人手不足に悩むNIST 従業員の大規模離職でさらなる追い打ち：Cybersecurity Dive

NISTのコンピュータセキュリティ部門のトップと、その部下およそ10人がトランプ政権による早期退職優遇制度を受け入れたことで、重要なプログラムが危機にさらされている。

[Eric Geller，Cybersecurity Dive]

　『Cybersecurity Dive』の取材により、米国立標準技術研究所（NIST）でサイバーセキュリティを担当する重要な役職にある従業員が同機関を去ることが分かった。これらの従業員の離職により、量子コンピューティングやAIといった新興技術分野におけるNISTの取り組みに対する懸念が高まっている。

「既に人手は足りていないのに……」　NISTの人員削減が進む

　事情に詳しい2人の関係者によると、今回の離職者には次の人物が含まれている。NISTの情報技術研究所にあるコンピュータセキュリティ部門（CSD）の責任者であるマシュー・ショール氏（注1）（注2）、CSDのセキュリティテスト・検証・測定グループを率いていたティム・ホール氏（注3）、CSDのセキュアシステム・アプリケーショングループの責任者であるデビッド・フェライオーロ氏だ（注4）。加えて、CSDの約10人の従業員もNISTを去った。

　今回の人員削減は、今後もNISTが企業や学術専門家と協力し、進化するサイバーセキュリティの課題に関するガイダンスを開発および更新し続けられるのかという点について、テクノロジー業界内に懸念をもたらしている。

　国土安全保障省の元政策スタッフであり、AIやその他の新興技術に取り組んでいたニック・リース氏は次のように述べた。

　「NISTのリスク管理やセキュリティに関する取り組みを支えている研究は、重要な組織的知見の喪失によって打撃を受けることになるだろう。この知見の不足を埋め合わせるのは容易ではなく、業界で活用されるNISTの研究の数や範囲、影響力はいずれも大幅に減少すると予想している」

　NISTとの関係を保つために匿名を希望したある元従業員は「この度の従業員の離職は大規模なものだ」と語った。同従業員は「NISTの最大の資産は科学者たちだ。これほど多くの人材を失うと大きな影響がある。スタッフは既に過重労働を強いられており、大統領令や連邦議会の法律で課された全ての任務を遂行するための十分なリソースを持っていない」とも述べた。

　CSDは、暗号技術やアクセス制御、クラウドセキュリティ、リスク管理などの幅広いサイバーセキュリティ分野におけるNISTの研究、基準の策定、業界との連携を主導している。同部門は、National Vulnerability Database（国家脆弱《ぜいじゃく》性データベース）の管理、Risk Management Framework（リスク管理フレームワーク）の監督、さらにはポスト量子暗号アルゴリズムの標準化も担っている。

　なお、NISTのCybersecurity Frameworkは応用サイバーセキュリティ部門《ACD》の管轄だが、CSDの多くの従業員もこの文書の作成に関わっており、それらの従業員は今回離職していない。

　NISTのこの部門が発行する文書は、政府データの保護やユーザーの身元確認、サイバーリスクの分析といったテーマを扱っている。CSDとACDは、NISTが民間企業と連携して行うサイバーセキュリティ関連の取り組みの大部分を担っている。

　リース氏は、CSDの従業員について「私が国土安全保障省（DHS）で担当していた業務において、非常に重要な協力者だった」と述べ、それらの従業員を「最高レベルの専門家であり、業界で広く活用されている重要な研究やフレームワーク、ガイダンスを生み出してきた」と称賛した。

　AI企業Frontier Foundryの共同創業者兼COO（最高執行責任者）でもあるリース氏は「このような人員削減と組織的知見の喪失によって、これまでのリソースは失われていくだろう」と語った。そして「その長期的な影響は、これらの新技術を取り巻く複雑なセキュリティ環境を理解しようとしている企業や政府機関、学術機関全体のセキュリティに及ぶ」と警鐘を鳴らした。

　2025年4月30日（現地時間、以下同）付でNISTを離職したショール氏は、長年にわたりNISTを代表してサイバーセキュリティ関連の会議に出席し、技術専門家による独立諮問委員会「Information Security and Privacy Advisory Board」の事務局責任者を務めていた。同氏は、6年間にわたり技術系請負業者として勤務した後、米陸軍で8年間の兵役を経て、2004年にNISTに加わった。

