Comments
Description
Transcript
平成 22 年度 情報セキュリティに係る人材育成・確保 及び普及啓発
平成 22 年度内閣官房 情報セキュリティセンター 委託調査 平成 22 年度 情報セキュリティに係る人材育成・確保 及び普及啓発に関する調査・検討 報告書 2011 年3月 株式会社 NTT データ経営研究所 目次 (本篇) 1. 本調査・検討の背景と目的 ........................................ 1 1.1. 背景 ........................................................ 1 1.2. 目的 ........................................................ 1 2. 情報セキュリティの普及啓発の在り方及び方策 ...................... 2 2.1. 情報セキュリティの普及啓発の意義 ............................ 2 2.2. 情報セキュリティの普及啓発状況 .............................. 3 2.2.1. 日本の状況 .............................................. 3 2.2.2. 海外の状況 ............................................. 15 2.3. 情報セキュリティの普及啓発の現状及び課題の抽出 ............. 17 2.3.1. 課題抽出のフレーム ..................................... 17 2.3.2. 現状及び課題 ........................................... 18 2.4. 情報セキュリティの普及啓発の課題への解決策の提案 ........... 24 2.4.1. 課題への解決策 ......................................... 24 2.4.2. 今後検討すべき課題 ..................................... 38 3. 情報セキュリティ人材の育成・確保方策 ........................... 39 3.1. 情報セキュリティ人材の必要性 ............................... 39 3.1.1. 情報活用と情報セキュリティ ............................. 39 3.1.2. 社会環境と情報セキュリティ ............................. 39 3.2. 情報セキュリティ人材の育成状況 ............................. 41 3.2.1. 日本の状況 ............................................. 41 3.2.2. 海外の状況 ............................................. 45 3.3. 情報セキュリティ人材の育成確保の現状及び課題の抽出 ......... 46 3.3.1. 求められる人材像 ....................................... 46 3.3.2. 現状及び課題 ........................................... 3.4. 情報セキュリティ人材の育成確保の課題への解決策の提案 ....... 3.4.1. 課題への解決の方向性 ................................... 3.4.2. 工程表 ................................................. 3.4.3. 施策の例示 ............................................. 4. おわりに ....................................................... 48 52 52 54 55 66 (参考篇) I. 事務局検討資料 ................................................. I.I. 調査・検討の流れ ........................................... I.II. 検討会の実施 ............................................... I.III. 情報セキュリティの普及啓発の在り方及び方策における検討 ... I.III.I. 普及啓発の検討要素 ................................... I.III.II. 注力領域 ............................................. 委員名簿 参考1「情報セキュリティに関する普及・啓発活動の調査結果」 参考2「情報セキュリティに関する人材育成活動の調査結果」 67 67 70 71 71 72 1. 本調査・検討の背景と目的 1.1.背景 情報セキュリティ政策会議(2010 年 5 月 11 日)において決定された「国民 を守る情報セキュリティ戦略」では、新たな環境変化に対応した情報セキュリ ティ政策の強化を行うことが定められた。この強化政策では、次の 2 点が示さ れている。 国民・ユーザ保護の強化として「普及・啓発活動の充実・強化」の 取り組み 技術戦略の推進等として「情報セキュリティ人材の育成」の取り組 み 上記戦略を受けて「情報セキュリティ 2010(情報セキュリティ政策会議 24 回会合決定 第 同年 7 月 22 日)」では、内閣官房が情報セキュリティの普及・ 啓発手法の検討と情報セキュリティ人材育成に関する工程表を策定すること となった。 1.2.目的 本調査・検討は、「国民を守る情報セキュリティ戦略」及び「情報セキュリ ティ 2010」を受けて、「普及・啓発活動の充実・強化」及び「情報セキュリテ ィ人材の育成」の取り組みについて、情報セキュリティ人材を取り巻く現状や 課題等についての調査、分析を行ったうえで、今後の情報セキュリティ人材の 育成・確保及び普及啓発に関する政策の在り方を明らかにするものである。 本調査・検討では、昨今の情報セキュリティ情勢を踏まえ、各方面からの具 体的な課題の検討と、実施すべき人材育成・確保及び普及啓発に関する課題の 抽出を行ったうえで、政府が緊急的に取り組むべき課題について、有識者によ る検討を行う。 本調査・検討は、政府が推進すべき人材育成及び普及啓発に関する施策の立 案の起点となることを目的とする。 1 2. 情報セキュリティの普及啓発の在り方及び方策 2.1.情報セキュリティの普及啓発の意義 IT 及び IT を利用したサービス(以下、IT サービス)は、日々進化を続け 社会に新たな変革をもたらしている。IT の進化及び IT がもたらす変革は、 従来のセキュリティ上の課題を解決する一方で、別の課題を新たに発生させ ている。このように情報セキュリティには解決しなければならない課題が時 間とともに移り変わる「Moving Target」と呼ばれる特徴がある。そのため、 時間とともに変わる情報セキュリティ上のリスクからユーザが自らの身を 守る知識を身につけられるよう、情報セキュリティの普及・啓発を継続的に 行う必要がある。 IT サービスの仕組みは様々な技術や仕掛けを複合的に利用していること から、その仕組みが変化すればリスクも変化する。しかし、ユーザはそこで 利用されている仕組みを理解せずにサービスを享受するため、ユーザはその 仕組みが持つリスクによって、被害を受ける可能性がある。したがって、時 代に応じたサービスごとの仕組みの理解について、継続的な普及啓発が必要 である。 一方で、仕組みは個々のサービスによって異なるが、便利なモノにはリス クが伴うという情報セキュリティの本質は、全てのサービスに共通する。こ のようなリスク認識をユーザが持てば、新しい IT サービスを利用する都度、 ユーザ自身が自発的に注意を払うことが期待できる。このことから、情報セ キュリティの本質を教えるという普遍的な普及活動が必要となっている。 以上を踏まえて本調査・検討では情報セキュリティの普及啓発の意義を以 下のとおり定義する。 「IT サービスの仕組みと情報セキュリティの本質の両方を国民(ユーザ) に啓発することによって、ユーザがセキュアな行動様式を持ち、IT サービス の変化に自発的に対応できるようになること」 2 2.2.情報セキュリティの普及啓発状況 2.2.1. 日本の状況 (1) IT 環境 ユーザを取り巻く IT 環境は、ブログやソーシャルネットワークサービス(以 下、SNS)等の新しいサービスやクラウドコンピューティングの利用拡大予測 に見られるように、新しい IT の活用方法が浸透・進展しつつあり、従来以上 に多様化が予測される(図 1、図 2、図 3、図 4 参照)。 インターネット利用者の増加と通信環境の大容量化・多様化 インターネットの人口普及率の漸増 ブロードバンド契約数の増加 漸増 増加 出典:総務省「平成21年通信利用動向調査」 図 1 出典:総務省「電気通信サービスの契約数及び シェアに関する四半期データの公表」 (平成21年度第3四半期(12月末)) IT 利用シーンの多様化1 ソーシャルメディアの利用の高まり 過半数が 利用を経験 今後、利用者 拡大の 可能性 出典:総務省「ソーシャルメディアの利用実態に関する調査研究」(平成22年) 図 2 ソーシャルメディアの利用の高まり2 1 出典:総務省「平成 21 年通信利用動向調査」 、 「電気通信サービスの契約数及びシェアに関する四半期デ ータの公表」(平成 21 年度第 3 四半期(12 月末) ) 3 図 3 ASP・SaaS/クラウドの利用拡大の予測3 テレワーク導入の進展 増 加 出典:総務省「平成21年通信利用動向調査」 図 4 2 3 4 テレワーク導入の進展4 出典:総務省「ソーシャルメディアの利用実態に関する調査研究」(平成 22 年) 出典:IDC Japan プレスリリース「国内クラウドサービス市場予測を発表」(2010 年 9 月) 出典:総務省「平成 21 年通信利用動向調査」 4 また、インターネット利用端末等のデバイス環境については、モバイルの 利用拡大が進んでいるほか、従来の携帯電話に加えてスマートフォンの利用 が増えるなど、デバイスの多様化が進んでいる(図 5、図 6、図 7、図 8 参 照)。 インターネット利用端末の多様化 出典:総務省「平成21年通信利用動向調査」 図 5 図 6 インターネット利用端末環境の多様化5 国内スマートフォン市場規模推移と予測6 5 出典:総務省「平成 21 年通信利用動向調査」 (予)は予測値(2010 年 4 月現在) 出典: 矢野経済研究所「スマートフォン市場に関する調査結果 2010」(2010 年 5 月 11 日) 6 5 図 7 スマートフォン市場(出荷台数・契約数)の推移・予測(2010 年 12 月予測)7 図 8 国内スマートフォン/タブレット型端末の増加予測8 7 出典:㈱MM総研調べ「スマートフォン市場規模の推移・予測(2010 年 12 月)」 出典:㈱シード・プランニング調べ・予測「2010-2011 年版 スマートフォン/iPad(タブレット)の市 場展望」2010 年 9 月 9 日プレスリリース 8 6 加えて、サービスやプラットフォームの提供主体は、国内メーカの市場シ ェアよりも、海外メーカが6割以上のシェアを持つ状況に進んでいる(図 9 参照)。 サービスやプラットフォームのグローバル化が進んでいる 海外から提供されるサービスの状況 2010年現在、スマートフォンの6割が海外メーカ 海外のSNSの国内利用の進展の例 2008年5月 Facebook日本語版リリース 2009年11月 ユニークユーザが1年で4倍の 139万人まで増加 2010年10月 Facebookとmixiが連携を開始 Facebookへの投稿がmixiへ反映される 機能をFacebook側が提供 国境をまたいでユーザがサービスを利用す る環境が今後も増えてくると予想される クラウド環境では既にSalesForce.com、アマ ゾンEC2、gmailに代表されるように、国内法 人はあるものの、サービスが国内法令がお よばない海外から提供されるケースやサー バやデータが海外に移転するケースが増え ると予想される 図 9 出典:MM総研 2010年度上期 国内スマートフォン出荷台数シェア IT 環境のグローバル化9 このような IT 環境の変化に伴い、IT サービスに関する情報セキュリティの 取り組みは、サービスやプラットフォームのグローバル化を踏まえた対応が 必要な状況にあるといえる。 9 出典(円グラフ):㈱MM総研調べ「2010 年度上期国内携帯電話端末出荷概況(2010 年 10 月 26 日) 」 7 (2) 情報セキュリティリスクに対する取り組み実態 情報セキュリティに関するトラブルの発生率は下げ止まり傾向にある一方 で、コンピュータウイルスの発生率は依然として高く、ウイルスや攻撃の種 類が多様化している。また、当事者の注意不足による情報漏えいも未だに発 生している(図 10、図 11 参照)。 