経済産業省
文字サイズ変更

サイバーセキュリティと経済 研究会(第3回)‐議事要旨

日時:平成23年3月3日(木曜日)14時30分~16時30分
場所:経済産業省本館17階西3 国際会議室

出席者

村井純委員長、山口英委員長代理、有村浩一委員、鵜飼裕司委員、内田仁史委員、遠藤直樹委員、小林和真委員、小屋晋吾委員、新誠一委員、神保謙委員、高倉弘喜委員、高橋正和委員、中尾康二委員、西本逸郎委員、藤井俊郎委員、下村正洋特別委員、名和利男特別委員

議題

  1. 情報セキュリティ人材の育成について
  2. その他

議事概要

冒頭、村井委員長より挨拶が述べられた。続いて、山口委員長代理、下村特別委員、名和特別委員より、各々の立場(高等教育機関、企業、ハイエンド人材・制御システム人材)からプレゼンテーションが行われた(資料3、4、5)。

また、事務局より、「ハッカー」という言葉を「システムコンピュータネットワークの内部動作を理解して解析する人」という悪意のない意味で使うことについて説明があった。これらを受けた自由討議の概要は以下のとおり。

  • 韓国のKISIAと会合をもったが、韓国から日本の技術は要らないようなことを言われた。日本の技術力の世界への展開アピールが少し落ちているのではないか。
  • 高校からも含めた教育現場と産業界のミスマッチをいかに改善していくか、ぜひ、この研究会から良い提言をしていただいて、予算を取って、ITKeysのようなアプローチでIT人材の育成を推進していただくようなことが重要ではないか。
  • セキュリティは実践的学問であり、実践的素材・データの大学への提供が重要で、業界の役割にそれがある。
  • 教育の話は10年、15年のスパン。色々なプロジェクトをやることはいいことだが、ある程度長くやるという覚悟を決めるというような予算設計、政策設計を出していかないと全部消えていってしまう。
  • 経済産業省から説明があった「ハッカー」という言葉について、その定義をポジティブに捉えることは、日本のセキュリティ業界にとって、グッドインパクトになる。感動している。報告書等にも記載して頂けるとよい。
  • 日本はR&Dのコアテクノロジーを海外から基本的に調達している。日本で高度な領域のセキュリティ技術を育成しておかないと今後テクノロジーは発展せず、産業が空洞化してしまう。この意味で、国際競争力をつけて、今後日本が世界と戦っていくために、人材育成といったところは急務になってくる。ただ人材育成に加えて、受け皿をしっかり作っておくということが必要。
  • 米国でリバースエンジニアリングを使っていたが、帰国してブレーキがかかった。リバースエンジニアリングを適法とする著作権法の改正について、一向に改正されない。
  • 情報セキュリティプロフェッショナルは、証券、銀行、航空といったシステムユーザー企業に少ないのではないか。このような企業では、数百のアプリケーションシステムがあるが、セキュリティの陳腐化等の悩みをよく聞く。このような一般の大企業に情報セキュリティプロフェッショナルをもっと増やしていくべき。
  • 一般企業で、最新のセキュリティ知識をキャッチアップするのは大変なのではないか。専門企業に依頼するのが良いとは思っている。業務とか会社の経営のことが分かって使用しているアプリケーションに必要なセキュリティの分かっている人を育てるべき。
  • 観点として必要だと思うのが、今後の情報セキュリティ人材のニーズの変化。今、求められるニーズだけで育成してしまうと数年後にどうなるのか。一般企業ではセキュリティの人材ニーズは減るかわりに、クラウドサービスプロバイダーのようなところにハイエンド人材が必要になるのではないか。数年後のニーズが、クラウドという流れの中でどういう風に変化するのかというところを見た上で、どういったセキュリティ人材を育てていくのか検討したほうがよい。
  • 人生の殆どでコンピュータをやってきているが、人材のニーズの変化を予測するのは困難であると直感。それでも、日本で本当に必要だと思う技術は、どんなにコストがかかっても、日本が開発し、それを維持する必要がある。クラウドもそうかもしれないが、何でも同じ所へ日本の企業が向かっていくのが果たしていいのか。
  • 必ずしもセキュリティ人材を全部外注化すればいいという風には思わない。その中で、どういう人材を育てれば、変化するニーズに耐えられるかというと、変化を経験してきた今までの人材とこれから経験していく人材の差異をできるだけ減らしていかないといけないと思うので、その点に注力して人材育成の考え方を持たないといけない。
  • 攻撃する人は自由にリバースエンジニアリングできて、防御する人はダメと言われると戦えない。その点に配慮した環境を教育、実践などのフェーズに分けて考えていくべき。
  • リバースエンジニアリングについては、法律と契約条項の2つの面があるが、脆弱性を報告した人を法的根拠をもって、訴えることはしていない。しかし、メーカーとして、契約条項にリバースエンジニアリングを禁じる条項は残さざるを得ない。
  • (事務局)アメリカの著作権法は、包括的なフェアユース規定があるが、日本の著作権法は違反にならない例外を列挙するスタイルになっているので、グレーという議論が出てくる。
  • クラッカー、ハッカーはオセロみたいに変わる可能性もある。ネガティブな意味ではなく、そうというところまで考えた上で、ハイエンド人材を育て、かつ、個人の倫理や名誉欲に頼らず、きちんと遇するということがセキュリティを守る上で必要があるということ。
