...

平成 24 年度 情報セキュリティ人材の育成に向けた検討 報告書 2013 年

by user

on
Category: Documents
3

views

Report

Comments

Transcript

平成 24 年度 情報セキュリティ人材の育成に向けた検討 報告書 2013 年
V 平成 24 年度
内閣官房情報セキュリティセンター
委託調査
平成 24 年度
情報セキュリティ人材の育成に向けた検討
報告書
2013 年1月
株式会社 NTT データ経営研究所
1. 本調査・検討の概要 ............................................... 2
1.1.
背景と目的 ............................................... 2
1.2.
調査内容 ................................................. 2
1.3.
検討会の開催概要 ......................................... 3
(1) 委員名簿 ................................................. 3
(2) 事務局 ................................................... 3
(3) 検討会の開催概要 ......................................... 4
2. 企業ニーズ等調査 ................................................. 5
2.1.
調査対象及び調査項目 ..................................... 5
(1) 調査対象
~情報セキュリティ人材の分類 ................... 6
(2) 調査項目 ................................................. 8
(3) 調査対象企業 ............................................. 9
2.2.
企業のニーズ等 .......................................... 12
(1) 総論 .................................................... 13
(2) 各論(現状及び課題) .................................... 19
(3) 各論(大学への要望) .................................... 27
(4) 各論(人材育成に係るその他の課題) ...................... 36
3. 大学実態等調査 .................................................. 39
3.1.
調査対象及び調査項目 .................................... 39
(1) 調査対象
~大学調査の対象となる教育課程 ................ 39
(2) 調査項目 ................................................ 40
(3) 調査先大学名 ............................................ 41
3.2.
大学の実態等 ............................................ 43
(1) 総論 .................................................... 43
(2) 各大学の取組み .......................................... 45
(3) 取組み成果等のコメント .................................. 85
4. 大学向け啓発資料案 .............................................. 91
4.1.
啓発資料案作成における基本的考え方 ...................... 91
4.2.
啓発資料案構成 .......................................... 91
4.3.
活用方法 ................................................ 92
4.4.
啓発資料案 .............................................. 92
別添資料 1
「大学における情報セキュリティ教育の重要性について(案)」
1
1. 本調査・検討の概要
1.1. 背景と目的
本事業は、
「情報セキュリティ人材育成プログラム1 」(2011 年7月8日情報
セキュリティ政策会議決定)および「情報セキュリティ人材育成プログラムを
踏まえた2012年度以降の当面の課題等について2」(2012年5月31日普及啓発・
人材育成専門委員会取りまとめ)を踏まえ、情報セキュリティ人材の育成に
関する情報を収集するものである。
本調査では、企業および大学に対してヒアリング等を行うことにより、情
報セキュリティ人材の育成に関する課題、ニーズ、取り組み事例等を把握す
ることを目的とする。
1.2. 調査内容
情報セキュリティ人材育成に関する課題、情報セキュリティ研究科等の設
置・教育に関する企業のニーズ、情報セキュリティ教育に関する大学の教養
課程・共通課程に対する企業のニーズ、情報セキュリティ教育に関するMB
A又はMOT等に対する企業のニーズを把握するため、企業に対するヒアリ
ング等を実施した。
教養課程・共通課程及び情報セキュリティ専門でない研究科において、情
報セキュリティの授業を実施している事例、資格試験等を活用した授業を実
施している事例、情報セキュリティに関する新たな学位の創設についての意
向を把握するため、大学に対するヒアリング等を実施した。
こららの調査をとりまとめ、大学における情報セキュリティ教育の実施に
資する大学向け啓発資料を作成した。
本調査は、情報セキュリティ人材育成に幅広い知見を有する有識者からな
る検討会を開始し、当該検討会において、調査結果の分析・検討等を行いつ
つ調査を進めた。
1
2
出典:http://www.nisc.go.jp/active/kihon/pdf/jinzai2011.pdf
出典:http://www.nisc.go.jp/active/kihon/pdf/jinzai_kadai2012_fix.pdf
2
1.3. 検討会の開催概要
検討会の委員名簿及び開催概要を示す。
(1) 委員名簿
<座長>
今井 秀樹
中央大学
理工学研究所長
<副座長>
浜田 達夫
社団法人
日本情報システム・ユーザ協会
常務理事
<委員>
下村
正洋
特定非営利活動法人日本ネットワークセキュリティ協会
事務局長
砂原 秀樹
慶應義塾大学教授
与儀 大輔
情報セキュリティ教育事業者連絡会
代表
(2) 事務局
株式会社 NTT データ経営研究所
(統括責任者)
上瀬
剛
ソーシャル・イノベーション・コンサルティング本部