情報セキュリティトラブルの発生状況 下げ止 まり 高い 発生状況 うっかり情報 漏洩も未だに 発生 出典:経済産業省「平成21年情報処理実態調査結果報告書」 図 10 10 情報セキュリティトラブルの発生状況10 出典:経済産業省「平成 21 年情報処理実態調査結果報告書」 8 情報セキュリティの潮流※ 高い 発生状況 うっかり情報 漏洩も未だに 発生 マルウェア/スパイウェア 継続して高い発生 ボット 減少傾向 フィッシング詐欺 海外動向から、日本で も拡大が予測 不正アクセス 増加傾向 標的型攻撃 海外動向から、日本で も拡大が予測 ワンクリック不正請求 増加傾向 偽セキュリティ対策ソフト 増加傾向 うっかり情報漏洩 以前より減少したが、 高止まり傾向 ※NTTデータ経営研究所調べ 図 11 11 情報セキュリティの潮流11 出典:NTT データ経営研究所調べ 9 一方、警察における相談受理件数及び検挙件数を比較すると、平成 17 年と平 成 21 年の相談件数は同程度であるにも関わらず、検挙件数は 2 倍となってい る。これらの状況から、サイバー空間の安全性を確保する政府の取り組みは 一定の効果を出しているものと考えられる(図 12、図 13 参照)。 同程度の相談件数 出典:警察庁「平成21年度中のサイバー犯罪の検挙状況等について」 図 12 都道府県警察における相談受理件数の推移12 増加 出典:警察庁「平成21年度中のサイバー犯罪の検挙状況等について」 図 13 12 13 検挙件数の推移13 出典:警察庁「平成21年度中のサイバー犯罪の検挙状況等について」 出典:警察庁「平成21年度中のサイバー犯罪の検挙状況等について」 10 また、図 14 にあるように、世帯及び企業におけるユーザ側の情報セキュリテ ィ対策意識及び情報セキュリティ対策状況は過半数以上が実施しており総じて 向上している状況にある。ただし、図 15 の年代及びパソコン習熟度による層 別の比較では、15 歳~19 歳の若年層及びパソコン習熟度初級レベルの層は、他 の層に比べるとセキュリティ対策の実施率が低い状況が読み取れる。さらに、 図 14 では実施状況が十分と言えない情報セキュリティ対策も未だに存在して いることが分かる。ユーザの情報セキュリティ意識の実態調査である図 16 から は、情報セキュリティ対策を強く意識している人が全体の 80%を超えるなかで、 意識していない層も未だに 2%程度存在していることが示されている。 情報セキュリティ対策の実施状況 ①世帯 過半数が 実施 取組余地 有り ②企業 過半数が 実施 取組余地 有り 出典:総務省「平成21年 通信利用動向調査」(平成22年4月) 図 14 14 出典:総務省「平成21年 情報セキュリティ対策の実施状況14 通信利用動向調査」(平成 22 年 4 月) 11 図 15 情報セキュリティ対策の年代及びパソコン習熟度による層別比較15 15 出典:情報処理推進機構「2009 年版情報セキュリティの脅威に対する意識調査 加工 12 報告書」を参考に編集・ 情報セキュリティ対策の必要性 必要性は3年間でともに80%を 超えているが、年々強く意識する 傾向にある 強く意識している人が大半を占 める中、意識していない層もま だ存在している 出典:警察庁「不正アクセス行為対策等の実態調査 報告書」(平成22年2月) 図 16 情報セキュリティ対策の必要性16 これらの状況を鑑みると、IT 利用環境は常にウイルス等の新たな脅威にさ らされているため、若年層及び初心者層による情報セキュリティ対策の実施 が必要な状況にあるといえる。 16 出典:警察庁「不正アクセス行為対策等の実態調査 13 報告書」(平成 22 年 2 月) (3) 情報セキュリティの普及啓発活動 情報セキュリティの普及啓発活動の調査17結果を図 17 に整理する。政府機 関や情報セキュリティに関連する研究機関及び民間企業は、ビジネスユーザ 及びホームユーザに対して、国民・ユーザ全体を網羅した取り組みを行って いる状況がうかがえる。 普及・啓発の対象 ビジネスユーザ 企業全般 大企業 中小企業 専門家* ホームユーザ 大学 小中高校 教職員 子供・ 保護者 高齢者 政府機関 普及・ 啓発活動の主体 内閣官房 ○ - - - ○ - - - - - 総務省 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 経済産業省 ○ - ○ ○ ○ ○ ○ ○ ○ - 文部科学省 - - - - - ○ ○ ○ ○ - 警察庁 ○ ○ ○ ○ ○ ○ ○ ○ ○ - 中小企業庁 ○ - ○ - - - - - - - 地方自治体 ○ - ○ - ○ - - - ○ ○ 国民生活センター - - - - ○ - - - - - 研究機関 IPA ○ - ○ ○ ○ ○ ○ - - JNSA ○ ○ ○ - ○ - ○ ○ ○ - JPCERT/CC ○ ○ ○ ○ ○ - - - - - SPREAD ○ - - ○ - - - - - ○ JPNIC ○ - - ○ - - - - - - フィッシング対策協議会 - - - ○ ○ - - - - - 関連する民間企業 ISPベンダ ○ - - - ○ - - - - OSベンダー ○ - - - ○ - ○ - ○ - セキュリティアプリベンダー ○ - - - ○ - - - - - ポータル事業者 ○ - - - ○ - ○ ○ ○ - 携帯事業者 - - - - - - ○ ○ ○ ○ 【凡例】 ○:普及啓発活動を実施 -:実施していない/不明 (調査結果に基づく) *専門家・・企業の情報セキュリティ担当者や高度情報セキュリティ人材などを対象とする 図 17 情報セキュリティの普及啓発活動状況18 これら(1)から(3)で示した情報セキュリティの普及啓発活動と IT 環境の 多様性及び情報セキュリティリスクに対する取り組みから、日本における情報 セキュリティの普及啓発として以下の示唆が得られた。 情報セキュリティ対策を意識しているユーザは、情報セキュリティの普 及啓発は十分認知された状況 IT 環境の変化や新種のウイルス等が常に発生している IT 利用環境の特 徴を踏まえた場合のユーザに対する情報セキュリティ対策の取り組み 余地の存在 情報セキュリティの普及啓発は、情報セキュリティ対策を意識していな い層や若年層及びパソコンスキルの低い層には行き届かない状況 17 18 調査結果は、参考1「情報セキュリティに関する普及啓発活動の調査結果」を参照 出典:NTT データ経営研究所調べ 14 2.2.2. 海外の状況19 諸外国においても政府機関が主導して普及啓発に取り組んでいる。具体的 には以下のような取り組みがある。 IT 利用時のリスクへの気付きを促す情報提供 保護者が家庭で子供とともに勉強できるセルフアセスメントシートの提供 普及啓発の実施者向けに教材やポスター等セキュリティ・ツールキットの 提供 (1) IT 利用時のリスクへの気付きを促す情報提供 米国では、 「STOP. THINK. CONNECT.」と題したグローバルキャンペーンを、 民間企業、非営利組織、政府機関が連携した取り組みを行っている。 EU では、ENISA20が一般市民や企業、公共団体向けに、情報セキュリティの 意識向上を目的とした、IT 分野におけるセキュリティ確保とリスクマネジメ ントのベストプラクティス(ENISA’s ten security awareness good practices) の提供による情報セキュリティに関する普及啓発活動を行っている。 ドイツでは、BSI21が一般市民や中小企業、公共団体向けに、各種パッチ情 報の提供といった情報セキュリティに関する普及啓発活動を行っている。 (2) 保護者が家庭で子供とともに勉強できるセルフアセスメントシートの提 供 米国では、連邦中央政府及び州政府等の機関(DHS22、NCSA23、MS-ISAC24等) が主導して、一般市民や企業、学校・公共団体向けに、Web 上でのビデオ動画 による学習やセルフアセスメントの提供によるリスク意識の向上活動を行っ ている。 19 調査結果の詳細は、参考1「情報セキュリティに関する普及啓発活動の調査結果」参照 European Network and information Security Agency(欧州ネットワーク情報セキュリティ庁) (http://www.enisa.europa.eu/) 21 Bundesamt für Sicherheit in der Informationstechnik(情報セキュリティ庁) (https: //www.bsi-fuer-buerger.de/) 22 Department of Homeland Security(アメリカ国土安全保障省) (http://www.dhs.gov/index.shtm) 23 National Cyber Security Alliance (http://www.staysafeonline.org/) 24 Multi-State Information Sharing and Analysis Center (http://www.msisac.org/) 20 15 (3) 普及啓発の実施者向けに教材やポスター等セキュリティ・ツールキット の提供 米国では、連邦中央政府及び州政府等の機関(DHS25、NCSA26、MS-ISAC27等) が主導して、一般市民や企業、学校・公共団体向けに、ダウンロード可能な 情報セキュリティに関する各種教材等のセキュリティ・ツールキットを提供 している。 ドイツでは、BSI28が一般市民や中小企業、公共団体向けに、Web 上でのビデ オ動画による学習やダウンロード可能な各種セキュリティ対策ツールを提供 している。 25 Department of Homeland Security(アメリカ国土安全保障省) (http://www.dhs.gov/index.shtm) National Cyber Security Alliance (http://www.staysafeonline.org/) 27 Multi-State Information Sharing and Analysis Center (http://www.msisac.org/) 28 Bundesamt für Sicherheit in der Informationstechnik(情報セキュリティ庁) (https: //www.bsi-fuer-buerger.de/) 26 16 2.3.情報セキュリティの普及啓発の現状及び課題の抽出 2.3.1. 課題抽出のフレーム 課題抽出を行うために対象を以下のとおり区分する。 ホームユーザ(若年層) 私的用途に IT サービスを利用する者のうち、小学校・中学校・ 高等学校就学中の者 ホームユーザ(成人層) 私的用途に IT サービスを利用する者のうち、ホームユーザ(若 年層)以外の成人の者 ビジネスユーザ ビジネス用途に IT サービスを利用する者 基盤 IT サービスを利用する者のセキュリティ意識に直接的・間接的 に影響を及ぼす周辺環境 17 2.3.2. 現状及び課題 本節では、情報セキュリティの普及啓発手法を検討するにあたり、前節で 区分した各対象について、現状及び課題を提示する。 (1) ホームユーザ(若年層) 若年層を取り巻く IT サービスの利用及び普及啓発の現状は、以下の 2 点が 認められる。 <現状> ①リスク及び仕組みの認識不足 IT の普及とインターネット利用端末の多様化によって若年層の うちから気軽に IT サービスに触れる機会が提供されている。しか し、若年層は IT サービスの仕組みの理解やリスクの存在の認知が 低い状態で、ブログや SNS 等の IT サービスを利用する状況が増加 している。 ② 学校教師のリテラシー・知識不足 学校教育では、教える側である学校教師の IT や情報セキュリテ ィ等の情報教育に関するリテラシーや知識がまだ十分とは言い難 い状況にある。このため、若年層向けの情報セキュリティに関する 教育は、教える側に当該分野に関する重要性の理解不足という問題 が認められる。 18 以上を受けて、課題は以下の 3 点を設定する。 <課題> Ⅰ:情報セキュリティの本質及び仕組みの教育 <現状>①を改善するため、若年層の IT サービスの利用状況と発 達段階に応じて、低学年の段階から情報セキュリティの本質の考え 方や IT サービスの仕組みを教える必要がある。 Ⅱ:学校教師のリテラシー・知識の向上 <現状>②を改善するため、若年層への教育は、教える側である学 校教師のリテラシーや知識の向上と、その促進のために、教育を推 進する組織の長や学校教師が所属する組織の長に対する普及啓発 が必要である。 Ⅲ:家庭における情報セキュリティ教育の重要性認識の向上 <現状>②を改善するため、若年層については家庭における情報セ キュリティ教育の役割も重要であることを認識した取り組みが必 要である。 19 (2) ホームユーザ(成人層) 成人層を取り巻く IT サービスの利用及び普及啓発の現状は、以下の 3 点が 認められる。 <現状> ①IT リテラシーのばらつき 成人層は、自分たちが社会生活や経済活動を通じて経験してきた IT 利用環境やリテラシー獲得機会等のバックグラウンドに応じて、 情報セキュリティ対策の認識度合いにばらつきがある。 ②仕組みの理解不足 年齢層に関係なく新しい IT サービスのユーザはその仕組みを知 らずに利用している場合が多いため、IT サービスに内包するリスク にさらされている状況にある。 ③IT の進化に追従し続けることの難しさ 情報セキュリティの Moving Target という性質から、対応すべき ことが時間とともに移り変わるため、多様性がある個々の IT サー ビスの仕組みを網羅的に教えることは困難な状況である。 