整備――である。いずれも地方自治体のセキュリティ対策を強く意識した内容であり、経済産業省でも施策の具体化に向けて積極的に検討を進めていくことにしている。(ジャーナリスト 千葉利宏)