本部長
(実施責任者:プロジェクトリーダー)
松丸
剛
情報戦略コンサルティング本部
シニアコンサルタント
(実施担当者)
助田
雄也
ソーシャル・イノベーション・コンサルティング本部
コンサルタント
3
(3) 検討会の開催概要
検討会は合計3回開催し、調査内容等について協議した。第1回検討会で
は、本調査の事業概要を確認したうえで、調査方針及び調査項目等を協議し
た。第2回検討会では、調査設計に基づいて行った調査結果を報告し、調査
結果の分析・検討を行うとともに、調査結果を踏まえた啓発資料案の中間報
告を行い、当該資料について協議した。第3回検討会では、これまでの協議
内容を踏まえた報告書の確認等を行った。
図表 1
開催日
開催概要
開催時間
議事次第
(1)事業概要の確認
-調査目的と調査内容
第1回
2012 年
検討会
11 月 5 日(月)
-調査設計各項目
午前 10:00~12:00
(2)調査対象先の協議
-IT ユーザ企業 10 社
-セキュリティ関連企業 10 社
-大学 10 機関
(1)企業ニーズ等調査結果報告
-ニーズ等の状況
第2回
2012 年
検討会
12 月 26 日(水)
-大学教育への要望
午後 13:00~15:00
(2)大学実態等調査結果報告
-教養課程、専門課程
(3)啓発資料案の概要(中間報
告)
(1)報告書記載事項の確認
-事業概要
第3回
2013 年
検討会
1 月 18 日(金)
午後 15:00~17:00
-企業実態調査
-大学実態調査
-啓発資料
(2)啓発資料内容の確認
4
2. 企業ニーズ等調査
2.1. 調査対象及び調査項目
企業ニーズ等の調査を行うにあたり、まず、調査対象となる情報セキュリ
ティ人材の分類を明確にするとともに、調査項目を整理した。その整理を踏
まえ、調査項目について有益な情報収集が期待できる企業を調査対象として
選定した。
5
(1) 調査対象
~情報セキュリティ人材の分類
本調査における情報セキュリティ人材の分類は、
「情報セキュリティ人材
育成プログラムを踏まえた 2012 年度以降の当面の課題等について」(2012
年 5 月 31 日普及啓発・人材育成専門委員会取りまとめ)の分類を踏まえて
整理した。
「情報セキュリティ人材育成プログラムを踏まえた 2012 年度以降の当面
の課題等について」においては、企業内人材を「企業等の情報セキュリテ
ィ担当者」、「情報セキュリティ産業の人材」、「先端的研究者・技術者」に
分類されている。本調査においては、この整理を踏まえつつ、企業内にお
けるを人材配置状況を踏まえ、以下の6タイプに詳細化した。
タイプ1:企業の経営層の人材
情報セキュリティに係る責任者として、CSO(Chief Security Officer)や
CISO(Chief Information Security Officer)などが想定される。
タイプ2:企業の総務部門等の人材
主な役割としては、セキュリティポリシの策定や情報セキュリティ監査、
セキュリティマネジメントの推進等の担当者が想定される。
タイプ3:ユーザ人材
企業における情報システムの利用者
タイプ4:企業における情報システムの部門等の人材
社内の情報システムの開発・保守・運用の担当や技術的なセキュリティ対
策を理解し、サイバー攻撃などの検知・監視またはインシデント対応等の担
当者が想定される。
タイプ5:情報セキュリティサービスに関連する製品やサービスを提供する人
材
セキュリティ関連製品・サービスの開発・提供等を行う担当者が想定され
る。
タイプ6:先端的研究者・技術者
企業のなかで先端的な研究や開発行う担当者が想定される。
本調査における人材タイプの一覧及び企業内におけるこれらの人材の配
6
置モデルについては、図表 2 及び図表 3 を参照のこと。
図表 2
人材タイプ毎の主な役割
本調査での分類
主な役割
タイプ1
経営層の人材
・情報セキュリティの責任者(CSO(Chief
Security Officer)やCISO(Chief Information
Security Officer)など)
タイプ2
総務部門等の人材
・主にセキュリティポリシ策定、情報セキュリティ監査、
セキュリティマネジメントの推進等の担当
タイプ3
ユーザ
・情報システムを利活用する一般ユーザ
•社内情報システムの開発・保守・運用の担当
•技術的なセキュリティ対策を理解し、サイバー攻
撃などの検知・監視、インシデント対応(レスポン
ス系)等を行う担当
タイプ4
情報システム部門等の人材
•セキュリティ関連製品・サービスの開発・提供等を
行う担当
•制御系システムや組込システム等のIT関連
製品・サービスの開発時に、セキュリティ面から開
発に携わる担当
タイプ5
情報セキュリティサービスに
関連する製品・サービスを
提供する人材
タイプ6
先端的研究者・技術者
図表 3
・先端的な研究・開発を担う者
企業における情報セキュリティ人材の配置図
経営層
タイプ1
総務部門
監査部門
タイプ2
タイプ2
研究所
タイプ6
情報システム部門
セキュリティ製品・サービス
開発・提供部門
その他の部門
(ITを利活用)
タイプ5
タイプ4
主にセキュリティ関連企業等に配置
7
タイプ3
(2) 調査項目
調査項目は、
「1.1.背景と目的」及び「1.2.調査内容」を踏まえて設定した
「調査観点」から導出した。
企業の情報セキュリティ人材の確保実態及び課題の把握は、
「情報セキュリ
ティ人材育成に関する課題」と「情報セキュリティ人材採用に関する課題」
の調査観点から調査項目を設定し、
「大学教育への要望」は、教育課程の種類
別に調査項目を設定した。
企業における情報セキュリティ人材の育成・確保の取組みに関する政府や
社会制度等への要望は、「人材育成に係るその他の課題」とした。
導出した調査項目を、以下の図表 4 に示す。
図表 4
情報セキュリティ人材に関する調査観点と調査項目
調査観点
調査項目
情報セキュリ
①社内での育成・活用面の課題
ティ人材育成
-育成時に困っていること
育成
に関する課題
(経営層の理解、人材育成・研修プログラム、リソースの質・量等)
課題
情報セキュリ
①採用時の課題
ティ人材採用
-採用時に困っていること
に関する課題
(経営層の理解、人材育成計画、応募人材の量・質、等)
大学教育への
①教養課程に求める要望
要望
-教養レベルに求める情報セキュリティの素養スキル(教えて欲し
いスキル、等)
②セキュリティ専門外の専門課程及び情報セキュリティ研究科に
求める要望
大学
-情報セキュリティ専門家を育成する取り組みの推進に関する要
教育
望・期待
への
-情報セキュリティ研究科の投資に関する要望・期待
要望
③専門課程及び情報セキュリティ研究科に求める要望
-情報セキュリティ専門家を育成する取り組みの推進に関する要
望・期待
④MBA 又は MOT 等に対する要望
-経営層育成を念頭に置いた MBA 又は MOT の課題における情報セキ
ュリティ教育の推進に関する要望・期待
人材育成に係るその他
企業における情報セキュリティ人材の育成・確保の取組みに関する
の課題
政府や社会制度等への要望
8
(3) 調査対象企業
調査は、6つに分類した情報セキュリティ人材のすべてを網羅することが
求められる。
