第291号コラム:林 紘一郎 理事(情報セキュリティ大学院大学)
題:「情報セキュリティ大学院大学の10周年を迎えての感慨」
私の勤める情報セキュリティ大学院大学は、当研究会と同じ2004年の開学だから、今年度一杯で10周年を終える。当研究会は既に記念行事を祝われたが、大学院の方は来年に入ってから、ささやかな催しを企画している。というのも、研究会は発足と同時に成果を出せるが、大学院は修了生を出して初めて結果が出たという印象があり、2005年度に修士の(2007年度に博士の)修了生を出したところが、10年の起点かもしれないからである。
しかし「十年一昔」ということわざの通り、歴史にはそれなりの重みがある。とりわけ、開学前から準備作業に携わり、そのまま教授職を続けてきた者(その間副学長、学長として8年間、経営責任の一端を担っていた)としては、ある種の感慨を禁じえない。そのような気持ちを以下に3点ほど、披露させていただこう。
まず第1に実感するのは、この間の時代の変化である。「情報セキュリティ」という看板を掲げたテーマパークのような大学院を作ることは、2004年の時点では大冒険と思われた。私は、慶應義塾大学の教授職の残りの任期(2年)を投げ打って参画したので、古巣の同僚から「新設の大学に移ると寿命が縮みますよ」と、親切とも皮肉とも取れる送別の言葉をもらったほどであった。
確かに開学後の数年間は、ベンチャー企業さながらの悪戦苦闘であった。院生(企業で言えば客先)をゼロから開拓しなければならない、紹介してくれるOBやOGましてや先任教授もいない、知名度がゼロで信頼度を保証する手立てもない、教授陣もお互いの専門分野を異にするので仲間意識が未だ醸成されていない、(私のように)横浜に地縁がない者が多い等々。大学院設立の目論見書はあるが、多くは「ハズレ」であったと言っても良い。
特に一番の目算外れは、大学を出て直接大学院に進学しようとする院生が、ある程度確保できると思っていたことである。日本では(とりわけ理系では)、大学と大学院(少なくとも修士課程)はつながっており、他の大学院に進学することは「恩知らず」のように思われているらしい。学部4年生の早い時期に、大学院進学の内定を出すところが多く、一種の「囲い込み」が常態化しているので、私たちのような「独立系」には来てくれない。
やむなく企業派遣に活路を求めることになった。全国の学部学生を相手にする場合はマス・マーケティングで行けるが、こちらの方はプル戦略で戸別訪問を中心にするしかない。また、いずれの場合も大学院の知名度は決定的である。開学時に参加してくれた同僚教員たちは、慣れない戸別訪問や派遣有望企業の幹部訪問に精を出し、セミナーや説明会などのイベントなどを通じて、知名度の向上に努力してくれた。
この方針転換は、思いもかけぬ効果をもたらした。授業時間をビジネスマンが通学できる夜間に設定することは、教授陣の負担を増大させた面もあるが、授業のやり方そのものを、一方的な講義よりもケース・メソッドによる討論を重点にすることで、効率化できた。これは、ビジネス経験を経た院生が中心だから可能になったことであり、私たちはアメリカ流の大学院を運営していると自負している。22歳そこそこのフレッシュマンが、年長の院生と接することで、実学の一端を知ることができるメリットも大きい。
このようにして、徐々にではあるが、大学院の存在が社会に認められるようになり、幸いにも今日では、自己紹介をする際の「当大学院は、―――」という前口上は、ほとんど不要になった。しかし、それを自分たちの努力の結果とするのは、自惚れが過ぎるだろう。時代の変化という他律的要因の方が、圧倒的に大きいからである。開学直後の「個人情報保護」に始まって、2000年代後半の「コンプライアンス」、そして最近の「サイバー攻撃」に至るまで、情報セキュリティが社会に与える影響が深化して行き、社会の見る目が変わってきたからである。
その意味では、2001年9月11日の「セプテンバー・イレブン」直後に、「情報セキュリティ大学院大学」という名の大学院を設立することを決断された、岩崎理事長(当大学院の運営法人)の先見の明は特筆されて良いだろう。