以上を受けて、課題は以下の 2 点を設定する。 <課題> Ⅰ:仕組みの理解を促す啓発 <現状>①②を改善するため、過去に IT リテラシーの向上機会を 得られなかった人に対しては、情報セキュリティに関する知識レベ ルをあるべき水準まで引き上げるために、IT サービスの仕組みを知 る機会を与える必要がある。 Ⅱ:情報セキュリティの本質の理解を促す啓発 <現状>③を改善するため、情報セキュリティの本質であるリスク 認識の考え方や自身の利用する IT サービスのリスクを知る機会を 与える必要がある。 20 (3) ビジネスユーザ ビジネスユーザを取り巻く IT サービスの利用及び普及啓発の現状は、以下 の 2 点が認められる。 <現状> ①モチベーションの低下 現在の日本ではビジネスユーザ個人に対する、情報セキュリティ 事故発生への責任追及や損害賠償等のペナルティが弱く、インセン ティブがあまりないため、企業の情報セキュリティの取り組みに対 するモチベーションが低い状況にある。 ②企業内教育における対象者のミスマッチ 企業には大小様々な規模や事業形態が存在しているが、情報セキ ュリティトラブルの発生は規模の大小にかかわらず、顧客情報等、 保有する情報や管理体制によってバラバラである。また、多くの企 業において、顧客対応に接点を持つ者は企業経営者や組織の長とい うよりも、多くの場合一般社員や派遣社員であることが多い。また、 スーパーマーケットやコンビニエンスストア等の店舗においては、 パート従業員やアルバイト従業員であることが多い。 このため、経営者は社員のみならず、会社で働く全ての従業員を 対象に、情報セキュリティ教育を実施する必要がある。しかし、現 状では、必ずしも実施できていない状況にある。 以上を受けて、以下に課題を設定する。 <課題> Ⅰ:経営層への啓発 <現状>①②を改善するため、企業における情報セキュリティ対策 の必要性を組織の長が認識したうえで、企業内で働く全ての従業員 に企業ガバナンスの仕組み活用を前提とした情報セキュリティ対 策を浸透させる環境づくりを行う必要がある。 21 (4) 基盤 基盤については、以下の 4 点に IT サービスの利用及び普及啓発の現状を整 理できる。 <現状> ①対策指針等の認知不足 情報セキュリティ対策の取り組みとして、何をどこまで実施する 必要があるのかが不明であるため、企業やユーザの情報セキュリテ ィの取り組みが進まない状況にある。 ②リスクの周知不足 IT サービスがどのようなリスクを伴っているのか、またどのよう な対策が施されているのか、を公表する仕組みがないため、IT に関 する仕組みを知らないユーザは、リスクを認識・判断して IT サー ビスを選択することができない。 ③相談窓口の認知不足 情報セキュリティトラブルが発生した場合、どこに連絡や相談を すべきかについてのユーザの認知が低い。また、ユーザに的確な連 絡・相談先を認知させる環境がない。 ④普及啓発に関する効果測定の仕組みの欠如 ユーザの情報セキュリティに関する認知度を把握・評価する効果 測定の仕組みがないため、普及啓発の施策を検討することが困難な 状況にある。 以上を受けて、課題は以下の 4 点を設定する。 <課題> Ⅰ:対策指針・基準等の整備・周知 <現状>①を改善するため、最低限取り組むべき情報セキュリティ 対策に関する指針等の基盤構築が必要である。 22 Ⅱ:リスクをユーザに周知する仕組みの整備 <現状>②を改善するため、IT サービスが持つ情報セキュリティリ スクについて、万人が容易に理解できるような環境基盤を構築する 必要がある。 Ⅲ:相談窓口の整備・周知 <現状>③を改善するため、情報セキュリティトラブルの発生対応 窓口の一元化、若しくは対応体制の整備が必要である。 Ⅳ:普及啓発に関する効果測定の仕組みの整備 <現状>④を改善するため、普及啓発の効果を測定する仕組みの整 備が必要である。 23 2.4.情報セキュリティの普及啓発の課題への解決策の提案 「2.3.2 現状及び課題」で設定した課題の解決策を以下に示す。本章に記載 する施策は検討会での議論を踏まえた具体例であり、課題解決の方向性を今後 さらに施策として具体化する際の参考となる。 2.4.1. 課題への解決策 本節では、前節で対象ごとに検討した課題への解決の方向性を示したうえ で、具体的方策を提示する。 (1) ホームユーザ(若年層) 若年層向け情報セキュリティの普及啓発では、若年層の生活圏として中心 的な場である学校と家庭に焦点をあてて、「2.1 情報セキュリティの普及啓発 の意義」で整理した情報セキュリティの本質と仕組みについて教育すること を検討する。 このとき、危険なものには近づかないことを中心に記載した内容に偏りす ぎた教育は IT 利用そのものを阻害する可能性があるため、ケーススタディに 基づいた情報セキュリティの本質を教えることが有効と考える。そのうえで、 発達段階に応じた教材・手法を用いる必要がある。併せて、若年層に情報セ キュリティを教える側の学校教師や保護者のリテラシーや知識を高める必要 がある。 このような考えに沿って、若年層向け情報セキュリティの普及啓発は、 「情 報安全教育」の枠組みに組み込むことによって、教育の現場に過度な負荷を かけないよう配慮する。そのうえで、学校教師・保護者・校長及び副校長等 の管理職に対する普及啓発と、現場での教育を支えるための教材・ツールの 提供を検討する。 具体的には、以下の 3 点を解決の方向性とする。 <解決の方向性> ① 情報セキュリティの本質及び仕組みの教育 課題Ⅰを解決するため、学校では小・中・高校生それぞれの発達 段階に応じて、身近な IT サービスの利用シーンを取り込んだ教材 を活用して教育を行う。 24 ②学校教師の IT リテラシー・知識の向上 課題Ⅱを解決するため、学校教師の IT リテラシーや知識不足を補 強する取り組み、及び学校組織の長である校長及び副校長等の管理 職に情報セキュリティ教育の重要性を訴求する取り組みを行う。 学校教師に対する IT リテラシー・知識向上 デジタル・ネイティブ世代29である現代の若年層に対して情報セ キュリティ教育を行うには、若年層が使いこなしているような IT リテラシーや知識を学校教師も保有若しくは理解しておくことが 必要である。指導者として理解・保有しているべき情報セキュリ ティ指導上のポイントを記載した指導要領を学校教師向けに用意 するなどが考えられる。 教育関係者に対する情報セキュリティ教育の重要性認知向上 教育の現場において情報セキュリティ教育を実施するには、教 育委員会や校長及び副校長等の管理職の理解と認識が不可欠であ ることから、これらの教育の重要性に関する認知度を向上する取 り組みが考えられる。 ③家庭における情報セキュリティ教育の重要性認識の向上 課題Ⅲを解決するため、学校から保護者に対して、情報セキュリテ ィ教育への家庭の協力について働きかけを行う。 保護者に対する情報発信 若年層は家庭で過ごす時間が多いことから、保護者の役割は学 校教師と同じ役割であると考える。そこで、家庭に情報セキュリ ティ教育への協力を促すために、保護者に対して学校から情報を 提供する機会や場を設定したうえで、情報発信を行うことが考え られる。 29 デジタル・ネイティブ世代とは、PC や携帯電話等の IT 機器や SNS(ソーシャル・ネットワーキング・サ ービス)等の IT サービスをごくあたり前のように使いこなす世代のことを意味する。 (出典:日経コン ピュータ(2011 年 2 月 3 日号) ) 25 <具体的方策> 具体例として、以下の枠組みの下で方策を講じることが考えられる。 政府機関 地方自治体 (都道府県⇒市町村) 教育委員会が情報セキュリティ視点 から取組むための実施スキームを整備 各自治体管轄の 校長及び副校長等 の管理職 若年層教育の 重要性を理解 教育委員会 情報安全教育 の重要性理解 啓発 学校教師 中身の 提供 若年層 中身の提供 教育サービス機関 若年層教育の 方法を理解 ②-1小学生 ②-2中学生 ②-3高校生 ③ 家庭内教育 の重要性理解 保護者 情報セキュリティ の認知度向上 家庭内教育 内容の理解 ①-1:学校校長及び副校長等の管理職向け方策 教育委員会は、校長及び副校長等の管理職に対して「教育の情報化 に関する手引30 」に基づいた情報セキュリティに関する若年層教育の 取り組みの重要性及び必要性について、校長会や副校長会等の連絡会 の場において研修を行う。 ①-2:学校教師向け方策 教育委員会は、学校教師に対して、情報セキュリティに関する若 年層教育の取り組みの内容や指導上の要点を記載した「教育の情報化 に関する手引」に基づいた指導要請を行う。 ②-1:小学生向け方策 小学生向けには、学校教師が「教育の情報化に関する手引」に基づ いて、情報セキュリティの基礎知識教育を「総合的な学習の時間」等 の機会において、低学年、中学年、高学年の発達段階を念頭において 適切な時期に実施する。 教材は従来からの文字中心のテキスト型にとらわれないものとする。 30 「教育の情報化に関する手引」について(平成 22 年 10 月 29 日) 参照 http: //www.mext.go.jp/a_menu/shotou/zyouhou/1259413.htm 26 IT の普及やその他のメディアの普及に伴い、DVD や動画配信サイト等 映像型の教材や参加者の意識に働きかける体験型授業等の若年層が親 しみやすく理解しやすい教材の形式を考える。教材の内容は、発達段 階を考慮して基本的な注意を促すことを中心としたものを想定する。 現行においては「総合的な学習の時間」等で扱うことが考えられる。 ②-2:中学生向け方策 中学生向けには、学校教師が「教育の情報化に関する手引」に基づ いて、中学生にとって身近なケーススタディを用い、情報社会におけ るサービスの利便性とリスクを認識したうえで、IT サービスの利用方 法の判断を自身で行うことを可能とする授業を適切な時期に行う。 教材は従来からの文字中心のテキスト型にとらわれないものとす る。IT の普及やその他のメディアの普及に伴い、DVD や動画配信サイ ト等映像型の教材や参加者の意識に働きかける体験型授業等の若年 層が親しみやすく理解しやすい教材の形式を考える。 現行の教育課程においては「技術・家庭」科などで扱うことが考え られる。 ②-3:高校生向け方策 高校生向けには、学校教師が「教育の情報化に関する手引」に基づ いて、高校生の生活範囲を考慮したケーススタディ及び課題解決型 学習を中心に授業を行う。具体的には、個人情報漏えい等の法的リス クや、フィッシング詐欺のような金銭的被害、インターネット上で の出会いによる生命身体に関わる被害等のケースを題材として、IT サ ービスを利用した社会生活のなかでどのようにリスクをヘッジする のか自衛の方法を教える。実施は、必履修教科「情報」などで扱うこ とを想定する。 教材は従来からの文字中心のテキスト型にとらわれないものとす る。IT の普及やその他のメディアの普及に伴い、DVD や動画配信サイ ト等映像型の教材や参加者の意識に働きかける体験型授業等の若年 層が親しみやすく理解しやすい教材形式を考える。 ③:保護者向け方策 学校教師は、携帯電話のメール等による保護者の連絡網を活用する 等して、保護者が子供の情報セキュリティに関する日常の行動に関心 27 を持つように情報発信する。「学校便り」などの連絡手段を利用して 情報セキュリティに関する話題を記載する。 情報提供の機会や場としては既存の仕組みを活用する場合は、PTA 組織や保護者会などの場が有効だと考えるが、すべての保護者が積極 的に参加するとは限らないため携帯電話等を利用したプッシュ型の 情報発信を考慮する。情報発信する内容は既に他の機関等で作成され た情報セキュリティコンテンツを活用することによって学校現場で 情報を作成する負荷を新たに発生させないように配慮する。 28 (2) ホームユーザ(成人層) 成人層は、構成する対象が 20 代から 100 歳を超える高齢層まで幅広く、IT 習熟度や IT サービスの利用頻度も多岐にわたる。情報セキュリティに関する リテラシー獲得度の低いユーザ及びある程度の獲得度はあるが、自分自身を 守るまでのリテラシーを獲得していないユーザに焦点をあてることを検討す る。 成人層向け情報セキュリティの普及啓発は、国内全域における上述の対象 に対して「2.1 情報セキュリティの普及啓発の意義」で整理した情報セキュリ ティの本質と仕組みについて、リテラシーや知識が獲得できるよう取り組む ことを考える。 成人層のなかにはどんなに普及啓発を行っても理解できない、理解しよう としない「永遠の初心者」とされる対象者も存在すると考えられるが、この ような対象者もリテラシー獲得度の低いユーザとして扱い、普及啓発によっ て「永遠の初心者」を解消することを目指す。 このような考え方に沿って、成人層向け情報セキュリティの普及啓発は、 リテラシー獲得度合いの低いユーザ及び一般ユーザとの接点を重視して国内 全域での教育・普及啓発機会を提供可能とすることを検討する。 具体的には、以下の 2 点を解決の方向性とする。 <解決の方向性> ①仕組みの理解を促す啓発 課題Ⅰを解決するため、一般及びリテラシー獲得度合いの低いユーザ に必要な情報セキュリティのリテラシー及び知識が獲得可能となる ようなコンテンツ内容と国内全域を網羅するコンテンツ内容の提供 の方法を意識した普及啓発の取り組みを行う。 