第359号コラム:上原 哲太郎 理事(立命館大学 情報理工学部 情報システム学科 教授)
題:「情報セキュリティ人材が足りない、は本当か」

情報セキュリティの世界を支える人材の育成は、いつでも良く課題として取り上げられてきましたが、最近特にその声が大きくなってきています。2013年6月情報セキュリティ政策会議の「サイバーセキュリティ戦略」でも人材育成は大きく取り上げられ、2014年5月には「新・情報セキュリティ人材育成プログラム」が打ち出されました。

これらでは、情報セキュリティ人材の不足が言われています。その根拠となっているのは、多くの場合2012年に行われたIPAの「情報セキュリティ人材の育成に関する基礎調査」報告書ではないかと思います。
http://www.ipa.go.jp/security/fy23/reports/jinzai/

曰く、企業における情報セキュリティ人材は現在23万人いるが、さらに2.2万人が必要である。また、企業内の人材のうち14万人はスキルが不足しているということです。

この数字を見て、皆さんはどうお感じになるでしょうか。スキル不足は置いておくとしても、本当に情報セキュリティ人材は23万人もいて、不足数はその1割だというなら「頭数としてはまぁまぁ足りている?」って印象になるのが正直なところではないでしょうか。

実はこの調査には後日談があって、推計には「従業員数100未満の事業者を考えていない」「そもそも情報セキュリティ人材がいない組織における必要人数が考慮されていない」という理由により、2014年7月に「追加分析」が行われ、数字が修正されています。
http://www.ipa.go.jp/files/000040646.pdf

結果として、情報セキュリティ人材は現在26.5万人いて、でもそのうち16万人はスキル不足であり、絶対数としてもあと8万人は必要なので、結果的に24万人に教育が必要、という話になっています。この数字は政策や報道でも頻繁に引用される、基本的なコンセンサスになりつつあります。例えば2014年11月にNHKで放映された時論公論でも大きく取り上げられていました。
http://www.nhk.or.jp/kaisetsu-blog/100/202598.html

ですが、この分析では、そもそも情報セキュリティ人材の定義をかなり幅広にしています。同じIPAが発行するIT人材白書によると、IT人材そのものの総数が100万人前後なので、その4分の1が情報セキュリティ人材ということになりますが、全てのIT人材が情報セキュリティの基礎知識を修得するべきであるという意味では少なく、情報セキュリティ人材はその技術に特化した人材であるという意味では多すぎるように思います。情報セキュリティ人材不足として挙げられている数も本当にラフな推計に過ぎません(なので追加分析でこれほど数字が変わります)。こんな曖昧な数字を根拠にした政策決定は何とも言えぬ気持ち悪さが残ります。

もちろん、情報セキュリティ対策の必要性や、より多くの人材を育成する必要性そのものを否定するつもりはありません。周囲を見聞きする限りにおいても、経営層を含めて情報セキュリティの必要性の認知は高まっていると感じますし、通信事業者やSIerを中心に、インシデントレスポンスにおいて活躍できるような「高度な」情報セキュリティ人材は大変求められていると感じます。ただ、後者はいわゆるトップガン人材とその予備軍に対するニーズ、少数精鋭主義に基づくニーズであって、新・情報セキュリティ人材育成プログラムでは「高度な専門性及び突出した能力を有する人材」にあたります。一方、人数的にも層的にも最も厚みが必要なはずの「各企業においてITシステムを運用しその情報セキュリティを確実に確保する」ための人材、新・情報セキュリティ人材育成プログラムでは「企業等の実務者」と指摘する人材に対するニーズが、どうにも具体性をもって聞こえてきません。これは、そもそもそのような人材の必要性を感じている経営者が少ないためではないかと思います。

この意識の乖離は、そもそもITのユーザ企業におけるIT人材の必要性認知の欠如が原因なのだろうと思っています。日本には「餅は餅屋」ということわざがありますが、これに影響されたのか、各企業においてはコンピュータに関わることはSIer任せにするべきであり、内部に情報システム構築運用の実務者を抱え込む必要は無い、とする状況が生み出されて来ました。この状況下で発達した日本型SIという業態は、各企業においてはセキュリティに関する業務を責任とともに外部に丸投げして当たり前の風潮を作り出し、情報セキュリティを「SIサービスにおけるシステム運用のオマケ」にしてしまったのではないかと考えています。

この状況を巻き戻すには、ユーザ企業といえど小規模なシステムなら内製しうる程度にはIT人材を抱えるべきであり、その人材を生かしてシステム運用と適正な調達、そして情報セキュリティ対策とインシデントレスポンスをしていくべきであるという空気を作り出すしかないのではないでしょうか。言い換えれば、IPAの2つの文書に見られるIT人材と情報セキュリティ人材は、ユーザ企業においては同一のものであるべきではないでしょうか。そして、大学をはじめとする人材育成機関は、そのような人物像に必要なコアスキルをきちんと定義した上で、それが体系立てて修得できるカリキュラムを示すべきなのではないでしょうか。

焦点がぼやけた情報セキュリティ人材の不足を問題視されても、大学の立場としてはどのような人材を送り出すべきかはっきりしません。はっきりしないまま適当にスキルセットを定義して教育し、学生を送り出しても、企業が受け皿となってくれないとなれば学生がかわいそうです。我々は「現在圧倒的に不足しているのは【情報セキュリティ人材】ではなく、【情報セキュリティの基礎知識を有したIT人材】である」という認識から出発するべきなのではないかと思います。そして、そのような人材を各企業が内部に持つことによってITを活用した業務効率化と情報セキュリティの確保は両立しうる、と各企業の経営層に訴えていくべきでしょう。餅は餅屋の時代は終わりつつあります。今はよい餅つき器があるので、自分の家でついた方が旨いはずです。

【著作権は、上原氏に属します】