  • 解析者、アプリケーション開発者は、単価は海外の方が安く、英語が通じ素早く実践配備できる。
  • ビジネスの世界で見ると日本発のセキュリティ技術はほぼ見かけない。ビジネス的にはアウトソースでいいが、技術が全ての海外のものでは国として懸念がある。日本としてやはりセキュリティ産業を育てる必要が別枠としてあるのではないか。
  • 一般企業、ベンダは一般社員のセキュリティスキル・リテラシーが上がって欲しいと思っている。また一般企業、ベンダが本当に欲しいものは自社のセキュリティがどうなっているのか、どう運営されているのか、どう改善していくのか、対外的にそれを説明しなければいけないCISOの存在。これを育てようと思ったときに、どう育てて良いのか分からないということはよく聞く。
  • インシデントレスポンスをする最初の初動は企業内でやらならければならず、リスクをコントロールするスキルは別途必要。
  • ユーザー企業の立場からは、ハイエンド人材は社内にいないし、そのような人材を遇せるようなキャリアパスは無い。国家安全保障などのハイエンド人材の目的を考えると、国レベルで高いスキルの人を処遇して、専門知識を活かせるような場と教育の場をもっていただきたい。民間企業、ユーザー企業はその枠組の中で、必要な人材というのを検討すべき。また、パスワードの攻撃といったことも知らないソフトウェア設計者がいまだにいるので、そういうことは、大学教育の中で教えてほしい。
  • 本当に必要なのは、そのセキュリティに限らず、技術的な事象若しくはそれ以外、経営に近いところについてもエンジニアリングという取り組み方でいられる人材が必要なのではないか。そのような視点で見ていかないと、変化する状況に対して適切な解を見つけていくことはできないのではないか。
  • 韓国のKAISTサイバーセキュリティ研究センターの開所の件は、米欧日の状況を学び国策として2年がかりで作ったもの。センターで人を育てて、受け皿になるような国の機関、企業も揃えているには悔しい。日本の場合は、プロジェクトのみを作っており、その後について知らぬふりである。
  • 日本企業のトップ経営者は、企業がITシステムにどれだけ依存しているのかを理解していないし、ITシステムは生産性をあげる道具であるというくらいの認識でしかない。情報セキュリティについても、情報システム部門に任せている経営者が非常に多い中で、ITシステムが今後、どのように企業に影響してくるのかをまずしっかり理解していないと情報セキュリティ人材の民間への活用というのは進んでいかない。そういうための政策であるとか考え方を広めていただきたい。喚起していかなければならない。
  • 韓国は国を挙げてグローバルに戦うという覚悟がある。国の意志、企業の意志もある。情報セキュリティの人材育成は覚悟が必要。なんとなく必要というレベルでは進んでいかない。
  • 5~7年のタイミングで環境が変化している中で、教育機関として産業界のニーズにうまく合わせることに難しい面あり。一方、ITKeysで産業界とのコミュニケーションがとれるようになってきた。ITKeysは、最終的には国の予算がなくてもやるつもりである。
  • 高校教育は入試しかターゲットにしておらず、きちんとした教育をしていない。大学では就職活動が早くなって、先生は内定があるので、卒業させてしまう。大学院はもともと専門性の高い教育を提供する機関であるにもかかわらず、教養やビジネスエチケットを含めた基本的なことを再教育せざるを得ない。大学教育をもう一回見直して、その中で人材育成を含めたプログラムを見直す必要があるのではないか。
  • 技術をもった人間が必要だということと同時に、それをきちんと遇する社会を作っていかなければ、単に育成するだけだと何を育成するのかわからなくなってしまう。今の話を踏まえるとそう思う。
  • 能力を持つということと、その能力を適切に使っていくという視点というのは、とても大事。そこに道徳と法的な枠組みなりの教育も併せてやっていくのもいいのではないか。
  • 海外から優秀な人、技術の部分だけで導入するということをやっていると、オセロのようにひっくり返ってしまうという問題もあるので、受け皿の議論は重要。経営とか倫理感とか社会に対する責任っていうのを両方持った人になってもらわないといけない。
  • 高等教育の役割もセキュリティ人材教育という観点では大事で、教育が責任を持っている。
  • 情報セキュリティでエンジニアリングの考え方もコスト、効率、人材の価値をどう考えるという点で、大事。
  • 日本でなければいけないというのが何であるのかというのは、ちゃんと定義をしていく必要がある。例えば、グローバル情報社会の情報セキュリティに関する日本の責任という風に考えると、日本でなければできないクオリティとかやはりあると思う。
  • 高度なセキュリティ人材の育成、受け皿について官民の役割というのは、大きな課題であり、引き続き検討していく必要がある。
  • (事務局)「情報セキュリティ2010」に「著作権法上の適法性の明確化をするための措置を速やかに講ずる」と決められている。本日の話を受け、担当省庁に働きかけをしていく。

問い合わせ先

経済産業省商務情報政策局情報セキュリティ政策室
電話:03-3501-1253
FAX:03-3501-6639

関連リンク

 
 
最終更新日:2011年3月30日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.