そこで、企業内における当該人材の配置状況の特性を加味して、調査先を
選定した。セキュリティ事業を主とする企業は、情報セキュリティの専門性
が高い人材が配置されていることが想定されるものの、IT ユーザ企業は、専
門性領域は、セキュリティ事業を主とする企業との業務委託関係での利活用
を行いつつも、企業内セキュリティ対応のマネジメントや、統治するための
人材を確保していることが想定される。そこで、このような企業特性を踏ま
え、本調査では、IT ユーザ企業と、セキュリティ関連企業とに分類して、そ
れぞれ 10 社を調査対象とすることとした。
①IT ユーザ企業
IT ユーザ企業は、日本標準産業分類3のなかから、現在情報セキュリティ
の確保が求められる重要インフラ事業を優先的に選定した。選定は、図表 5
に示す考え方で行った。
図表 5
IT ユーザ企業選定の考え方
選定及び検討会での協議の結果、調査先業界は、金融、通信(電気通信)、
通信(情報通信)、航空、鉄道、運輸、宅配、製造(自動車)、製造(精密機
器)、小売・サービス業の 10 業種とした。そのうえで、具体的な調査企業を
選定した。本事業の調査企業は、以下の 10 社である。
3
出典:http://www.stat.go.jp/index/seido/sangyo/19-4.htm
9
図表 6
IT ユーザ企業一覧
業種等
企業名
特徴
金融
金融 A 社
金融サービス事業者
通信(電気通信) 電気通信 B 社
航空
航空 C 社
鉄道
鉄道 D 社
通信(情報通信) 情報通信 E 社
電気通信事業会社
航空業界システム開発事業会社
民間鉄道会社
インターネット関連サービス事業会社
IT 関連技術・機器・ソフトウェアサービス
製造(自動車)
製造(精密機器)
自動車関連 F 社
事業会社
オフィス機器製造・ ソリューション&サービス事業会社
販売 G 社
小売・サービス
サービス H 社
運輸
運輸 I 社
宅配
宅配 J 社
レンタル事業会社
輸送・運送会社
宅配事業会社
10
②セキュリティ関連企業
セキュリティ関連企業は、
「セキュリティ対策ソフト開発事業者」、
「セキュ
リティ製品・サービス開発ベンダー(IT ベンダー含む)」、
「セキュリティ監視・
管理事業」、「セキュリティ教育事業」の4つのカテゴリから選定した。
そのうえで、具体的な調査企業を選定した。本事業の調査企業は、以下の
10 社である。
図表 7
セキュリティ関連企業一覧
カテゴリ
企業名
特徴
セキュリティ対策ソフト
K社
アンチ・ウイルスソフト等のセキュリティ
開発事業
関連製品の開発・販売事業会社
L社
IT ソリューション、セキュリティ関連の製
品開発・販売事業者会社
O社
デバイス、ネットワーク、セキュリティ関
連の製品開発・販売事業者会社
セキュリティ製品
P社
・サービス開発事業
クラウド、ネットワーク、アウトソーシン
グ等含めたセキュリティ関連の製品開発・
販売事業者会社
R社
システムインテグレーション事業会社
Q社
セキュリティソリューション、システムイ
ンテグレーションサービス事業会社
セキュリティ監視
S社
・管理事業
セキュリティ関連の診断・監視・監査・認
証支援サービス事業会社
T社
高度セキュリティサービス・コンサルティ
ンサービス事業会社
M社
セキュリティ教育事業
セキュリティ人材育成関連の製品開発・販
売事業者会社
N社
セキュリティ人材育成関連の製品開発・販
売事業者会社
11
2.2. 企業のニーズ等
企業のニーズ等は、情報セキュリティ人材タイプ別にまとめた。
さらに、ニーズ等は、企業における情報セキュリティ人材の確保状況や育
成に係る「現状及び課題」と、その解決として期待する「大学への要望」及
び「人材育成に係るその他の課題」に分けて整理した。
本節は総論を示したうえで、調査企業のコメントを紹介する各論で構成す
る。
12
(1) 総論
企業訪問インタビューから得られた情報セキュリティ人材タイプ毎の主な
現状及び課題と、その解決として大学へ求める要望について、総論として整
理した。
①全タイプ共通(タイプ3ユーザ含む)
現状及び課題
○情報セキュリティに関するモラ
ルや作法は必須であるが、欠けて
いる人が多い。(金融 A 社)
○PC やスマホ等の自分が使う IT 機
器ぐらいは適切に管理すべきであ
るが、できない人が多い。(鉄道
D 社、情報通信 E 社、運輸 I 社)
○情報セキュリティに関するモラ
ルや作法は、継続的に学習しなけ
れば身につかない。(航空 C 社、
宅配J社)
○あらゆる分野で、情報セキュリテ
ィに配慮した行動が求められてい
る。専攻している分野に関連する
セキュリティについては、大学時
代に学習して欲しい。
(ベンダーL 社、R 社、セキュリ
ティ関連 T 社)
大学への要望
【教養課程】
○IT 及びインターネットの基本的な仕組みを
理解したうえで、情報セキュリティモラル、
情報セキュリティリテラシーを学べる講義
を行って欲しい。最近のインシデント事例も
取り上げて欲しい。(金融 A 社、航空 C 社、
鉄道 D 社、情報通信 E 社、オフィス機器製
造・販売 G 社、サービス業 H 社、宅配J社、
ベンダーL 社,M 社、P 社、R 社、セキュリ
ティ関連 T 社)
【専門課程】
○文系理系に関係なく、専攻している分野に
関連するセキュリティ問題を講義、ゼミ、ワ
ークショップで取り上げて欲しい。(オフィ
ス機器製造・販売 G 社、サービス業 H 社、
ベンダーL 社、M 社、R 社、セキュリティ
関連 N 社、T 社、有識者 X 氏)
13
②人材タイプ1
経営層
現状及び課題
大学への要望
○情報セキュリティ事故は経営に
【MBA・MOT】
重大な影響を与えていることか
○情報セキュリティに関する法令・ガイドラ
らもわかるように、情報セキュリ
インや技術知識等をバランス良く学べる講
ティは極めて重要な経営課題で
義や事例研究等により、企業経営における
ある。(オフィス機器製造・販売 G
情報セキュリティ投資の必要性・価値を理
社、ベンダーM 社、セキュリティ
解できるような教育を実施して欲しい。
関連 T 社)
(電気通信 B 社、鉄道 D 社、オフィス機器
○情報セキュリティ対策を実施す
るためには、人・物・金の適切な
製造・販売 G 社、サービス業 H 社、宅配
J社、セキュリティ関連 T 社)
配分が必要であり、情報セキュリ
ティ対策に対する経営層の理解
は必要不可欠。
(オフィス機器製造・販売 G 社、
ベンダーM 社、セキュリティ関連
T 社)
○情報セキュリティ対策について、
業務と IT の両面から適切に判断
できる人材が不足している。(金
融 A 社)
14
③人材タイプ2
総務部門等の人材
現状及び課題
大学への要望
○大学等の専攻に関係なく、情報セ 【教養課程】
キュリティポリシー策定、インシ
○IT 及びインターネットの基本的な仕組みを
デント対応、情報セキュリティ監
理解したうえで、情報セキュリティモラル、
査等の業務を担当。そのような業
情報セキュリティリテラシーを学べる講義
務を行うためには、IT やセキュリ
を行って欲しい。最近のインシデント事例
ティの基礎が必要。(金融 A 社、
も取り上げて欲しい。(金融 A 社、航空 C
情報通信 E 社、宅配J社、ベンダ
社、鉄道 D 社、情報通信 E 社、オフィス機
