世界や米国にみるセキュリティ人材の育成術と日本の課題：ビッグデータ利活用と問題解決のいま（2/2 ページ）

[笹原英司，ITmedia]

オープンイノベーションで人材不足の解消を図る米国

　さらに、米国では政府機関と大学・教育研究機関や民間企業の産学官連携によるクラウドソーシング／オープンイノベーションを前提としたサイバーセキュリティ人材育成への取り組みが進んでいる。

　例えばNISTは、最先端のサイバーセキュリティ技術導入を加速させることを目的として2012年、メリーランド州に「国立サイバーセキュリティセンターオブエクセレンス（NCCoE）」を設立した。サイバーセキュリティを支える共通基盤技術（例：クラウドの信頼された位置情報、ソフトウェア資産管理、モバイルデバイスセキュリティ、属性ベースアクセス制御）のほか、エネルギー分野（例：ID／アクセス管理、状況認識）、金融分野（例：アクセス権限管理、IT資産管理）、健康医療分野（例：モバイルデバイス）など、個別の業種・業界向けサイバーセキュリティ技術の導入を支援している。

米国立標準技術研究所（NIST）が設立した「NCCoE」

　さらにNCCoEは、メリーランド州政府および州内の自治体や大学・研究機関、スタートアップ支援組織（例：Techstars）、American Security Challengeと連携して、サイバーセキュリティ分野の起業支援と専門人材の地域雇用創出支援活動を行っている。

　他方、米国におけるサイバーセキュリティ人材の最大雇用主である国家安全保障局（NSA）は、2012年にNISTの全米サイバーセキュリティ教育イニシアティブ（NICE）の支援を受けて、国立センターオブアカデミックエクセレンスにサイバーオペレーションプログラムを設立し、タルサ大学、ダコタ州立大学、米国海軍大学院、ノースイースタン大学など13大学のコンピューター関連学科と連携してイノベーションプログラムを推進してきた。

　しかしながら慢性的な人材不足が続いているため、NSAは2014年7月に、ニューヨーク大学、タウソン大学、陸軍士官学校、シンシナティ大学、ニューオーリンズ大学の5大学と新たに提携し、合計で全米18大学の学生をサイバーセキュリティ専門家として育成するプログラムを推進している。

　米国の場合、クラウドセキュリティやサイバーセキュリティの共通基盤は、NISTが中心的な役割を担い、その他の政府機関によるセキュリティ対策を支援する体制を敷いているのが特徴だ。保健福祉省が所管する健康医療分野の「HIPAA」、エネルギー省が所管する電力分野の「NERC CIP」など、サイバーセキュリティが不可欠な業種・業界の法規制においても、具体的な対応策ではNISTのガイドライン類を参照することが多い。連邦政府共通のクラウドセキュリティ標準である「FedRAMP」もNISTがベースになっている。

　官民連携をベースとするクラウドソーシング／オープンイノベーションのプラットフォームについても、このような共通基盤に準拠して開発されたクラウドサービスを活用するのが、セキュリティ対策としてはベターだ。

日本の課題

　ビッグデータによる成長が期待される金融、健康医療、エネルギー、公共交通などは、いずれも重要情報インフラとして強固なサイバーセキュリティ対策が要求される分野である。軍事やテロ対策にも関わるサイバーセキュリティの門戸を広く開放すれば、外部から攻撃を受けたり、悪用されたりするリスクも高まる可能性があるが、産学官連携やクラウドソーシング／オープンイノベーションによって、新たな技術革新を誘発し、人材の早期育成と雇用機会の創出につなげることによって得られるメリットは大きい。

　2014年7月10日、政府の情報セキュリティ政策会議は「サイバーセキュリティ2014」（関連PDF）を公表した。研究開発については、同日に公表した「情報セキュリティ研究開発戦略・改定版」（関連PDF）、人材育成については、同年5月19日に公表した「新・情報セキュリティ人材育成プログラム」（関連PDF）」がベースになっているが、全体として個別省庁の施策を積み上げた内容になっており、省庁横断的にリーダーシップを発揮できる仕組み作りは後手に回っている感がある。

　ビッグデータセキュリティの観点から、制度面（例：社会保障・税共通番号制度、パーソナルデータ保護施策など）の進捗状況と、技術面（例：データの匿名化／暗号化、認証管理、アクセス制御など）の進捗状況にギャップがあり、そこにサイバーセキュリティ対策をどう絡めるかについては、各省庁の判断次第になっているのが現状だ。

　米国のNISTやNSAですら専門人材を確保できない状況下で、日本の官公庁や民間企業が縦割りでバラバラに人材育成策を進めようとしても、ビッグデータセキュリティおよび、それを支えるサイバーセキュリティの双方に長けた人材を早期に育成・確保できるはずがない。クラウドソーシング／オープンイノベーションを活用し、ビッグデータを制御するアクセルとブレーキの両方を兼ね備えた人材を育てる場をどう作っていくかが、日本の課題だ。

---

　次回は成長の期待が高い反面、リスクも高い健康医療分野のビッグデータセキュリティを取り上げる。

著者者紹介：笹原英司（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身、千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook: https://www.facebook.com/esasahara

日本クラウドセキュリティアライアンス ビッグデータユーザーワーキンググループ：

http://www.cloudsecurityalliance.jp/bigdata_wg.html