第2点として、大学院の目標に触れよう。私たちは情報セキュリティを単なる技術論と捉えるのではなく、要素技術はもとよりシステム科学的発想や、リスク管理全般、人文・社会科学的なアプローチも含めた「総合科学」を目指してきたが、その方向が大筋として間違っていなかったのは、大変な幸せである。情報セキュリティは今やグローバルな課題だから、私たちも外国の同種の大学や大学院と交流することがあるが、その際に「総合科学」という説明をすると、同感の意を示されることが多い。
技術論を中心にコースを設計している仲間からは、羨ましがられることもあるが、方向は間違っていなかったとしても、そのレベルの点では「まだまだ」というのが正直なところである。なぜなら、教員全体で10名強という「極少大学院」の利点を活かして、開学早々から教員の自主的な合宿を行なっており、そこでの交流がスムーズな人間関係の構築に役立っている。しかし、それが共同研究や学際的アウトカムにつながっている、とまで言い切る自信がないからである。
また、同じように「総合科学」を目指しているアメリカの大学院では、アメリカ政府の奨学金とインターン制度を活かして、連邦政府機関での実習と就職が保障されているが、このような仕組みを日本にも導入したい。新しい道筋をつけるのも、先駆者としての私たちの役割と自覚している。
それにしても、セキュリティ・インシデントが高度化・巧妙化している現状では、10年前に設計したカリキュラムはout-of-dateになっている。幸い、カリキュラムを提供する私たちにも10年の蓄積ができたので、実習・演習のウエイトを増すという、大きな転換を試みている。世の中には「習う」ことで上達する分野もあるが、「慣れる」ことで初めて身につく分野もある。セキュリティ対策は後者に属する面が多いので、「体で覚える」ことをより重視していきたい。
第3点は、院生の変化や競業者に関する実感である。当大学院の認知度が高まったことはありがたいが、残念ながら院生の量的獲得には貢献していない。全体が増えない中で、これまでのIT企業からの派遣が一巡して、中央官庁などからの派遣に展開しつつある。しかし、地方自治体は数多いが、地元の神奈川県や横浜市は別格として、他の自治体には広がっていかない。平成の大合併や共通番号方式の導入など、自治体の情報セキュリティの責任は重いはずなのに、人材が追いついていかないのではないかと懸念している。
また、従来は会社からの派遣学生が多かったが、派遣に加えて個人としてのキャリア・アップを狙う人が増えているのは、明るい兆しとも考えられる。情報セキュリティは、「タテ割り」の日本社会の中に「ヨコ通し」をする面があるから、人材もヨコに動く可能性がある。またキャリア・パスとしても、異業種や官民両方の経験などが有効な面がある。今後、プロフェッショナルとして活躍するOBやOGが出てくることを期待している。
なお、セキュリティ要員が絶対的に不足しているにもかかわらず、教育体制の変化が遅々として進んでいないのは嘆かわしい。当大学院は、文部科学省の認可を受け情報セキュリティに特化した大学院としては、依然として唯一のものであり、その先駆性を誇りにしている。しかし、10年経ってもライバルが現れないということを、「競業者が現れなくて良かった」という安心材料にするのではなく、「全体の底上げが進んでいない」と反省材料にすべきであろう。
大学院レベルでは、カーネギー・メロン大学の学位取得プログラムを提供している兵庫県立大学に続いて、東京電機大学に新設コースの動きがある。しかし、大学院としての正規のコースに展開するには、なお時間がかかるものと思われる。このまま推移すると、わが国全体のセキュリティ要員の確保は、長い道のりを経なければならないだろう。
最後にコマーシャルを数行。私は現在、10周年記念事業の一環として「情報セキュリティの100冊」の選定作業に携わっている。当大学院の院生が主眼だが、世間一般にも情報セキュリティ分野のmust-readの100冊(選定結果にもよるが、当初は50冊程度になるかもしれない)を選んで、公表しようというものである。審査の作業は神経を使うが、推薦された図書を初めて読んだり再読したりして、思わぬ発見をすることもある。数ヵ月後の発表なので、ご期待を乞う。
【著作権は林氏に属します】