ーO 社)
器製造・販売 G 社、サービス業 H 社、ベ
ンダーL 社、M 社、P 社、R 社、情報セキ
ュリティ関連 T 社)
【専門課程】
○業務に根差した情報セキュリテ
○情報セキュリティ関連法制について、体系
ィポリシー策定やインシデント対
的に学べる講義を実施して欲しい。(金融
応には、セキュリティ関連法制に
A 社、情報通信 E 社)
ついて体系的な基礎知識が必要。
一方、情報セキュリティ関連法令
は多岐にわたり、OJT や独学で習
得することが困難。(金融 A 社、
鉄道 D 社、情報通信 E 社)
15
④人材タイプ4
情報システム部門等の人材
現状及び課題
大学への要望
○IT ユーザー企業であっても、情報 【専門課程(情報関係)】
セキュリティの専門家と対等に会
○基本的な技術知識を学んだ後に、体系的な
話ができる情報セキュリティ人材
情報セキュリティ教育を一通り行って欲し
が必要。(金融 A 社、情報セキュ
い。(航空 C 社、オフィス機器製造・販売
リティ関連 K 社、T 社)
G 社、ベンダーL 社、M 社、情報セキュリ
○インシデント等に対応する組織
ティ関連 T 社)
(CERT)に配属できる人材が、
質と量の両面から不足している。
(鉄道 D 社、ベンダーL 社、O 社)
○体力のない IT ユーザー企業では、
社内で情報セキュリティ人材を育
成するのが困難になりつつある。
(航空 C 社、有識者 V 氏)
○OJT や独学で知識を身につけた
情報セキュリティ担当者は、自ら
の知識に穴があることを懸念して
いる。(航空 C 社、有識者 V 氏) 【専門課程(セキュリティ)】
○セキュリティの技術は、知識だけ ○現場で求められる技術を把握するため、演
でなく、現場で求められる技術を
習、インターンシップ、企業との共同研究
把握しながら、経験と共に体得す
などによる現場経験をさせて欲しい。(金
る実践力が重要。(金融 A 社、ベ
融 A 社、ベンダーO 社、有識者 U 氏、V
ンダーO 社)
氏、W 氏)
○情報セキュリティのことしかや
○情報セキュリティだけではなく、幅広く対
らない人材は処遇が難しいため、
応できる人材を育成して欲しい。(金融 A
情報セキュリティ以外の業務にも
社、鉄道 D 社、情報通信 E 社、情報セキュ
対応できる順応性が必要である。
リティ関連 T 社)
(金融 A 社、ベンダーL 社、P 社、
R 社)
16
⑤人材タイプ5
情報セキュリティサービスやソリューション等を提供する
人材
現状及び課題
大学への要望
○高まるサイバー脅威やクラウド・セキュリティ
【専門課程(理工系)】
などの新しい環境に対応できる
○情報関係以外の専門課程においても、各専
実践力をもった人材が不足。(ベ
門分野に関連するセキュリティ問題を講義
ンダーL 社)
で取り上げて欲しい。
(オフィス機器製造・
○自動車、情報家電、複合機等の組
込みソフト開発やプラント等の制御系シ
ステム開発において、セキュリティ対策を
販売 G 社、ベンダーL 社,M 社、セキュリ
ティ関連 T 社)
【専門課程(情報関係課程)】
検討できる人材が不足。(自動車 ○基本的な技術知識を学んだ後に、体系的な
関連 F 社、オフィス機器製造・販
情報セキュリティ教育を一通り行って欲し
売 G 社、ベンダーO 社)
い。(航空 C 社、オフィス機器製造・販売
○OJT や独学で知識を身につけた
情報セキュリティ担当者は、自らの知識
G 社、ベンダーL 社,M 社、情報セキュリ
ティ関連 T 社)
に穴があることを懸念。(航空 C ○組込みソフトのセキュリティ対策を理解す
社、有識者 V 氏)
○セキュリティの技術は、知識だけでな
るため、模擬体験型演習機の活用を検討し
て欲しい。(自動車関連 F 社)
く、現場で求められる技術を把握
しながら、経験と共に体得すると 【専門課程(セキュリティ)】
いう実践力が重要。
(金融 A 社、ベンダーO 社)
○情報セキュリティは幅広い技術領域に
○現場で求められる技術を把握するため、演
習、インターンシップ、企業との共同研究
などによる現場経験をさせて欲しい。(金
跨がるテーマであるが、情報セキュリティ
融 A 社、ベンダーO 社、有識者 U 氏、V
の専門家は視野が狭いことが多
氏、W 氏)
い。
(情報セキュリティ関連 S 社、 ○情報セキュリティだけではなく、幅広く対
Q 社)
○情報セキュリティのことしかやらない
人材は処遇が難しいため、情報セ
応できる人材を育成して欲しい。(鉄道 D
社、情報通信 E 社、情報セキュリティ関連
T 社)
キュリティ以外の業務にも対応できる
順応性が必要。(金融 A 社、ベン
ダーL 社、P 社、R 社)
17
⑥人材タイプ6
先端的研究者・技術者
現状及び課題
大学への要望
○クラッキング技術やその解析技
【専門課程(セキュリティ)】
術等を試しながら、セキュリティ ○演習、企業との共同研究などにより、実践
技術の知識を高めることが重要。
的な研究者を育成して欲しい。
(金融 A 社、
(電気通信 B 社)
電気通信 B 社、ベンダーO 社、情報セキュ
リティ関連 Q 社、T 社、有識者 U 氏)
○特化した領域を研究しているこ
○社会実態に適したユースケースを想定でき
とから、応用が利かないという印
る人材を育成して欲しい。
象がある。
(金融 A 社、ベンダーL 社、R 社)
(ベンダーP 社、情報セキュリテ
ィ関連 S 社)
18
(2) 各論(現状及び課題)
IT ユーザ企業 10 社及び情報セキュリティ関連企業 10 社へ実施した訪問イ
ンタビューから、以下の情報セキュリティ人材タイプ毎の現状及び課題を得
た。
①全タイプ共通(人材タイプ3
ユーザ
含む)
 企業人全般には、情報セキュリティに関する脅威や、モラル・お作法(対
応すべき行動の判断)を習得していることが求められる。(金融 A 社)
 IT 機器を取り扱う際の注意すべき観点や個人情報保護、サイバー対策な
どに関する知識が不足している。(鉄道 D 社)
 社員は全員、自身の扱う PC について情報セキュリティを意識した取り扱
いができることが求められる。(情報通信E社、運輸i社)
 IT や情報セキュリティに関わる分野は、技術環境の変化が非常に早いた
め、自ら学習する姿勢を身につけて、継続的な学習が必要である。
(航空
C 社、宅配J社)
 あらゆる分野で情報セキュリティに配慮した行動が求められている。企
業では実践的な面を教育できるが、専攻している分野に関連するセキュ
リティについては、大学時代に学習して欲しい。(ベンダーL 社)
 セキュリティ対応について、テクニカル領域だけに関係する時代ではな
い。インシデント発生後は、テクニカル面から原因究明するほか、マス
コミ対応など多様な法律領域の知識も必要になるため、あらゆる分野で
情報セキュリティに関係した知識が求められている。(ベンダーR 社)
 情報セキュリティは様々な領域に関係するため、所属する業務ごとにセ
キュリティに配慮する視点が求められる。(セキュリティ関連 T 社)
19
②人材タイプ1
経営層
 情報セキュリティ事故は経営に重大な影響を与える。このような特徴が
あるものの、経済状況が停滞しているなかでは、情報セキュリティへの
投資は事業に明確にその影響が把握されにくい性質があり、マネジメン