IT サービスの傾向に即したコンテンツ内容 一般の IT サービスの潮流に即した形で、それらサービスに内在 する情報セキュリティリスクが理解できるようなものが考えられ る。 国内全域をカバーする普及啓発方法 国内全域を網羅する情報提供の場としては、地方公共団体にお ける公民館等の施設の利用や、広くユーザに情報周知の媒体とし 29 て行き届くことが可能である新聞やテレビ媒体やインターネット のポータルサイトも視野に入れる。 ② 情報セキュリティの本質の理解を促す啓発 課題Ⅱを解決するために、ユーザが IT サービスに内在するリスク を認識したうえで、自身の行動を判断可能となるよう、情報発信 を行う。 普遍的な内容の情報発信 次々と生まれる IT サービスに利用される個々の技術に対する 情報セキュリティ対策について、その誕生の都度、啓発するので はなく、普遍的な情報セキュリティの本質に着目した情報発信内 容とするなどが考えられる。 30 <具体的方策> 具体例として、以下の枠組みの下で方策を講じることが考えられる。 地方自治体 (都道府県⇒市町村) 政府機関 一般及びリテラシー 獲得度の低いユーザ 教育政策策定 募集 ① 応募 ボランティア 情報セキュリティ (仕組み)の認知度 向上 情報セキュリティ 関係機関 (メディア経由) (ISP、JNSA、等) テレビ ユーザ全般 インターネット ② 新聞広告 ・・・ 情報セキュリティ (本質)の認知度向上 ①:一般及びリテラシー獲得度の低いユーザ向け方策 コンテンツ内容は、ケーススタディを用いて IT サービスの仕組み や内在するリスクについて作成する。具体的には、ケーススタディで は、スマートフォンや地図情報検索サービス等の先進的、かつプラ イバシーの問題が発生する可能性があるサービス利用の際に何が情 報セキュリティリスクなのかが理解できる内容を想定する。 国内全域を網羅する情報提供の場としては、地方公共団体の公民 館等の施設が利用可能である。このため地方公共団体等が提供する 公民館等の場を活用することによって、地方公共団体が採用した民 間の人材が講座や研修を行う。また、広くユーザに情報周知の媒体 として行き届くことが可能である新聞やテレビ媒体やインターネッ トのポータルサイトも普及啓発の手段として視野に入れる。 普及啓発主体は、地方公共団体が場の提供者と一致していること から情報セキュリティの普及に取り組むことが望ましいと考える。 ただし、地方公共団体が取り組むのが困難な場合には地域の情報セキ ュリティに関するリテラシーの高い人材を地方公共団体がボランテ ィアとして採用することによって民間の人材を活用することが望ま れる31。 31 総務省における「情報セキュリティサポーター制度」を地方自治体向けに展開する方策を想定する。 31 民間の人材を活用した普及啓発活動の具体的なイメージとしては、 セキュリティ対策推進協議会との連携や、情報セキュリティ版民生 委員の創設等が考えられる。 ②:成人層一般向け方策 政府機関や情報セキュリティ関係機関が、成人層一般に対して、 定期的に情報セキュリティの本質を訴求するキャンペーンを適切な 媒体を活用して行う。 例えば、毎年 2 月の「情報セキュリティ月間」が、そのタイミング として考えられる。 また、普及啓発の手段としては広くユーザに情報周知の媒体として 行き届くことが可能である新聞やテレビやインターネットのポータ ルサイト等32を視野に入れる。 32 ここでは、「等」として SNS(ソーシャルネットワークサービス)やスマートフォン・電子書籍が対象に なると想定している。これらの利用度合いは 20 代を中心とした成人層のほうが 40 代以上の成人層と較 べて高い状況にある。 32 (3) ビジネスユーザ 企業規模の大小を問わず企業による情報セキュリティへの取り組み姿勢は、 経営者の情報セキュリティに関する認識に大きく左右される。従業員は経営 者の方針に基づく企業ガバナンスに従って、情報セキュリティを意識した企 業活動を行う。その結果、従業員が情報漏えい等の不祥事を起こした場合は、 経営者が責任を負う。 ビジネスユーザ向けには、企業ガバナンスが機能することを前提として、 企業方針への強い影響力を持った経営者及び部門長に焦点をあて、情報セキ ュリティの取り組みの重要性・必要性を啓発することが必要となる。 例えば、ポイントカード発行時に顧客の個人情報を直接扱うようなスーパ ーマーケットや美容院等の店頭において、正社員や契約社員の他に派遣社員 やアルバイト・パート従業員が配置されている場合がある。こういった非正 規雇用の従業員に対する社内の情報セキュリティ教育が行き届いていないた めに、情報漏えい事故等を発生させる事象が現場の実態として見受けられる。 経営層への啓発においては、非正規雇用の従業員についても正社員と同等の 情報セキュリティ教育が必要であることを訴求する必要がある。 このような考え方に沿って、ビジネスユーザ向け情報セキュリティの普及 啓発は、経営者及び部門長に焦点をあてた施策を検討する。 具体的には、以下を解決の方向性とする。 <解決の方向性> ①経営層への啓発 課題Ⅰを解決するため、情報セキュリティ取り組みの重要性・必要性 を経営層に訴求する普及啓発の取り組みを行う。 経営層に訴求する情報セキュリティに関する情報の発信 経営層の情報セキュリティに対する取り組みは、経営課題の側 面の一つである。このため、情報セキュリティの取り組みが重要 であり、必要であることを経営層に訴求するためには、情報セキ ュリティ対策が品質向上の一つの要素であり、最終的には利益に 結びつく取り組みであるというような企業活動との関係性を盛 り込んだ情報を発信することが求められる。経営者のコンプライ アンス意識に訴え、社内のセキュリティ教育が積極的に行われる よう、政府機関が環境整備を進める働きかけが望まれる。 33 <具体的方策> 具体例として、以下の枠組みの下で方策を講じることが考えられる。 経営者 政府機関 企業全般 ①-1企業全般 ①-2中小企業等 情報セキュリティ の取り組みの必要 性の認識度向上 政策等 による指示 部門長 業界団体 情報セキュリティ対策 の認知度向上 適確 な実施 ① 一般社員※ 情報セキュリティ の取り組みの必要 性の認識度向上 社内規定に従った 取り組みの継続 組織内における ルールに従った 情報セキュリティ の取り組みを実施 ※派遣社員、アルバイト・ パート従業員含む ①-1:企業全般における経営層向け方策 業界団体は、会員企業の経営層である経営者や部門長に対して、 情報セキュリティに関する指針の発信等によって情報セキュリティ に取り組むメリットを啓発するキャンペーン、セミナー等を定期的 かつ継続的に行う。 ①-2:中小企業等における経営層向け方策 地域の商工 3 団体(日本商工会議所、全国商工会連合会、中小企業 団体中央会)は、会員企業の経営層である経営者や部門長に対して、 情報セキュリティに取り組むメリットを啓発するキャンペーン、セ ミナー等を定期的かつ継続的に行う。 34 (4) 基盤 情報セキュリティの普及啓発を行う環境として、安全安心な IT 利用が自発 的に促進される仕組みが必要となる。具体的には、情報セキュリティ対策の 実施状況をユーザが自身のサービス選択基準として判断できる環境整備など が考えられる。このような環境があれば、企業の情報セキュリティ対策への 取り組みが品質向上や事業利益につながるため、企業が積極的に情報セキュ リティ対策に取り組む状況が期待できる。 また、ユーザの相談窓口として連絡・相談先の明確化や普及啓発の取り組 み効果を確認して改善を図るいわゆる PCDA サイクルを機能させるための効果 測定の仕組みも考慮する。 具体的には、以下の 4 点を解決の方向性とする。 <解決の方向性> ①対策指針・基準等の整備・周知 課題Ⅰを解決するため、企業の情報セキュリティ対策の取り組みがユ ーザのサービス選択につながるような枠組みを検討する。 ②リスクをユーザに周知する仕組みの整備 課題Ⅱを解決するため、ユーザが利用するサービス内容に併せてリス ク情報を把握できるような仕組みを検討する。 ③相談窓口の整備・周知 課題Ⅲを解決するため、情報セキュリティのトラブルに関する問い合 わせ・対応窓口を整理したうえでユーザがどこに連絡すべきかの認知 を促す。 ④普及啓発に関する効果測定の仕組みの整備 課題Ⅳを解決するため、ユーザの情報セキュリティに関する認知度を 定期的に把握・評価する仕組みを検討する。 35 <具体的方策> 具体例として、以下の枠組みの下で方策を講じることが考えられる。 企業全般 業界団体 (政府機関) ① 情報セキュリ ティ対策の取 り組みアピー ル機会の向上 ⑨効果測定の仕組みの構築による認知度の把握 ③④ ② ISP事業者/携帯キャリア /EC(ポータルサイト運営 者等) ECサイト 利便性とリスクを認識した上で ITサービスを利用 ユーザ ! セキュアな環境での インターネットの利用 ECサイト セキュアな環境での サービス提供 ネットワーク 利用者が判断できるリスク と利便性の情報提供 情報セキュリティ 認知度の向上 ①:企業全般向け基盤構築の方策 企業が情報セキュリティの取り組みとして、何をどこまで実施す ればよいかを判断するための指針が求められる。指針は、企業が提 供するサービスの品質表示と連動する内容を考慮することが望まし い。 また、指針はある程度の厳格化、強制力を伴うことが必要である と考える。しかし、厳格化する項目は全てではなく、任意対応が適 当である項目とのバランスを意識した構成とすることが望ましい。 また認証機関が指針の適合性を客観的に評価する枠組みを設計す ることが望ましい。その際の認証取得は、初期認証と継続認証の段 階に分け、継続した対応を評価する仕組みとすることで、企業にお ける取り組みの促進が期待できる。 上記を踏まえて、業界団体が、会員企業に対して、最低限取り組む べき情報セキュリティ対策に関する指針を表明するとともに、企業 の取り組み成果を評価する表彰制度等の創設も併せて検討する。 36 ②:IT サービス事業者向け基盤構築の方策 IT サービス企業に対しては、サービス提供の際に、ユーザにリスク に関する情報提供させ、万人が理解可能な記載によるリスク喚起が行 われる仕組みが望まれる。 上記を踏まえて IT サービスに関する業界団体は、会員企業に対し て、ユーザがコンテンツやサービス利用の際に、自社コンテンツや サービス上に内在する情報セキュリティリスク内容を明示させるよ うな取り組みを行う。 ③:相談窓口に関する基盤構築の方策 政府機関は、情報セキュリティトラブル発生時におけるユーザの 問合せ先を明確にするため、受付窓口を整備するとともに、当該窓口 のユーザ認知度を向上する周知策に取り組む。 ④:普及啓発の効果測定に関する基盤構築の方策 政府機関は、情報セキュリティの認知度の測定方法を検討し、認知 度の把握・評価に取り組む。 37 2.4.2. 今後検討すべき課題 本検討では、以下の課題について、引き続き検討が必要であることが確認 された。 ①サービスのグローバル化を念頭においた情報セキュリティ対策に関する国 際連携の必要性 海外を拠点とした日本向けサービスの普及に伴い、フィッシングサ イトや法的に不適切なサイトの閉鎖処理等への対応が求められる事例 が増えている。しかし、海外のサービスではサイト自体が海外のドメイ ンであるため、日本国内の情報セキュリティ対策の効果が及ばないとし て、新たな脅威と懸念される。このような脅威に対しては、国内の業界 団体の管轄を超えることが多いため、政府の主導による国際連携が今 後必要になると考えられる。 ②デジタル・ネイティブ世代33の価値観を考慮に入れた情報セキュリティの 取り組み 物ごころついた頃から IT 機器に触れて育ったデジタル・ネイティブ 世代は、これまでの世代とは情報に対する価値観が異なっている。彼 らは、ネットワーク上で匿名ではなく、実名で使うサービスの利用や、 身の回りの情報をインターネットへ掲載することへの抵抗も少ない。 このような価値観では、自分の個人情報や勤務先で得た情報の SNS 等への掲載が自然と行われてしまう。その結果、情報漏えいや他人のプ ライバシーの侵害につながる懸念がある。 このような状況を踏まえ、情報セキュリティの普及啓発においては、 デジタル・ネイティブ世代の価値観を考慮に入れたうえでの情報モラル の在り方も併せて検討することが必要となる。 33 この世代の特徴としては、常にインターネットとつながっている、すぐに情報を検索する、身の回りの情 報を発信したがる、同時に複数の作業を進めることを得意とする、インターネット上に個人情報を掲載 することに抵抗がない、インターネットを通じて交遊関係を広げる、等である。 (出典:日経コンピュ- タ(2011 年 2 月 3 日号) ) 38 3. 情報セキュリティ人材の育成・確保方策 3.1.情報セキュリティ人材の必要性 本節では情報セキュリティ人材の必要性について、情報活用と社会環境の観 点から整理する。 3.1.1. 情報活用と情報セキュリティ 今日、企業活動においては、膨大なデータを分析・処理してビジネスに還元 する情報活用が IT の利用によって効率的・効果的に行われているかつ、社会活 動のあらゆる場面で情報が活用されるようになった。これらの情報活用には、 情報を取り扱う以上、必ず情報セキュリティのリスクが伴っている。そのため、 例えば、電子化された大規模な名簿がインターネット上に流出した場合の甚大 な被害のように、情報活用に関係する情報セキュリティのリスクの顕在化は、 これまで以上に広範囲かつ拡大する傾向にある。 