　ショール氏の副官であったジョン・ボイエンズ氏は、現在CSDの責任者代理を務めている。ショール氏は、本件に対するコメントを拒否した。ホール氏とフェライオーロ氏もコメントの要請に応じなかった。NISTもコメントを発表していない。

ポスト量子暗号の取り組みに関する危機

　事情に詳しい人物によると、2025年2月時点でCSDには95人の従業員が在籍しており、これはNISTの各部門の中で最も多い人数だった。また、契約社員や客員研究者が65人在籍していた。同年1月下旬に人事管理局（OPM）から送られた「Fork in the Road（岐路）」という件名の電子メールと、その後にNISTが提示した早期退職優遇制度（VERA）および退職奨励金制度（VSIP）によって、CSDは従業員の20％以上を失うこととなった。

　複数の関係者が『Cybersecurity Dive』に語ったところによると、今回の一連の離職は、政府によるポスト量子暗号アルゴリズムの標準化を主導するというNISTの注目度の高い取り組みに特に深刻な打撃を与えることになる（注5）。

　CSDとショール氏は、量子コンピュータに関連するセキュリティリスクに対して政府のリソースを集め、指導者層の関心を引き付ける役割を果たしてきた。その結果として、量子コンピュータの解読能力から世界中のシステムを守るための一連のアルゴリズムが策定された。リース氏は「誰も注目していなかった時期から、同氏らはこの問題を推進してきた」と語っている。

　NISTおよびその連携機関である米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁（CISA）での解雇や離職が続く中で、リース氏は「量子技術に関する課題には新たな推進役が必要になる。さもなければ、優先順位が下がって後回しにされるリスクがある」と述べた。そうなった場合、世界中の企業や政府のセキュリティが危険にさらされる可能性があるという。

　事情に詳しい人物によると、CSDの暗号技術チームはデイビッド・クーパー氏が離職したものの非常に堅固であり（注6）、外部の協力者との巨大な連携体制が整っているという。「次のアルゴリズムを導入する準備は整っており、既に取り組みを始めている」とのことだ。

NISTの人員削減が企業に与える影響とは？

　リース氏によると、NISTの人員削減は他の面でも企業に影響を与える可能性があるようだ。NISTが特定の分野から手を引けば、テクノロジー業界は研究費を自ら負担するか、追加のセキュリティやプライバシーリスクを受け入れなければならない。

　「多くの企業は、AIに関連するリスクを管理するフレームワークのようなNISTの文書をソフトウェア設計の意思決定の基盤として使用している。これらの文書が廃れてしまうと、企業は不足を埋めるためにレッドチームによる活動などの措置にさらに多くの費用をかけなければならなくなるだろう」（リース氏）

　トランプ政権や連邦議会がNISTのサイバーセキュリティプログラムを強化するために動くかどうかは不明だ。それとは無関係なところで、現在NISTはドナルド・トランプ大統領の標的の一つとなっている。2026年度の予算案の中で、トランプ氏はNISTの12億ドルの予算を3億2500万ドル削減することを提案し（注7）、その理由について「同機関の環境持続可能性に関する研究助成が過激な気候変動のアジェンダを推進している」と述べた。

　NISTの従業員たちは、機関の縮小に向けた今後の動きである「人員削減計画」と「組織再編」の行方を不安の中で見守っている。事情に詳しい関係者は「この2つの動きは、NISTが今後取り組む内容や注目する領域を大きく変えることになる」と述べている。NISTの従業員たちは、より少ない人員と予算でより少ない業務しかこなせなくなると予想している。

（注1）Matthew Scholl（LinkedIn）
（注2）Computer Security Division（NIST）
（注3）Tim Hall（LinkedIn）
（注4）David Ferraiolo（LinkedIn）
（注5）Post-Quantum Cryptography（NIST）
（注6）David Cooper (Fed)（NIST）
（注7）EXECUTIVE OFFICE OF THE PRESIDENT OFFICE OF ANAGEMENT AND BUDGET WASHINGTON , D .C . 20503（The White House）

原文へのリンク