ト層に理解されにくい。(オフィス機器製造・販売 G 社)
 企業経営者にとって、情報セキュリティは経営に直接関係するものでは
ないため、理解されにくいものの、情報セキュリティは企業経営におい
て重要な項目である。(ベンダーM 社)
 セキュリティ対策にどの程度予算をかけることが望ましいのかを判断で
きる等のマネジメント力のある人材が必要。(セキュリティ関連 T 社)
 情報セキュリティ対策について、業務と IT の両面から適切に判断できる
人材が不足している。(金融 A 社)
20
③人材タイプ2
総務部門等の人材
 このタイプの人材は、社内規程に詳しく、業務を横断的に把握できる人
材が必要である。とくに監査部門では、IT 部門に的確に指摘を行うため
に、IT の知識が求められるだろう。このため、タイプ3や4などのテク
ニカル系の人材がこのタイプに配置されるようなキャリアパスがあって
もいいと思う。これによって、社内ルールに基づいて、業務要件をシス
テム要件に落とし込める知識が確保できると思う。(金融 A 社)
 業務に根差したセキュリティ規程を策定するため、総務系・法務系の人
材は、リーガルマインドをもった人材で配置する必要がある。規程策定
を、技術系人材に任せると、規程内容の落とし所が的確に対処できない
場合が多い。また、監査部門系の人材は、いろんな部署(業務系、技術
系)からの人材で構成され、ユーザの(仕事がわかる)知恵を結集させ
ている。(情報通信 E 社)
 監査スキルが必要な人材は、現在業務監査知識偏重になっているものの、
これからは、IT の観点からの監査知識が必要だと思う。ただ、そのよう
な知識は、法制度などの要求項目(義務という意味)がないと積極的に
習得されることはないとは思う。(ベンダーO 社、宅配J社)
 業務に根差した情報セキュリティポリシー策定やインシデント対応には、
セキュリティ関連法制について体系的な基礎知識が必要。こういう情報
は OJT でその都度習得するだけでは難しいと思う。(鉄道 D 社、有識者 V
氏)
21
④人材タイプ4
情報システム部門等の人材
 必要なスキル・知識は、①システム全体を理解する力、②システムプロ
ダクトを理解する力、③セキュリティ対策に関する知識、④業界標準の
セキュリティ基準(PCI-DSS,FISC)の知識、と考えている。それに加え、
実務経験として、①アーキテクチャー設計、②セキュリティ対策、③セ
キュリティ対策ソフトの導入、が求められる。これらに基づいて、さら
に発注者側として RFP が書けて、ベンダーに指示・管理できる能力が必
要である。(金融 A 社)
 IT ユーザ企業であっても、情報セキュリティの専門家と対等に会話でき
る情報セキュリティの素養が必要だろう。そのためには、最低限 CISSP
や情報セキュリティスペシャリストの資格を当該タイプは習得しておく
べきだろう。(セキュリティ関連 K 社、T 社)
 サイバー脅威が増加している状況を踏まえると、社内システム(社内ス
ケジュールなどのグループウェアシステム)は、クローズ環境であるも
のの、安心しているわけではなく、サイバーセキュリティに対する対策
方法や人材の(スキルと数の両方に)不足を感じている。(鉄道 D 社)
 サイバー脅威への対応できる人材が不足している。(ベンダーL 社)
 CERT のようなインシデントレスポンスやミティゲーションを担当する人
材が不足している。ハッカーと直接対峙する実践力が求められている。
(ベンダーO 社)
 セキュリティ担当者は限られた人材に特化しており、属人的になってい
る。年々重要性が増していっていることは認識しているが、十分に注力
できていない。(航空 C 社)
 体力のない IT ユーザー企業では、社内で情報セキュリティ人材を育成す
るのが困難になりつつある。(有識者 V 氏)
 社内の情報セキュリティ教育について、体系的な習得プロセスは整備し
ていない。OJT(現場で都度実施)と本人の独学に委ねているところが大
きいため、自分の知識で十分なのか、不安がある。(航空 C 社)
 OJT や独学で知識を身につけた情報セキュリティ担当者は、自らの知識に
穴があることを懸念している。(有識者 V 氏)
 セキュリティの技術は、知識だけではく、現場で求められる技術を把握
しながら、経験と共に体得する実践力が重要である。(金融 A 社)
22
 サイバー脅威に対応するには、手足を実際に動かす実践力が必要である。
(ベンダーO 社)
 情報セキュリティのことしかやらない人材は処遇が難しいため、情報セ
キュリティ以外の業務にも対応できる順応性が必要である。(金融 A 社)
 現在はセキュリティのことしかやらない人材は処遇が難しいため、その
ような人材は採用していない。(ベンダーP 社、R 社)
 幅広い業務を経験して IT スキルを身につけてから情報セキュリティに取
り組んでもらいたいと考えている。情報セキュリティは業務を理解して
いる人が実装していないと十分な対応ができないと考えている。業務が
できていないとイメージができない。(ベンダーL 社)
23
⑤人材タイプ5
情報セキュリティサービスやソリューション等を提供
する人材
 高まるサイバー脅威やクラウド・セキュリティなどの新しい環境に対応
できる実践力を持った人材が不足している。(ベンダーL 社)
 国内に“車×情報セキュリティ”の人材が絶対的に不足している。
(自動
車関連 F 社)
 複合機の開発などでは、組み込みセキュリティ対応が必要になってきて
いる。また、サービス系の開発も行っており、クラウドサービスやイン
ターネット・アプライアンス・セキュリティなどの領域でもセキュリテ
ィ品質が求められているので、この領域の人材は、セキュリティに関す
るテクニカル知識はほしいと思う。(オフィス機器製造・販売 G 社)
 組み込み系は、スマートフォン製造の領域で他社と協働で事業を実施す
る段階にあるので、これから人材確保が明確になる状況。この組み込み
領域は、コンポーネントが共通のカテゴリ(情報家電領域、カメラ領域、
クルマ領域、等)ごとに人材確保が求められるので、どの領域でセキュ
リティ知識が必要になるか見極めて対応していきたい。(ベンダーO 社)
 社内の情報セキュリティ教育について、体系的な習得プロセスは整備し
ていない。OJT(現場で都度実施)と本人の独学に委ねているところが大
きいため、自分の知識で十分なのか、不安がある。(航空 C 社)
 OJT や独学で知識を身につけた情報セキュリティ担当者は、自らの知識に
穴があることを懸念している。(有識者 V 氏)
 セキュリティの技術は、知識だけではく、現場で求められる技術を把握
しながら、経験と共に体得する実践力が重要である。(金融 A 社)
 サイバー脅威に対応するには、手足を実際に動かす実践力が必要である。
(ベンダーO 社)
 求める人材は、以前はセキュリティ専門系の人材であったが、ここ最近
は人物重視に移行している。セキュリティ専門の人は視野が狭く、最近
のビジネスで重視されているヒューマンインターフェースを確保された
人材像に当社は重きを置いているためである。(セキュリティ関連 Q 社)
 情報セキュリティは幅広い技術領域に跨がるテーマであるが、情報セキ
ュリティの専門家は視野が狭いことが多いと思う。
(情報セキュリティ関
連 S 社)