また、情報活用に内在するリスクに対して適切に対処するためには、情報活 用と情報セキュリティは不可分な関係となっている。 高度情報活用社会への進展に伴い、今日では、情報セキュリティリスクへの 対応が様々な場所で求められるようになっている。したがって、情報活用をす るうえでは、その情報セキュリティを担う人材が必要になってくる。 3.1.2. 社会環境と情報セキュリティ 社会環境によって、情報セキュリティ対策に対する認識が異なる。 欧米、特に米国では訴訟社会であるため、企業を取り巻く様々なリスク顕在 化の負の影響が大きく、経営者がリスクに対して認識しやすい過敏な環境にあ ることが多い。このため経営者がリスクマネジメントに対して、比較的多くの 経営資源を投入する傾向にある。 一方、我が国では米国ほどの訴訟社会ではないことから、情報セキュリティ リスクの顕在化による負の影響を、企業を取り巻く他のリスクと比較して重大 と認識しにくい。また、情報セキュリティに関する法制度の整備は進みつつあ るが、コンプライアンスの対象としてはまだ認識されにくい環境にある。これ らの状況を背景として、情報セキュリティ対策の商品やサービスの需要も欧米 と比較すると少なく、我が国では情報セキュリティ分野が産業化されていると は言い難い状況にある。 39 このことから我が国は情報セキュリティ人材のニーズが認識されにくい社会 環境を背景として、情報セキュリティ分野に特化した人材は職業として成立し にくい傾向にある。 加えて、情報セキュリティ人材の必要性は雇用制度の影響も受けている。具 体的には、米国では職業ポストを募集する雇用制度であるため、資格や専門性 を基準として、様々な種類の専門人材が職能集団として流動化する社会環境で ある。その一つである情報セキュリティについても、専門性を活かした職業ポ ストが存在するため、情報セキュリティ人材が職業として成立している。 一方、我が国では終身雇用制度を採用する企業が大半であるため、資格や専 門性という観点では、人材が流動化しにくい社会環境である。そのため、情報 セキュリティ人材という専門職が成立しにくいと考えられる。 このような我が国の雇用環境を考慮すると、一人の人材が全てのリスクに対 応できる情報セキュリティのスペシャリストを育成するというよりも、特定の 分野ではなく複数の分野においてある一定以上の知識や技術を持ち、高度に専 門的な問題はスペシャリストに相談できるようなゼネラリスト的な企業人材を 育成するなかで、情報セキュリティの知識を習得させるということが求められ る。 したがって、我が国で求められる情報セキュリティ知識の特徴としては、特 定の分野に閉じるのではなく、複数の分野を視野に入れた全域性ある情報セキ ュリティ知識領域34であると考えられる。 34 例えば、Web マーケティングで発生したインシデントに対応するためには、マーケティング部門と IT 部 門の連携だけではなく、法務部門やカスタマー部門と連携しながら対応を行う必要がある等、情報セキュ リティリスクは特定の業務内でのみに閉じた形で発生するわけではない。インシデント対応では、自身の 業務が持つ情報セキュリティリスクが様々な業務に影響を及ぼすことを防ぐため、一人の人材が全てのリ スクに対応できることが求められるというよりも、各業務の専門性を持つ人材が個々に対応を行えればよ い。その前提として、リスクの対応策を知っている人を知っていることと、他の業務にも影響があること を理解する必要がある。 40 3.2.情報セキュリティ人材の育成状況 本節では、前節の我が国において情報セキュリティ人材の必要性の議論を受 けて、国内外の情報セキュリティ人材に対する育成の取り組みを概観する。 3.2.1. 日本の状況 (1) 政府施策 政府は情報セキュリティ人材の育成に関して政府職員向け、企業における 人材向け及び個人向けに以下の取り組みを行っている。 ①政府職員向け政府施策(括弧内は取り組み主体) ・一般職員、幹部職員及び情報セキュリティ対策担当職員に対する統一的 な教育プログラムに基づいた教育(内閣官房、人事院、総務省及び全府 省庁) ・政府職員に対する採用時の合同研究(内閣官房、人事院、総務省及び全 府省庁) ・地方公共団体職員に対するeラーニングによる情報セキュリティ教育(総 務省) ②企業における人材向け政府施策(括弧内は取り組み主体) ・中小企業に指導する立場にある者及び地域の中小企業等に対するセミナ ーの開催(経済産業省) ・監査分野等の情報セキュリティ専門家育成(経済産業省) ・情報セキュリティ人材を含めた高度 IT 人材の育成(経済産業省及び文部 科学省) ③個人向け政府施策(括弧内は取り組み主体) ・ユーザの身の回りにおいて詳しい人として位置づけられる情報セキュリ ティサポーターを育成するための教材の作成や講習会・認定試験の開催 等を支援(総務省) ・教育機関関係者、地方公共団体職員、インターネット一般ユーザ等を対 象とした情報セキュリティに関する講習の実施(警察庁) ・若年層に対するセキュリティ意識の向上と優れたセキュリティ人材の発 掘と育成をはかるための講義等の実施(経済産業省) 41 (2) 民間施策 民間では様々な事業者や大学等が情報セキュリティ人材の育成に関して以 下の取り組みを行っている。 ①高度情報セキュリティ人材向け民間施策 ・産学連携した事業者等による育成推進プログラムの実施 ・情報セキュリティに関する専門家育成コースによる人材育成の実施 ②ユーザ向け民間施策 ・情報セキュリティや情報モラルを啓発するセミナーの実施 ・情報セキュリティに関する最新動向や最新テーマに関する講演等の実施 ・ユーザの身の回りにいる詳しい人として位置づけられる情報セキュリテ ィサポーターを育成するための教材の作成や講習会・認定試験の開催等 を実施 ③若年層向け民間施策 ・情報セキュリティ等に関する知識と技術を学ぶ合宿形式による育成の実 施 42 (3) 企業及び学校教育の現場の状況 政府や民間における情報セキュリティ人材の育成が様々取り組まれている にもかかわらず、企業及び学校教育の現場における情報セキュリティは十分 確保されているとはいえない状況にある。 企業では、4 割が従業員のセキュリティ意識が低いと感じている(図 18 参 照)。 出典:総務省「H21年通信利用動向調査(企業編)の概要」 図 18 従業員の情報セキュリティ意識レベルが低い企業の割合 43 学校教育の場では、学校教師の IT 活用能力及び情報モラルなどを指導する 能力の向上は年平均 2%程度と緩やかであることが確認できる(図 19 参照) 図 19 の凡例「D.情報モラルなどを指導する能力」「E.校務に ICT を活用する 能力」参照)。学校教師がデジタル・ネイティブ世代である児童に対して情報 セキュリティを指導するには、児童以上の IT 活用能力や情報モラルなどの指 導力を獲得することが必要である。 図 19 学校教育における学校教師の IT 活用に基づく指導力の実態35 35 出典:文部科学省「平成 21 年度学校における教育の情報化の実態等に関する調査結果」 44 3.2.2. 海外の状況36 諸外国では政府機関及び大学等の教育機関が主導して情報セキュリティ人 材の育成に取り組んでいる。具体的には以下のような主な取り組みがある。 ここで紹介する海外の取り組み事例は「3.4 情報セキュリティ人材の育成確保 の課題への解決策の提案」を立案する際の参考とする。 世界標準となる情報セキュリティ資格の取得促進・義務付けによる民間事 業者の育成方策(米国) 各種セキュリティ関連プログラムの提供による民間事業者の育成方策(米 国) 情報セキュリティ分野の大学院レベル・カリキュラム提供による育成の方 策(米国、韓国、中国、インド) 官民連携した情報セキュリティ教育ツール等の提供(米国) 企業が自社への就職を前提とした情報セキュリティ教育の実施(韓国) 政府機関の取り組み成果としての最先端技術及び知識の民間への展開(米 国、ドイツ) 36 調査結果の詳細は、参考 2「情報セキュリティに関する人材育成活動の調査結果」 45 3.3.情報セキュリティ人材の育成確保の現状及び課題の抽出 3.3.1. 求められる人材像 以下では情報セキュリティ技術・知識を作る、使う、教えるという 3 つの側 面を踏まえて求められる人材像を検討する。 <情報セキュリティ技術を作る> 「3.1.1 情報活用と情報セキュリティ」で述べたように、情報活用と情報セキ ュリティは不可分な関係にあるため、情報活用に利用される IT にも、情報セキ ュリティ技術が組み込まれることが求められる。したがって、情報産業が、安 心・安全な製品・サービス提供のために、これらに組み込む実用的な情報セキ ュリティ技術の開発が求められている。 我が国の情報産業が、より良い製品・サービスを提供することによって国際 競争力を獲得するためには、そこに組み込まれる情報セキュリティ技術にも国 際競争力が求められることになる。 そこで、この分野の研究者は国際競争力を持った実用的な情報セキュリティ 技術を確保する研究開発力を持つことが必要である。 このことは同時に、我が国がサイバーテロ等の脅威に対抗する技術を保有す ることにもつながる。 <情報セキュリティ技術・知識を使う> 「3.1.1 情報活用と情報セキュリティ」で述べたように、企業活動を始めとす る経済活動において、業務の効率化や企業競争力獲得のためには、情報セキュ リティに配慮した情報活用が求められる。これまでは、情報活用の主役は IT 部 門であった。しかし、インターネットを用いた商品企画やマーケティング等の ように、情報活用の進展に伴い IT 部門だけでなく、企業内の他の業務を行う一 般的な人材が、情報セキュリティについて意識を持つことを求められることが 多くなった。こういった状況では、自身の業務に関する業務知識やスキルに加 えて、実用的な情報セキュリティ知識を持つことが情報活用を安全に行うため には必要である。 <情報セキュリティ技術・知識を教える> インターネット利用の低年齢化が進み、若年層でも IT サービスを頻繁に利用 する状況となっている。このような状況では、若年層もサービスに内在するリ スクを知ったうえで、これらに適切に対処できるように、情報セキュリティの 46 知識を習得している必要がある。そのため、若年層に対して情報セキュリティ 教育を適切に実施できるレベルの知識を習得していることが必要である。 以下では、上記を踏まえて区分された求められる人材像について示す。 (1) 人材タイプⅠ(高度セキュリティ人材) 人材タイプⅠは、国際競争力がある実用的な情報セキュリティ技術の研究開 発力を持つ、高度セキュリティ人材と定義する。具体的な人材像としては、実 用的な情報セキュリティ技術を研究テーマとする企業内研究者を想定する。 加えて、取り扱っている研究テーマという観点からは同じく確保が求められ るということと、大学卒業後の進路として企業内研究者の候補となり得るため、 大学内で同様の領域を研究テーマとする学者も対象とする。 (2) 人材タイプⅡ(ビジネスパーソン) 人材タイプⅡは、IT 部門以外の業務担当者が、自身の業務知識やスキルに加 えて、実用的な情報セキュリティ知識を持つ人材と定義する。 具体的な人材像は、これまで情報セキュリティ知識を活用することの中心に いた IT 部門や総務部門ではなく、フロント業務や財務や会計等のバックオフィ スの担当者を想定する。 この人材像は、自身の業務についての専門性を高く持つことと情報セキュリ ティの知識を持つことに加えて、他の業務における情報セキュリティ上のリス クを理解したうえで、適切な対処が可能となるような情報セキュリティに関す る気づきや洞察力が求められる。 (3) 人材タイプⅢ(学校教師) 人材タイプⅢは、若年層に対して情報セキュリティ教育を適切に実施できる 知識・スキルを習得した人材と定義する。 具体的な人材像は、学校の現場における IT や情報に関する教育を行う学校教 師を想定する。 47 3.3.2. 現状及び課題 本節では、情報セキュリティ人材の育成・確保方策を検討するにあたり、前 節で区分した人材タイプごとに現状及び課題を提示する。 (1) 人材タイプⅠ(高度セキュリティ人材) <現状> ① 実用的な情報セキュリティ技術の研究開発力不足 情報セキュリティ政策会議(2007 年)において、我が国の情報関連分野 における国際競争力が低いこと及び実用的な情報セキュリティ技術の研究 が少ないことから、情報セキュリティを含む情報関連分野の一層の取り組 みを強化することが求められている。 また、我が国の情報セキュリティの研究開発活性化と安心・安全な ICT 環境の獲得のために、総合科学技術会議においては「情報セキュリティ技 術開発」がグランドチャレンジ型テーマとして設定されている。 ②産業界と学界における研究テーマの分断 大学では情報セキュリティに関する基礎的な技術、政策や方法論等のテ ーマが中心であるのに対して、産業界では製品・サービスに組み込める要 素技術としての実用的な情報セキュリティ技術が求められている。 一般的に、大学は研究者の育成機関という機能だけではなく、社会人を 輩出する機能も有していることから、産業界は大学に対して、企業人材の 輩出を求めている。しかし産学では、求められる研究テーマが異なること から学内研究者が産業界へ進むことは難しい状況である。 また、研究テーマや求める人材像の違いから、産業界と学界とは人材交 流や共同研究が活発でない状況もある。 以上を受けて、以下に課題を設定する。 <課題> Ⅰ:国際競争力がある実用的な情報セキュリティ技術力を有する研究者の 確保 48 (2) 人材タイプⅡ(ビジネスパ-ソン) <現状> ①実務における情報セキュリティ知識の活用の高まり 紙媒体による情報活用の時代とは異なり、IT の活用によって情報活用の 規模拡大やスピード向上等が進む状況において、情報セキュリティリスク の顕在化は、情報活用の目的であるビジネスや企業活動の継続に大きな影 響を与えるようになった。また、情報活用が様々な場面で行われるように なった結果、これまで情報セキュリティの中心を担った IT 部門のような部 門以外の業務担当者も、情報セキュリティリスクにさらされた環境におか れるようになった。このことから、情報セキュリティリスクに対して、全 てのビジネスパーソンは適切な対処をすることが求められている。 例えば、これまで IT 利用が少なかった商品企画や顧客管理作業のような 業務においても IT 利用が進んできたため、個人情報の漏えいを始めとした 情報セキュリティ事故につながることがある。このため、情報セキュリテ ィ知識を踏まえた業務の遂行が、IT 部門以外の業務担当者においても求め られている。 ②情報セキュリティ知識の学習機会等の不足 産業界は情報セキュリティ知識の有無にかかわらず、人材の採用を行っ ている。そのうえで、企業は情報セキュリティ知識が必要であれば、独自 に費用をかけて育成に取り組んでいる状況である。ただし、経営者の情報 セキュリティの重要性に関する理解や育成に投入できる経営資源の大小等 によって、企業ごとに人材育成に対する取り組みに差が生じる。 また、実務の場面で活用が求められる情報セキュリティ知識を獲得する ための汎用的な学習方法や機会の提供も十分とはいえない状況にあると考 えられる。 このため、情報セキュリティに対する重要性を認識しにくい我が国では、 企業のビジネスパーソンに対する情報セキュリティ知識の学習機会等を提 供していくことが必要である。 以上を受けて、以下に課題を設定する。 <課題> Ⅱ:業務担当者が自身の保有する業務知識に加えて、情報セキュリティに 関する気づきや洞察を習得する機会の提供 49 (3) 人材タイプⅢ(学校教師) <現状> ① 学校教師の IT スキル・リテラシー不足 現代の若年層は、デジタル・ネイティブ世代である。一方で、学校教師 は、若年層に情報セキュリティを教える側として求められる知識やリテラ シーが十分とはいえない状況にある。 学校教師は日々の授業に忙しく、ニュース等からのみ IT 利用に伴う危険 性を認識するなど、情報セキュリティ知識の習得機会が少ない。本来積極 的な情報活用を教育する立場にあるが、情報セキュリティの知識やリテラ シーの不足により、危険なものには近づかないという観点から、情報活用 を過度に制限するような発想に陥るおそれがある。 ②「教育の情報化に関する手引」に定められている情報化の推進体制 文部科学省では、新学習指導要領に対応した「教育の情報化に関する手 引」のなかで、学校における情報化の推進体制を定めている(図 20 参照)。 学校では、校長及び副校長等の管理職が学校 CIO として教育の情報化の 推進を担う。また、管理職と情報化担当教師が連携して全教職員に対して 学校内の情報化推進を取り組むことが定められている。加えて、学校の情 報化を推進する統括責任者として、教育委員会において教育 CIO を設置す ることが求められている。このため、学校教師向けの取り組みでは、学校 教師に対して負荷をかけないことを考慮して、類似の枠組みを無駄に増や さないことが必要である。 50 図 20 教育委員会と学校が連携した教育の情報化の推進体制 37 以上を受けて、以下に課題を設定する。 <課題> Ⅲ:情報セキュリティ知識習得に向けた学校教師にとって低負荷な習得機 会の提供 37 出典:文部科学省「学校の情報化に関する手引」平成 22 年 10 月 51 3.4.情報セキュリティ人材の育成確保の課題への解決策の提案 「3.3.2 現状及び課題」で設定した課題に対する解決の方向性を以下に示す。 本節に記載する方向性及び施策例は、検討会での議論を踏まえた具体例であり、 解決の方向性を今後さらに施策として具体化する際の参考となる。 3.4.1. 課題への解決の方向性 (1) 人材タイプⅠ(高度セキュリティ人材) 産学連携した協働の場の設置と人材発掘の仕組みの構築 国際競争力がある実用的な情報セキュリティ技術力を有する研究者 の確保という課題Ⅰを解決するためには、産業界と学界が共通して実 用的な研究テーマに取り組むことによって、このようなテーマに取り 組める人材を学界から産業界へ輩出していくことが必要であると考え られる。しかし、こうしたテーマへの取り組みのためには、産学界と の人材の交流によるニーズの共有が求められるにもかかわらず、この ような交流が自然と行われる環境にもない。その結果、実用的な研究 テーマを担える人材も自然発生的には現れないという悪循環になって いる。 そこで、高度セキュリティ人材の育成・確保については、国際競争 力がある実用的な情報セキュリティ技術力を有する研究者の確保を目 的として、産学連携した協働の取り組みと優秀な人材を発掘する仕組 み等を確立するような方向性が有効と考える。 (2) 人材タイプⅡ(ビジネスパーソン) 業種や職種が異なる人材の交流機会の提供 業務担当者が自身の専門である業務知識に加えて、情報セキュリテ ィに関する気づきや洞察を習得する機会の提供という課題Ⅱを解決す るためには、ビジネスパーソンが限られた時間やコストのなかで、自 身の業務領域以外の知識を得る手段が求められる。このためには、大 学への通学や資格取得の勉強といった学習方法以外の方法で、知識獲 得の手段や機会を提供する必要がある。また、ビジネスパーソンに求 められる自身が専門とする業務領域以外の知識については、情報セキ ュリティに関する深い知識が求められているわけではない。そのため、 52 他の業務領域での情報セキュリティの具体的事例の共有や他領域の専 門家との情報セキュリティに関する議論等から得られる、気づきや洞 察といった汎化されたレベルの知識を、業種や職種が異なる人材との 交流を通じて短時間で習得することが、負荷や効率性の観点から有効 であると考えられる。そこで、ビジネスパーソンの育成・確保につい ては、情報セキュリティに関する気づきや洞察を習得する機会を提供 する目的として、業種や職種の異なる人材同士の交流機会の場を作る ような取り組みを検討する。 (3) 人材タイプⅢ(学校教師) 教育の情報化の推進体制に組み込んだ学校教師の知識習得機会の提供 情報セキュリティ知識習得に向けた学校教師にとって低負荷な習得 機会の提供という課題Ⅲを解決するためには、特別枠の時間を用いて 習得機会の提供を行うのではなく、学校教師の本来業務の一環として、 習得機会を設けることが望ましいと考えられる。現在、文部科学省に よって、学校の情報化が推進されており、教育委員会と学校が連携し た教育の情報化の推進体制が整備されつつある。このなかでは、教育 委員会が学校 CIO(校長、副校長、教頭)を指導・支援することになっ ており、加えて ICT 支援員が教員のサポートを行うことになっている。 この推進体制における教員サポートを通じて情報セキュリティ知識の 提供を行うことによって、学校の情報化という本来業務の一環として 学校教師向けに情報セキュリティ知識の習得機会を組み込むことが有 効であると考える。 53 3.4.2. 工程表 本節では、解決の方向性を今後さらに施策として具体化する際の工程表案を 以下に示す。 短期的には、政府が本年度の報告書に記載されている課題に応じた解決の方 向性に沿った解決策の検討を行う。解決策の検討は、事前調査として具体的に 施策の期間や規模に着目して実現可能性、効果の発現性等を把握する。事前調 査を受けて、各課題の優先順位付け等に従い、施策ごとに実施概要等の設計を 行う。設計した実施概要等は、試行による実証検証で効果等を確認の上確定す る。 中長期的には、確定した実施概要に基づいて各施策が実施され、効果測定に より取り組み成果を確認する。 今後は、本年度の調査検討から得られた課題解決の方向性ごとに、一連の検 討、設計や各施策の実施と効果検証を行っていくことが望まれる。 本年度 短期(1年~2年) 解決策の検討 (事前調査) 課題別解決の方向性(本年度報告書) 産学連携した協 働の場の設置と 人材発掘の仕組 みの構築 産学連携による 協働の場の設置 手法に関する調査 既存の人材発掘の 取組みや手法に 関する調査 業種や職種が異 なる人材の交流 機会の提供 情報セキュリティ に関連した業種・ 職種横断的な人材 交流に関する調査 教育の情報化の 推進体制に組み 込んだ学校教師 の知識習得機会 の提供 教育の情報化の推 進体制の実態調査 及び情報セキュリ ティ知識提供機会 の組み込みに関す るフィージビリ ティスタディ 中長期(3年~5年) 試行 (実証検証) 設計 産学連携及び 人材発掘のた めの手法や テーマの検討 実施 効果測定 産学連携による 協働の実施 協働の成果及び 発掘された人材 の質や量の測定 産学連携による 協働の試行 実施主体の 検討と選定 ※人材発掘は試行として 行わない 人材交流に関する 手法・手段及び 実施主体の検討 人材交流のための テーマ選定方法に 関する検討 教育の情報化の 推進体制への組み 込み方法の検討 推進体制への組み 込み内容の検討 及びコンテンツ化 人材発掘の実施 業種・業界横断 的な人材交流に よる情報セキュ リティに関する 全域性獲得の 実証 人材交流の実施 及び普及・推進 情報セキュリ ティに関する業 種・業界横断的 な人材交流機会 の普及・推進 度合いの測定 教育の情報化推 進体制を活用し た学校教師の情 報セキュリティ の知識習得機会 提供の実証 教育の情報化推 進体制を活用し た学校教師の情 報セキュリティ の知識習得機会 提供の推進 教育の情報化の 推進状況の調査 に併せた学校教 師の知識習得レ ベルの実態調査 の実施 図 21 各課題解決の方向性の具体化及び実施に向けた工程表 54 3.4.3. 施策の例示 本節では、検討会での議論を踏まえた施策を具体例として以下に参考とし て示す。 (1)人材タイプⅠ向け施策①:産学連携した共同研究の場の設置 <施策例> 短期的には、政府が総合科学技術会議の戦略に従った情報セキュリテ ィ技術戦略を具現化したグランドチャレンジ型かつ政府内のニーズが 存在するテーマを設定する。そのうえで、このテーマに対して、産学が 連携して研究開発を行うことができる共同研究の場を提供する。 中期的には、設計した共同研究を運営する機関を選定したのち、当該 機関が参加者の募集を行ったうえで共同研究を実施する。 3 年程度の研究期間を経て、共同研究の成果を上記機関が公表すると ともに、高度セキュリティ人材の育成・確保の評価を学界論文発表数や 研究テーマ数等を基に行う。 (メリット) 共同研究の場を政府が主導することによって、産学双方の研究者が参 加し易くなるため、産学研究者の結集による研究開発力の向上が期待で きる。 企業が主導する共同研究では、企業同士の利害関係が発生するため、 活発な共同研究の場の設置が期待できない。また、共同研究の場を政府 が提供することは、企業研究者にとって、研究開発環境の制限から自社 で行えない研究機会が得られるというメリットもある。さらに、大学側 の研究者も参加することから、大学が持つ公共性を利用することによっ て、企業としては公表しにくいような研究成果の公表機会を得ることが 期待できる。 一方、大学研究者は、産学連携の場を通じて情報セキュリティの実務 や業務担当者と接触する機会を得られるため、研究テーマの幅出しや研 究者のキャリアパス・ロールモデルの明確化等が期待できる。 将来的には、産学連携による共同研究の場を通じて、国際共同研究の きっかけや企業間連携の可能性が期待できる。 55 <工程表(参考)> 期間 ステップ 短期 (1~2年) ①共同研究に関する調査 ②テーマ設定 ③共同研究実施概要の設計 中長期 (3~5年) ④運営機関の選定 ⑤研究者募集・採用 ⑥共同研究実施 ⑦成果公表 【凡例】 ⑧育成成果評価 政府が関与する施策 政府以外が関与する施策 (ステップ) ①共同研究に関する調査 共同研究を実施するにあたり、国内外の該当事例等を政府が調査する。 ②テーマ設定 政府が総合科学技術会議の戦略に従った共同研究テーマを設定する。 ③共同研究実施概要の設計 政府が①及び②を受けて共同研究実施概要を設計する。 ④運営機関の選定 共同研究実施概要に基づいて政府が共同研究の運営機関の募集を行い、 選定する。 ⑤研究者募集・採用 共同研究の運営機関が研究者を募集し、採用する。 56 ⑥共同研究実施 採用された研究者が共同研究を実施する。 ⑦成果公表 共同研究の運営機関が共同研究の成果を公表する。 ⑧育成成果評価 公表された成果を受けて政府が学界論文発表数等の評価基準を設定して 育成成果を評価する。 57 (2)人材タイプⅠ向け施策②:未踏情報セキュリティ技術に関するコンテスト の開催 <施策例> 短期的には、政府が未踏情報セキュリティ技術に関するコンテスト38を 主催し、国際競争力がある実用的な情報セキュリティ技術の研究機会の 場と人材の発掘を行う場を提供する。コンテスト入賞者が研究者として の功績を客観的にアピール可能となるような表彰制度も併せて設置す る。 中長期的には、コンテスト開催準備を行い、毎年コンテストを開催・ 実施する。 コンテスト入賞者の人数やその後の活躍を把握する等して、高度セキ ュリティ人材の育成・確保の成果の評価を行うとともに、問題がある場 合には施策の改善を行う。 (メリット) コンテストは優秀な人材を発掘することが可能となるため、直接的に 国際競争力獲得につながる研究開発力向上が期待できる。そのためには、 国際競争力を高めつつ実用化につながるような情報セキュリティ技術 に関するコンテストテーマを設定することが求められる。 一方、コンテストで受賞することによって、参加者は自身の能力を客 観的にアピールすることができるようになる。企業は、コンテストの入 賞を採用の判断材料に利用したり、コンテスト自身を人材発掘の場とす ることができる。例えば、ウイルス対策ベンダーが、ウイルスの効果的 な発見手法を開発した入賞者を雇うようなことが想定される。 38 IPA が実施している「未踏 IT 人材発掘・育成事業」が参考になる http://www.ipa.go.jp/jinzai/mitou/index.html 58 <工程表(参考)> 期間 ステップ 短期 (1~2年) ①コンテスト概要調査 ②コンテスト実施概要の設計 中長期 (3~5年) ③コンテスト実施機関の選定 ④コンテスト開催準備 ⑤テーマ選定(毎年) ⑥コンテスト開催(毎年) ⑦育成成果評価 【凡例】 政府が関与する施策 政府以外が関与する施策 (ステップ) ①コンテスト概要調査 コンテストを実施するにあたり、国内外の該当事例等を政府が調査する。 ②コンテスト実施概要の設計 政府が①を受けてコンテスト実施概要を設計する。 ③コンテスト実施機関の選定 政府がコンテスト運営事業者を選定する。 ④コンテスト開催準備 コンテスト実施概要に基づいてコンテスト運営事業者がコンテスト開催 を準備する。 ⑤テーマ選定 政府が発掘を狙う人材像または研究領域に沿ったコンテストテーマを毎 年選定する。 59 ⑥コンテスト開催 政府の選定したテーマに基づきコンテスト運営事業者がコンテストを毎 年開催する。 ⑦育成成果評価 コンテスト入賞者の情報等を受けて政府は入賞数等の評価基準を設定し て育成成果を評価するとともに、問題がある場合には施策の改善を行う。 60 (3)人材タイプⅡ向け施策③:情報セキュリティ人材交流研究会(仮称)の開 催 <施策例> 短期的には、政府による業種・職種の異なるビジネスパーソンが交流 する研究会のテーマ提供及び研究会実施概要の調査・設計を行う。研究 会では、参加者の参加意義やモチベーションを得られるように、対話や 議論することが可能な対面形式の場とするとともに、会の終了時に取り 組み成果を表彰する仕組みを設ける。設計した実施概要は実効性を検証 するために、商工 3 団体のセミナーの場を活用するなどして実証も行う。 中長期的には、実効性が確認された実施要領に基づき民間が研究会を 毎年開催して、研究会参加者のなかから優秀な人材を表彰する。なお、 ここで検討する取り組みは、現在の情報セキュリティに対するニーズを 想定している。将来的に我が国の情報セキュリティに対するニーズが高 まった際には、大学等における育成カリキュラムによって、タイプⅡの 人材を育成するという方向性も考えられる。 表彰者の数やその後の活躍を把握する等して、ビジネスパーソンの育 成・確保の成果の評価を行うとともに、問題がある場合には施策の改善 を行う。 (メリット) 業種・職種横断的なテーマによる人材交流型研究会の開催は、他社の 事例に触れる機会を提供することにつながるため、ビジネスパーソンに とっては魅力的な情報収集・情報交換の機会となる。さらに、自身の成 果が表彰されることは、参加者の企業等に対して自身の獲得能力の客観 的なアピールにつながることも期待できる。 61 <工程表(参考)> 期間 ステップ 短期 (1~2年) ①研究会概要調査 ②研究会実施概要の設計 中長期 (3~5年) ③実証 ④研究会運営機関の選定 ⑤研究会開催準備 ⑥テーマ選定(毎年) ⑦研究会開催(毎年) ⑧育成成果評価 【凡例】 政府が関与する施策 政府以外が関与する施策 (ステップ) ①研究会概要調査 研究会を実施するにあたり、国内外の該当事例等を政府が調査する。 ②研究会実施概要の設計 政府が①を受けて研究会実施概要を設計する。 ③実証 政府は設計した実施概要の実効性を委託等によって検証する。 ④研究会運営機関の選定 政府が研究会運営事業者を選定する。 ⑤研究会開催準備 研究会実施概要に基づいて研究会運営事業者が研究会開催を準備する。 62 ⑥テーマ選定 政府が育成を狙う人材像の交流に沿った研究会テーマを毎年選定する。 ⑦研究会開催 政府の選定したテーマに基づき研究会運営事業者が研究会を毎年開催す る。 ⑧育成成果評価 研究会での実施情報等を受けて政府は研究会での表彰者数等の評価基準 を設定して育成成果を評価するとともに、問題がある場合には施策の改 善を行う。 63 (4)人材タイプⅢ向け施策④:知識習得推進の仕組みの導入 <施策例> 短期的には、既存の「教育の情報化に関する手引」で定められている 枠組みを利用し、教育 CIO・学校 CIO・情報化担当教師に情報セキュリ ティを推進する役割を付与する。 この推進体制の各役割に基づき、教育委員会の教育 CIO は、管轄する 学校の学校 CIO に対し、校内の情報セキュリティ教育の推進を指示する。 学校では、情報セキュリティ教育の責任者である学校 CIO と推進実務の 担当者である情報化担当教師はともに連携して校内の情報セキュリテ ィ教育を推進する役割を担う。そのため、まず学校 CIO と情報化担当教 師の両方に情報セキュリティに関する研修を受講してもらう。その後、 学校 CIO と情報化担当教師は、自身の役割の一環として校内の他の学校 教師に情報セキュリティ知識の習得を推進する。 中長期的には、上記の校内の取り組みによって、情報セキュリティ知 識やリテラシーが底上げされた学校教師が育成確保されていく。 一定期間を経て、教育委員会が学校教師の情報セキュリティ知識やリ テラシーに関する能力の意識調査を行うことによって、育成・確保の成 果の評価を行うとともに、問題がある場合には施策の改善を行う。 (メリット) 学校教師が習得すべき情報セキュリティに関する知識と同程度以上 の内容を学校教師が習得する機会は、新たに設計するのではなく、既存 の「教育の情報化の推進体制」を活用することで負荷をかけることなく 実施されることが期待できる。また、この仕組みを活用することは、校 内の様々な教科を担当する学校教師向けの育成機会の推進に対して、組 織長である学校 CIO 及び情報化担当教師がセキュリティ教育の実行責任 をもつことが明確であることから、学校教師の育成機会が確実に実行さ れることが期待できる。 64 <工程表(参考)> 期間 ステップ 短期 (1~2年) ①知識習得推進の仕組みの設計 ②知識習得推進の仕組みの導入 中長期 (3~5年) ③仕組みの定着 ④育成成果評価 【凡例】 政府が関与する施策 政府以外が関与する施策 <ステップ> ①知識習得推進の仕組みの設計 政府が知識習得推進の仕組みを既存の仕組みである「教育の情報化の推 進体制」を活用した設計を行う。 ②知識習得推進の仕組みの導入 政府が①を受けて仕組みの導入を公開するなどして教育委員会及び学校 向けに導入する。 ③仕組みの定着 設計した仕組みが運用されることにより教育委員会及び学校において定 着する。 ④育成成果評価 教育委員会が行った学校教師の情報セキュリティ知識やリテラシーに関 する能力の意識調査結果を政府が評価結果を設定したうえで育成・確保 の成果の評価を行うとともに、問題がある場合には施策の改善を行う。 65 4. おわりに 本調査・検討は、平成 22 年 11 月から平成 23 年 3 月上旬にかけて行われた 有識者による検討を経て取りまとめている。このため前章までに記述してきた 内容は、この期間において認識された情報セキュリティ人材の育成・確保及び 普及啓発に関する課題を受けており、平成 23 年 3 月 11 日に発生した東北地方 太平洋沖地震及びこの地震に起因する福島第一原子力発電所事故の教訓を踏 まえていない。 本調査・検討では平時に対応できる情報セキュリティ人材の育成・確保及び 普及啓発に主眼が置かれてきたが、この教訓を踏まえると、今後は情報セキュ リティに関する有事体制の在り方についても検討する必要があると考えられ る。具体的には、以下のような観点が挙げられる。 ①平時の体制と有事の体制は異なることを踏まえた情報セキュリティの有 事に備える人材と体制の在り方 ②情報セキュリティの有事に対応できる少数精鋭の育成・確保 ③我が国全体の有事体制の在り方と整合的な情報セキュリティ有事体制の 在り方 66 I. 事務局検討資料 本調査・検討において事務局において検討した経緯を本章に取りまとめる。 I.I.調査・検討の流れ 本調査・検討は、「普及・啓発活動の充実・強化」及び「情報セキュリティ人 材の育成」の取り組みについて、情報セキュリティ人材を取り巻く現状や課題 等についての調査、分析を行い、今後の情報セキュリティ人材育成・確保及び 普及啓発に係る政策の在り方について明らかにする。 そこで、調査・検討テーマをふたつに分け、先に「情報セキュリティの普及啓 発の在り方及び方策」について検討を行い、その後に「情報セキュリティの人 材の育成・確保方策」について検討を行うこととした。 「(1)情報セキュリティの普及啓発の在り方及び方策」では、情報セキュリテ ィの普及啓発状況についての現状把握を行い、当該普及啓発についての問題点 及び課題を抽出した後に、抽出された問題点及び課題への解決策を立案した。 「情報セキュリティの人材の育成・確保方策」では、まず「 (2)情報セキュリ ティ人材の在り方についての検討」として、情報セキュリティ人材に影響を及 ぼす IT 環境の変化を調査して現在検討すべき情報セキュリティ人材像を定義 したうえで、続いて「 (3)情報セキュリティ人材の育成・確保方策についての 検討」として、情報セキュリティ人材の育成・確保状況についての現状把握を 行い、当該育成・確保についての問題点及び課題を抽出した後に、抽出された 問題点及び課題への解決策および工程表を立案した。 具体的には、下記のステップにて調査・検討を進める。 (1)情報セキュリティの普及啓発の在り方及び方策についての検討 ① 情報セキュリティの普及啓発についての現状把握 情報セキュリティの普及啓発状況は、検討する要素及び範囲を明確に したうえで、その条件の下で 3 つの視点(IT 環境の変化、情報セキ ュリティリスクに対する取り組み実態、情報セキュリティの普及啓発 活動)から国内及び海外の動向についてデスクトップ調査(Web、文 献)から、情報を収集する。収集したデスクトップ調査結果について、 有識者のレビュー(検討会への付議)によって、現状の把握認識の過 不足等を確認するとともに、情報セキュリティの普及啓発の意義につ いても定義する。 67 ② 情報セキュリティの普及啓発についての問題点及び課題の抽出 現状把握した内容は、普及啓発対象と環境整備面の観点から、問題点 及び課題として抽出する。 ③ 情報セキュリティの普及啓発について抽出された問題点及び課題へ の解決策の提案 問題点等への解決策を導き出すために、課題解決の方向性を定めた後 に、具体的に実施すべき情報セキュリティの普及啓発に係る政策を立 案する。 (2)情報セキュリティ人材の在り方についての検討 ① 情報セキュリティ人材を取り巻く環境実態の整理 情報セキュリティ人材を取り巻く調査報告書である「人材育成・資格 制度体系化専門委員会報告書(2007 年 1 月)」及び「(1)情報セキュ リティの普及啓発の在り方」での調査結果等に基づいて国内及び海外 の環境実態を整理する。 ② 環境実態を考慮した情報セキュリティ人材像の検討 環境実態から、情報セキュリティ人材の役割を整理して、人材タイプ として人材像を設計する。 (3)情報セキュリティ人材の育成・確保方策についての検討 ① 情報セキュリティ人材の育成・確保状況についての現状把握 情報セキュリティ人材の育成活動について、国内及び海外動向をデス クトップ調査によって、情報を収集する。併せて、当該領域の専門家・ 有識者からご知見をいただいたうえで、 (2)②で設計した人材タイプ ごとに人材供給面と人材の需要面に着目して整理する。 ② 情報セキュリティ人材の育成・確保についての問題点及び課題の抽 出 現状把握した内容は、課題への解決策を検討しやすいように人材需給 の視点を人材育成・確保プロセスと人材像に求められる役割に読み替 えて、問題点及び課題を抽出する。 68 ③ 情報セキュリティ人材の育成・確保について抽出された問題点及び 課題への解決策の提案 問題点等への解決策は、人材像に求められる役割ごとに 2020 年を目 途に実現することを前提に施策ベースで導く。この具体的に実施すべ き情報セキュリティ人材の育成・確保について、工程表として策定す る。 以下に、本調査・検討におけるステップの全体像を示す。 (1)① 情報セキュリティに係る 普及啓発についての 現状把握 (2)① 情報セキュリティ人材を 取り巻く環境実態の整理 (1)② (1)③ 情報セキュリティに係る 普及啓発についての 問題点及び課題の抽出 情報セキュリティに係る 普及啓発について抽出 された問題点及び課題 への解決策の提案 (2)② 環境実態を考慮した 情報セキュリティ人材像の検討 (3)① (3)② 情報セキュリティ人材の 育成・確保状況についての 現状把握 情報セキュリティ人材像の 育成・確保についての 問題点及び課題の抽出 図 22 本調査・検討のステップの全体像 69 (3)③ 情報セキュリティ人材の 育成・確保について抽出 された問題点及び課題 への解決策の提案 I.II. 