24
 情報セキュリティのことしかやらない人材は処遇が難しいため、情報セ
キュリティ以外の業務にも対応できる順応性が必要である。(金融 A 社)
 現在はセキュリティのことしかやらない人材は処遇が難しいため、その
ような人材は採用していない。(ベンダーP 社、R 社)
 幅広い業務を経験して IT スキルを身につけてから情報セキュリティに取
り組んでもらいたいと考えている。情報セキュリティは業務を理解して
いる人が実装していないと十分な対応ができないと考えている。業務が
できていないとイメージができない。(ベンダーL 社)
25
⑥人材タイプ6
先端的研究者・技術者
 クラッキング技術やその解析技術等を試しながら、セキュリティ技術の
知識を高めることが重要。(電気通信 B 社)
 特化した領域を研究していることから、属人的な対応になっている。
(ベ
ンダーP 社)
 特化した領域を研究していることから、応用が利かないという印象があ
る。(情報セキュリティ関連 S 社)
26
(3) 各論(大学への要望)
IT ユーザ企業 10 社及び情報セキュリティ関連企業 10 社へ実施した訪問イ
ンタビューから、以下の情報セキュリティ人材タイプ毎の大学への要望を得
た。
①全タイプ共通(人材タイプ3
ユーザ
含む)
【教養課程への要望】
 セキュリティに関するコンピュータ・ウイルスなどの脅威や、対策の作
法、モラルなどの基本的なことを学んでほしい。(金融 A 社、宅配J社)
 IT や情報セキュリティに関わる分野は技術環境変化が非常に早いため、
知識習得も重要だが、自ら学習する姿勢を身につけてきてほしい。
(航空
C 社)
 情報の取り扱い、IT 機器操作のイロハを教えるのみならず、個人情報漏
えいやサイバーテロなどの事例紹介なども行われるとよい。(鉄道 D 社)
 インターネットの基本的な仕組みについては学んでほしい。とくに、サ
イバー空間についても、リアルな世界と同様に扱う教育が必要だと思う。
というのも、サイバー空間の追跡性はリアルな世界よりも強いはずだか
らである。一般教養のなかで、サイバー犯罪に関する知識・法令も教え
て良いのではないだろうか。(情報通信 E 社)
 情報の取り扱い(機密区分、等)や管理方法、コンプライアンス等の知
識や情報セキュリティに関わる社会の課題をとらまえてほしい。情報リ
テラシー教育のなかで、是非とも情報セキュリティ教育も実施してほし
い。(オフィス機器製造・販売 G 社)
 情報セキュリティに関するテクニカルなことのみではなく、知識を活用
して情報処理の仕組み全体を理解する力を身につけてほしいと考えてい
る。技術、ガイドライン、現場のオペレーションについてバランス良く
考えられる力が重要であると考えている。(サービス業 H 社)
 企業で使える知識は、企業で教えるので、大学には、基本的な知識(イ
ンシデント事例、リテラシー/モラル、サイバー脅威、等)を教えてほ
しい。企業は、大学卒業時には、とんがった技術者は求めていない。
(ベ
ンダーL 社、M 社、R 社)
 ノンテクニカル層向けの人材がセキュリティ・リテラシーや素養が醸成
される機会があってもいいだろう。(ベンダーP 社)
 教養課程では、リスクが分かることを求めたい。リスクに対する正しい
理解、自分の PC をきちんと管理できるようになることが重要。米国では
学童対象にセキュリティ教育を行っている。(セキュリティ関連 T 社)
27
【専門課程への要望】
 基礎的な技術知識を学んだ後に、セキュリティをどう確保するか、を押
さえるようなカリキュラム体系にしたうえで、教育してもらいたい。
(オ
フィス機器製造・販売 G 社)
 ケーススタディ等の活用や、ゲーム手法などを活用した授業が理解しや
すいと思う。(サービス業 H 社)
 文系・理系関係なく、各科目内で、各シラバスの最後の章でセキュリテ
ィ観点からの内容を取り入れてほしい。例えば、ネットワーク技術の科
目では、最後の章でネットワークセキュリティを扱うなどが考えられる。
(ベンダーL 社、M 社)
 文系、理系の区分は昔の話。インシデント対応の場合、原因究明をする
となるとマスコミ対応まで多様。法律的な知識も必要となるため、文系・
理系関係なくセキュリティ観点を教える必要がある。(ベンダーR 社)
 セキュリティは法律、社会心理学等様々な専門の集合体。法律、社会心
理学の分野をセキュリティの切り口からワークショップ、ゼミ等で展開
してみては面白いと思う。犯罪心理学、プロファイリングもセキュリテ
ィの一種であり、知識と経験を組み合わせていくことが必要。
(セキュリ
ティ関連 N 社)
 情報セキュリティは領域横断なテーマであることから専門科目を一通り
学習してから学習することが効果的ではないか。
(セキュリティ関連 T 社)
28
②人材タイプ1
経営層
【MBA コースへの要望】
 MBA プログラムのなかでは、危機管理に関する教育をしてみてはどうかと
考えている。技術一辺倒ではなく、法律やコンプライアンス、マネジメ
ント等の観点から情報セキュリティ教育を行ってもらいたい。
(電気通信 B 社)
 企業経営において、求められるセキュリティの知見を教育してもらいた
い。例えば、情報システムから機密情報が漏えいした場合の損害や企業
信用の低下など企業の経営リスクについて重要だと考える。
(鉄道 D 社)
 経営者層の教育としては、コンプライアンス順守や業務の優先順位付け
等について、学習してもらいたい。(オフィス機器製造・販売 G 社)
 情報セキュリティは、企業外部に公開しにくいテーマであるため、経営
層の教育はセキュリティの取り扱いが難しいと思う。その意味で、例え
ばセキュリティ関連 Q 社の某氏のような客観的な事例の伝え方は上手い
と思う。経営層は、理想像はもっているが、他社事例や具体的取り組み
に関するインプットは十分ではないように思う。このような他社事例を
活用して経営層に注意喚起するような教育を行ってほしい。
(サービス業 H 社)
 セキュリティをテーマとした事例研究を行い、セキュリティをないがし
ろにした場合の損害を理解したうえで、セキュリティ投資への価値を理
解する教育が必要と感じる。(セキュリティ関連 T 社、宅配J社)
 経営教育として、取るべきセキュリティ対策の知識に加え、ユーザ等と
のコミュニケーションを取ることによって、組織内の実態を把握する重
要性を理解することが重要だと感じる。(宅配J社)
29
③人材タイプ2
総務部門等の人材
【教養課程への要望】
 セキュリティに関するコンピュータ・ウイルスなどの脅威や、対策の作
法、モラルなどの基本的なことを学んでほしい。(金融 A 社)
 IT や情報セキュリティに関わる分野は技術環境変化が非常に早いため、
知識習得も重要だが、自ら学習する姿勢を身につけてきてほしい。
(航空
C 社)
 情報の取り扱い、IT 機器操作のイロハを教えるのみならず、個人情報漏
えいやサイバーテロなどの事例紹介なども行われるとよい。(鉄道 D 社)
 インターネットの基本的な仕組みについては学んでほしい。とくに、サ
イバー空間についても、リアルな世界と同様に扱う教育が必要だと思う。
というのも、サイバー空間の追跡性はリアルな世界よりも強いはずだか
らである。一般教養のなかで、サイバー犯罪に関する知識・法令も教え