検討会の実施 本調査・検討では、調査・検討の各過程における検討事項に関して、専門家の 知見及び意見を取り入れるため、情報セキュリティの普及啓発政策や情報セキ ュリティ人材の育成・確保政策に関する専門家・有識者等からなる検討会を開 催している。検討会の構成は以下のとおりである。 情報セキュリティ人材育成・確保及び普及啓発に係る政策の在り方 に関する知見を有する有識者で、検討会の座長を務める者 情報セキュリティ人材育成・確保または普及啓発に係る政策の在り 方に関する幅広い知見を有する有識者 これらの者が一同に会する検討会に加えて、検討テーマによっては、特定の専 門領域(情報セキュリティの普及啓発もしくは情報セキュリティ人材育成・確 保)に該当する内容について個別に事前調査の場を設定して、集中的な検討を 行った。 70 I.III. 情報セキュリティの普及啓発の在り方及び方策における検討 I.III.I. 普及啓発の検討要素 情報セキュリティの普及啓発活動は、普及啓発の意義をうけて、誰が(普及 啓発の主体)、誰に対して(普及啓発の客体:ユーザ)、何を(情報セキュリ ティの内容)、どのように(普及啓発の手段)といった 4 つの要素で構成され るものとして図 23 に整理する。 ①情報セキュリティ 本調査・検討で扱う情報セキュリティの範囲を整理する。 ②普及啓発の主体 誰が普及啓発主体となるのか、主体同士の連携の在り方について、ユーザ との距離・接点に着目して洗い出す。 ③普及啓発 どの段階で普及啓発を行うのか、普及啓発活動に着目して整理する。 ④ユーザのカテゴリ(客体) 誰に対して普及啓発を行うのか、客体であるユーザをカテゴリ区分し て整理する。 ①情報セキュリティ ② 普及啓発の 主体 ③普及啓発 ④ ユーザの カテゴリ (客体) 図 23 普及啓発の検討要素の関係 以降では、情報セキュリティの普及啓発の検討要素に着目して検討範囲を具 体的に定めたうえで、注力領域を決定する。 71 I.III.II. 注力領域 注力領域は、4 つの普及啓発の検討要素ごとに基本的考え方を設定して、範囲 や区分等を明確にしたうえで決定する。 (1)注力領域設定に向けた検討要素別基本的考え方 注力領域を決定する過程は、まず検討要素ごとに、論点を洗い出したう えで、論点決めのための基本的考え方を定める。 下図に、注力領域を導き出すための検討要素ごとの論点及び基本的考え 方を示す。 普及・啓発客体(対象) 情報セキュリティ What 何を情報セキュリティと して普及啓発するか? 論点 扱うセキュリティの範囲 -広義に捉えるか -狭義に捉えるか 普及・啓発主体 ユーザのカテゴリ Whom 誰に対して行うか? カテゴリの観点 -年齢層 (未成年、若年、家庭生活者、高齢者) -セキュリティに対する認識度合い -利用ロケーション -利用メディア種別 -利用頻度 基本的 考え方 「国民を守る情報セキュリティ戦略 (2010年5月)」との整合 普及実施主体(ステークホルダー) が扱うセキュリティ領域に合致した 範囲を定義する 国内や海外における現状・ 課題整理軸を参考にするととも に、NISCの意見を取り入れる 普及啓発 How どの情報セキュリティの 普及啓発ステップで普 及啓発を行うのか? 対象とする情報セキュリティ の普及啓発ステップ -2区分程度に設定するか (提供・利用) -詳細にさらに設定するか 誰が行うか? 普及・啓発主体設定の観点 -職種別、業務別 -イニシアティブ(責任度合い) -ユーザとの距離・接点、等 (開発・提供・認知・習得・活用) 普及・啓発の現状課題に 対する解決策主体や人材 育成の検討との整合を意識 した設計を行う 図 24 注力領域を導き出すための検討要素別の考え方 72 普及啓発の主体 Who 普及・啓発の現状課題に 対する解決策の主体が明 確となるように粒度を設定 する (2)検討要素別の範囲や区分等 次に、検討要素別に範囲や区分等を基本的考え方に従って定める。 ①情報セキュリティ 本調査・検討で扱う情報セキュリティの範囲情報は、サイバー空間に 閉じた狭義のセキュリティ範囲と振り込め詐欺等に代表される現実社 会までを扱う広義の範囲を視野に検討した。 その結果、日本政府の「国民を守る情報セキュリティ戦略」で扱って いるセキュリティの範囲との整合性を考慮して、サイバー空間におけ る脅威・被害を対象とすることとした。 現実社会との接点であるフィッシング詐欺やワンクリック不正請求は 本検討の対象として扱う。 ただし、振り込め詐欺や情報漏えいの二次被害といった現実社会の問 題には踏み込まないものとする。 また、違法・有害情報問題は、情報セキュリティの問題ではないため、 これについても本検討の対象外とした。 情報セキュリティ 現実社会 例)振り込め詐欺、 情報漏洩の二次被害 サイバー空間 例) フィッシング詐欺、 ワンクリック不正請求 例)Dos攻撃、ウィルス侵害、 ボット、不正アクセス、 セキュリティホール、 標的型攻撃、 偽セキュリティ対策ソフト 広義の範 広義の範囲 囲 図 25 本検討における情報セキュリティの範囲 73 狭義の範囲 ⇒本検討対象 ②普及啓発の主体 情報セキュリティの普及啓発を誰が行うのかといった普及啓発の主体 は、普及啓発に関する課題解決施策を誰が実施するのか、という視点 から議論しやすいように整理した。 その結果、セキュリティイニシアティブの視点からユーザとの距離や 接点に着目して洗い出すこととする。 具体的な普及啓発主体については、課題解決施策の検討の際に、普及 啓発対象であるユーザを取り巻くステークホルダを対象に以下のよう なフレームのなかから設定する。 普及啓発主体 イ 普及啓発の主体が対象とすべきユーザカテゴリ別 ジ ー メ イニシアティブ イニシアティブ 遠い (責任) イニシアティブ 遠い (責任) 重い (責任) 遠い 重い 重い 距離 距離 距離 近い 近い 近い 加味する観点 (バブルチャート内を以下の観点から細分化して整理) セキュリティイニシアティブ NISC NISC NISC 中 企業規模別:大企業、 中小企業、等 ISP ISP ISP 中 中 EC EC 事業者 EC 事業者 監査 事業者 企業 監査 監査 企業 企業 IT IT ベンダー ユーザ IT ベンダー ユーザ (ビジネス ベンダー (ビジネス ユーザ) ユーザ ユーザ) (ビ) セキュリ セキュリ ティ ティセキュリ ベンダー ティ ベンダー ベンダー 軽い 軽い 軽い 凡例 凡例 凡例 ・ビジネスユーザ ・ホームユーザ ・学校ユーザ、等 ・・・代表的な主体区分 ・・・代表的なカテゴリ例 ・・・代表的なカテゴリ例 職種別:情報システム開発、 セキュリティ技術開発・技術サービス、 セキュリティコンサルティング、 セキュリティ監査、 ユーザ企業・部門、 企業研究所や大学等の研究者 業務別:経営者、 部門管理者、 技術者・実務者 図 26 本検討における普及啓発主体 74 ③普及啓発 普及啓発の現状や課題を整理する際に、いつ(When)の施策に対する 議論をしているのか明確にするために、各ステップを定義する。 まず、 「普及するための環境づくりの時点」と、 「普及した情報を利用・ 活用する段階」と分類し、普及では、 「研究者が技術を生み出すステッ プ」と「その技術・商品・サービスを事業者等が提供するステップ」 に分ける。 利用では、 「認知」として情報セキュリティに関する知識・意識啓発を ユーザに提供・伝達する普及啓発活動の主体が行うステップと、 「習得」 としてユーザが理解・習得するステップ」と「活用」するステップと で整理する。最後の「確認ステップは、認知の取り組み結果としてユ ーザがどの程度習得・活用しているのかを確認する、PDCA サイクルで における C と A の活動を入れる。 各ステップの定義と各ステップにおける活動主体を以下に示す。 普及 研究・開発 各ステップの定義と活動主体 「研究・開発」とは、情報セキュリティに関する研究・開発を行い、情報セキュリティ技術等を生み出すステッ プをいう。 本ステップは、研究・開発に従事する人が主体となって実施する。 R&Dを行う人材へのセキュリティリスクの普及啓発が行われないと、R&Dが開始されないという論点があるが、本調査検討の スコープからは外す 提供 「提供」とは、研究・開発ステップで開発された情報セキュリティに関する技術・商品・サービス等を提供する ステップをいう。 本ステップは、当該商品等の提供に従事するISP事業者やインターネットサービス/EC事業者等が主体と なって実施する。 利用 認知 「認知」とは、情報セキュリティに関する知識や意識を、ユーザに提供・伝達するステップをいう。狭義の普 及啓発活動である。 本ステップは、ユーザへの普及啓発活動を行う主体が実施する。 習得 「習得」とは、情報セキュリティに関する知識や意識をユーザが理解・習得するステップをいう。 本ステップは、ユーザが主体となって実施する。 活用 「活用」とは、ユーザが習得した情報セキュリティに関連する対策(ウイルス対策ソフトの導入、セキュリティ パッチの更新、等)を実施するステップをいう。 本ステップは、ユーザやセキュリティサポーターが主体となって実施する。 確認 「確認」とは、認知の取り組み結果としてユーザの習得・活用状況を確認するステップをいう。 本ステップは、認知を行った主体やセキュリティのイニシアティブ等の第三者が主体となって実施する。 図 27 本検討における普及啓発ステップ 75 ④ユーザのカテゴリ(客体) 情報セキュリティの普及啓発を誰に対して行うのかといったユーザの カテゴリは、セキュリティ認識度を軸に整理した。 整理にあたり、ビジネスシーン及びホームシーンに代表されるロケー ション軸や、PC を主に使うユーザまたは携帯電話利用ユーザ等に代表 される利用メディア軸等様々な軸の検討を行った。 その結果、現状把握のための調査データが比較的収集しやすいロケー ション軸で整理を行い、課題の洗い出しの時点で、利用メディアや年 齢の視点も適宜考慮して整理することとした。 イ ジ 例1)利用ロケーション×規模による分類 ー メ セキュリティ 認識度 イ 学校 例2)利用メディア×年齢による分類 セキュリティ 認識度 非ビジネス ビジネス ジ ー メ ホームユーザ 高 PC スマートフォン 携帯 高 大企業 勤労者 IT系 ベン チャー 企業 中 中規模 企業 勤労者 大学 勤務・学生 40代 中 小学・ 中学校 (未成年) 家庭生活 者・若年 若年層 60代 以上 低 個人・家族 経営 小規模企業 勤務者 低 凡例 高齢者層 ・・・代表的なユーザ例※ ※どのゾーンにマップされるかは現状 把握に従う 凡例 図 28 本検討におけるユーザのカテゴリ 76 学生・ 未成年 ・・・代表的なユーザ例※ ※どのゾーンにマップされるかは現状 把握に従う ユーザのカテゴリは、セキュリティ認識度を軸に分類すると以下のように上 級ユーザ、一般ユ-ザ、リテラシー獲得度の低いユーザ、に整理した。 上級ユーザ 情報セキュリティについて認識があるとともに、自分自身を守れる認識度 を有しているユーザ。 一般ユーザ 情報セキュリティについて認識はある一方で、自分自身を守るまでの認識 度は有していないユーザ。 リテラシー獲得度の低いユーザ 情報セキュリティについて認識しようとしない、若しくは認識したとして も理解浸透が定着しないユーザ。 セキュリティ 認識度 高い <上級ユーザ> 認識あり 自分で守れる 認識あり セキュリティ侵害予備軍 啓発 啓発 引上げ <一般ユーザ> 普及 普及啓発 対象 認識あるが、 自分で守らない 底上げ <リテラシー獲得 度の低いユーザ> 低い どうしても出来ない /やらない 図 29 セキュリティ認識度別ユーザカテゴリ 77 (3)注力領域 本調査・検討における注力領域は、情報セキュリティに普及啓発の意義 として定義したあるべき姿である「IT リスクをユーザが認識し、自ら情 報セキュリティ対策を実施することを促すこと」を可能とする領域とし て、下図の通り①普及啓発の対象者、②普及啓発のプロセス、③普及啓 発主体(ステークホルダ)を決定した。 ①普及啓発の対象者 情報セキュリティへの認識が低く、自分で守れない「リテラシー獲得 度の低いユーザ」から、認識はあるが情報セキュリティ対策を行わな い「一般ユーザ」を対象とする。 ②普及啓発のプロセス 開発された情報セキュリティ技術が提供、利用される過程における普 及啓発活動を検討の範囲とする。 ③普及啓発のステークホルダ 普及啓発のステークホルダは、ユーザとの距離や情報セキュリティへ の責任度合いを考慮しながら、幅広く洗い出した後、施策を検討して いく中で、ステークホルダを絞り込む。 <リテラシー獲得度 の低いユーザ> <一般ユーザ> <上級ユーザ> どうしても出来ない /やらない プロセス 研究・開発 ステークホルダ 引上げ 底上げ 対象者 認識あるが、 自分で守らない 認知 提供 習得 認識あり 自分で守れる 活用 確認 普及対象者ごとに、その都度洗い出して決定する 図 30 本調査・検討の注力領域 78 委員名簿 【委員長】 林 紘一郎 情報セキュリティ大学院大学 学長・教授 【委員】 折田 明子 慶應義塾大学大学院特別研究講師 小泉 力一 尚美学園大学大学院教授(文部科学省参与) 小屋 晋吾 トレンドマイクロ株式会社企画室室長 塩崎 哲夫 富士通株式会社セキュリティソリューション本部 情報セキュリティセンターセンター長 高橋 浩昭 株式会社ビーシーキューブ代表取締役 吉田 奨 ヤフー株式会社法務本部ネットセーフティ企画室長 【事務局】 株式会社 NTT データ経営研究所情報戦略コンサルティング本部 上瀬 剛 籠谷 真人 松丸 剛 79 堀越 直美