て良いのではないだろうか。(情報通信 E 社)
 情報の取り扱い(機密区分、等)や管理方法、コンプライアンス等の知
識や情報セキュリティに関わる社会の課題をとらまえてほしい。情報リ
テラシー教育のなかで、是非とも情報セキュリティ教育も実施してほし
い。(オフィス機器製造・販売 G 社)
 情報セキュリティに関するテクニカルなことのみではなく、知識を活用
して情報処理の仕組み全体を理解する力を身につけてほしいと考えてい
る。技術、ガイドライン、現場のオペレーションについてバランス良く
考えられる力が重要であると考えている。(サービス業 H 社)
 企業で使える知識は、企業で教えるので、大学には、基本的な知識(イ
ンシデント事例、リテラシー/モラル、サイバー脅威、等)を教えてほ
しい。企業は、大学卒業時には、とんがった技術者は求めていない。
(ベ
ンダーL 社、M 社、R 社)
 ノンテクニカル層向けの人材がセキュリティ・リテラシーや素養が醸成
される機会があってもいいだろう。(ベンダーP 社)
 教養課程では、リスクが分かることを求めたい。リスクに対する正しい
理解、自分の PC をきちんと管理できるようになることが重要。米国では
学童対象にセキュリティ教育を行っている。(セキュリティ関連 T 社)
【専門課程への要望】
 社会に出た時に、実務に精通することが大切だと考えているので、業界、
分野別のセキュリティ技術や法制に関する知識を学生時代に習得するこ
とは非常に有効であると考えている。IT(情報セキュリティ)の基準は
30
業界ごとに異なっている。例えば、カード業界であれば、PCIDSS(カー
ド業界におけるグローバルセキュリティ基準)等を理解していることは
非常に有用である。(金融 A 社)
 サイバー犯罪に関する知識として、不正アクセス禁止法などサイバー犯
罪に巻き込まれないよう、セキュリティ法制について教えてもらいたい。
(情報通信 E 社)
31
④人材タイプ4
情報システム部門等の人材
【専門課程(情報関係)への要望】
 セキュリティ知識を理解する前提として、ネットワーク構築に関する基
本的なスキルをきっちりと身につけてきてもらいたい。ただし、知識を
身につけること自体は重要であるが、中途半端な知識は、逆に悪意ある
行動に出る懸念もあるため、注意が必要である。(航空 C 社)
 基礎的な技術知識を学んだ後に、セキュリティをどう確保するか、を押
さえるようなカリキュラム体系のもとで事例も活用するなどして教育し
てもらいたい。(オフィス機器製造・販売 G 社)
 各科目内で、各シラバスの最後の章でセキュリティ観点からの内容を取
り入れてほしい。例えば、ネットワーク技術の科目では、最後の章でネ
ットワークセキュリティを扱うなどが考えられる。
(ベンダーL 社、M 社)
 情報セキュリティは領域横断なテーマであることから専門科目を一通り
学習してから学習することが効果的ではないか。
(セキュリティ関連 T 社)
【専門課程(セキュリティ)への要望】
 実務で活躍できる人材となるためには、座学だけでなく、演習も必要だ
と思う。(金融 A 社)
 大学はもっと企業講師を使って、実践を教えた方がいいと思う。産学交
流や学校間の交流があるとより効果的な教育ができると思う。米国では、
企業講師として、AT&T、ベライゾン、BTなどが派遣していると聞
く。日本もクラウドコンピューティングやネットワークセキュリティに
携わる人材が学生を教育すると企業が採用する際に、卒業生の価値が分
かりやすいと思う。(ベンダーO 社)
 大学以外でも情報セキュリティ教育に係る取組みを行っている機関があ
るので、そのような機関と協働して講義などに取組むと効果的だと思う。
有識者 U 氏)
 情報セキュリティ対策に携わる組織内人材のスキル向上を継続的に図る
ため、インターンシップ制度を活用することも有益である。
(有識者 W 氏)
 鉄道業界の制御系システムや情報機器は特殊であるので、そのような実
践的な知識は企業内に入ってからで十分である。そこで、セキュリティ
だけでなく電気工学やプログラム言語なども教育して欲しい。
(鉄道 D 社)
 情報セキュリティは幅広い領域に関係するので、業務を俯瞰できる視点
も備えた人材教育が必要だと思う。(情報通信 E 社、セキュリティ関連 T
社)
32
⑤人材タイプ5
情報セキュリティサービスやソリューション等を提供する
人材
【専門課程(理工系)への要望】
 基礎的な技術知識を学んだ後に、セキュリティをどう確保するか、を押
さえるようなカリキュラム体系のもとで事例も活用するなどして教育し
てもらいたい。(オフィス機器製造・販売 G 社)
 各科目内で、各シラバスの最後の章でセキュリティ観点からの内容を取
り入れてほしい。例えば、ネットワーク技術の科目では、最後の章でネ
ットワークセキュリティを扱うなどが考えられる。
(ベンダーL 社、M 社)
 情報セキュリティは領域横断なテーマであることから専門科目を一通り
学習してから学習することが効果的ではないか。
(セキュリティ関連 T 社)
【専門課程(情報関係)への要望】
 セキュリティ知識を理解する前提として、ネットワーク構築に関する基
本的なスキルをきっちりと身につけてきてもらいたい。ただし、知識を
身につけること自体は重要であるが、中途半端な知識は、逆に悪意ある
行動に出る懸念もあるため、注意が必要である。(航空 C 社)
 基礎的な技術知識を学んだ後に、セキュリティをどう確保するか、を押
さえるようなカリキュラム体系のもとで事例も活用するなどして教育し
てもらいたい。(オフィス機器製造・販売 G 社)
 各科目内で、各シラバスの最後の章でセキュリティ観点からの内容を取
り入れてほしい。例えば、ネットワーク技術の科目では、最後の章でネ
ットワークセキュリティを扱うなどが考えられる。
(ベンダーL 社、M 社)
 情報セキュリティは領域横断なテーマであることから専門科目を一通り
学習してから学習することが効果的ではないか。
(セキュリティ関連 T 社)
 組込みソフトのセキュリティ対策を理解するためには、触ってみて学習
することが重要である。そのためにも、模擬体験演習機の活用を検討し
て欲しい。またセキュリティの知識を持つ以前に、コンピュータサイエ
ンスに関する知識をきちんと学ぶことが重要だと考える。(自動車関連 F
社)
【専門課程(セキュリティ)への要望】
 実務で活躍できる人材となるためには、座学だけでなく、演習も必要だ
と思う。(金融 A 社)
 大学はもっと企業講師を使って、実践を教えた方がいいと思う。産学交
33
流や学校間の交流があるとより効果的な教育ができると思う。米国では、
企業講師として、AT&T、ベライゾン、BTなどが派遣していると聞
く。日本もクラウドコンピューティングやネットワークセキュリティに
携わる人材が学生を教育すると企業が採用する際に、卒業生の価値が分
かりやすいと思う。(ベンダーO 社)
 大学以外でも情報セキュリティ教育に係る取組みを行っている機関があ
るので、そのような機関と協働して講義などに取組むと効果的だと思う。
有識者 U 氏)
 情報セキュリティ対策に携わる組織内人材のスキル向上を継続的に図る
ため、インターンシップ制度を活用することも有益である。
(有識者 W 氏)
 鉄道業界の制御系システムや情報機器は特殊であるので、そのような実
践的な知識は企業内に入ってからで十分である。そこで、セキュリティ
だけでなく、電気工学やプログラム言語なども教育して欲しい。(鉄道 D
社)
 情報セキュリティは幅広い領域に関係するので、業務を俯瞰できる視点
も備えた人材教育が必要だと思う。(情報通信 E 社、セキュリティ関連 T
社)
34
⑥人材タイプ6
先端的研究者・技術者
【専門課程(セキュリティ)への要望】
 実務で活躍できる人材となるためには、座学だけでなく、演習も必要だ
と思う。(金融 A 社)
 セキュリティ人材育成に際しては、様々なセキュリティ技術(ハッキン
グ技術の逆解析など)を試す環境に課題を感じている。今後は、定常的
にトライアルの場を整備し、大学と共同研究など実施していきたいと考
えている。(電気通信 B 社)
 大学はもっと企業講師を使って、実践を教えた方がいいと思う。産学交
流や学校間の交流があるとより効果的な教育ができると思う。米国では、
企業講師として、AT&T、ベライゾン、BTなどが派遣していると聞
く。日本もクラウドコンピューティングやネットワークセキュリティに
携わる人材が学生を教育すると企業が採用する際に、卒業生の価値が分
かりやすいと思う。(ベンダーO 社)
 セキュリティキャンプ(IPA)や、ペレトレーションテストのような取り
組みを実習系授業として取り入れることは、有効であると考えている。
また、官民や民民の人材交流なども有効だろう。
(セキュリティ関連 Q 社)
 企業との共同研究(大学は、特許が見込め、企業は、サービス実現が見
込める)によって、ビジネスで求められる技術を知ることも有益だと思
う。(セキュリティ関連 T 社)
 日本として○○業界がどうあるべきか、を考え、日本版セキュリティ基
準を策定できるような思考がほしい。具体的には暗号、ウイルス対策等
の在り方が日本の業務をベースに考えてほしい。今はこの人材が不足し
ている。とくにネットワーク、データベースなどの領域で、日本社会に
合ったセキュリティ対策(アクセス・認証対応等)が考えられる人が必
要である。現在はアメリカの思想を受け入れる状況になっていると感じ
ている。(金融 A 社)
 セキュリティテーマを深く研究してほしい。日本として押さえるべき技
術テーマにフォーカスするべきである。例えば、ウイルス解析できる人
材などの育成は重要である。(ベンダーL 社)
 日本社会に沿ったユースケースが想定できる人材が必要だと感じている。
(ベンダーR 社)
35
(4) 各論(人材育成に係るその他の課題)
IT ユーザ企業 10 社及び情報セキュリティ関連企業 10 社へ実施した訪問イ
ンタビューから、人材育成確保に向けて政府等への要望を得た。
【我が国の環境面(全タイプに係る)への要望】
 情報セキュリティ人材のイメージアップが必要だと思う。ヒーローのよ
うに「国民がなりたい」という人物像があると、情報セキュリティ業界
が魅力的になると思う。政府はマスコミ等を活用して、そのような取組
みを行うことも必要なのではないか。
(電気通信 B 社、セキュリティ関連
Q 社、T 社、有識者 Y 氏)
 企業側が変わるべき側面もある。人事一括採用制度や、総務部・人事部
が旧態依然の体質である。時代の求めに応じた人材を採用するためには、
採用する側の組織が、変わる必要もあるのではないか?(有識者 V 氏、
有識者 W 氏)
 教育の現場では、情報セキュリティを教える教員も不足している、とい
う課題もある。(有識者 X 氏)
 情報セキュリティ教育を大学に任せるだけでなく、民間等でも実施して
いる機関4があるので、そのような取り組みを把握できるような仕組みが
あるとよい。(有識者 U 氏、W 氏)
 育成アプローチとして、日本は「禁止思考」が根強いと思う。罰則を教
えることに終始しており、その思考を教えるにしても、なぜ禁止なのか、
という理由は最低でも教えるべきと考える。(有識者 V 氏)
 情報セキュリティ教育に対する要望として、
「インシデント事例を取り上
げてほしい」という内容があった。そのためには、インシデント情報を
収集して、ある程度匿名化処理等の公開できる加工を行ったうえで、事
例情報を共有化する仕組み5があるといい6。(有識者 U 氏、V 氏、X 氏)
 IT 企業だけの取組みには限界があり、国として、セキュリティ事業の産
業を育成する筋道を示すことが重要だと思う。(セキュリティ関連 K 社)
 企業では、人材不足を感じていると思うが、だからといって、企業ごと
4
一般社団法人電子情報技術産業協会(JEITA)や NPO 日本ネットワークセキュリティ協会(JNSA)
では、教員を派遣して、大学等で講義やセミナー等を開催している。
5
サイバー攻撃による被害拡大の防止のため、経済産業省主管の下、重工、重電等、重要インフラで利
用される機器の製造業者を中心に情報共有と早期対応の場として、サイバー情報イニシアティブ
(J-CSIP)が 2011 年 10 月に発足して取り組みを進めている。
6
日本学術会議情報学委員会セキュリティ・ディペンダビリティ分科会提言「安全・安心を実現する情
報社会基盤の普及に向けて」
(平成 20 年 6 月 26 日)において、緊急に対処を要する重要案件として、
「情報システムの脆弱性に関わる事故調査委員会の設置」を挙げ、情報社会基盤にかかわる課題を一元
的に扱う機関が必要であることを指摘している。
36
にそのような人材確保を行っていくことがゴールになるとは思わない。
セキュリティはそもそも IT ユーザ企業においては事業に直結していない
ため、社内に人材を確保するよう取組める企業は少ない(金融のように
FISC でセキュリティ要件が明確であったり、企業体力がある大企業など
一部)はずである。さらに、すべての企業に、サイバー脅威を監視する
機能があれば良いというわけでもないだろう。サイバー脅威の監視は、
どこかの機関がその役割を担い、その情報を各企業で受ける体制があれ
ば十分だろうと思う。そこで政府に以下を求めたい。
①セキュリティ人材・セキュリティ機能は、社会全体で、どの機能をど
こが担うかを決めたうえで、企業が担うべき役割が定まるのだと思う。
すべての企業が、セキュリティ人材の全タイプを確保すれば良いとは思
わない。実際、毎日サイバー脅威の監視を担う人材のキャリアパスは構
築しづらいだろう。
②サイバー脅威情報の収集等は、防衛省・警察庁等の国家機関が担うべ
きだろう。その役割があると、大学がそのような人材を輩出した場合、
就職口が政府機関ということもあり、人が育つ。採用された人材は、あ
る程度経験を積んだら、民間へ移るなど官民交流が生まれるはずである。
民間では、そのようなキャリア人材を必要に応じて採用し、社内での同
様の任務等、または社内でスキルトランスファーするなど可能となる。
③いずれにしても、企業方針はタイプ1の経営層が担っているため、タ
イプ1にセキュリティ価値を認めるよう、CIO を設置する等の制度を作る
ことが必要だろう。一方で、そのような CIO 育成のための社会人教育機
関を増やすべきだろう。MBA コースなどあっても、今時点で経営層でない
人に教育したとしても、その人材が会社で経営層にたどりつくには時間
的乖離がある。そこで、社会人にいかにセキュリティ視点を与えられる
か、という観点から教育機関の設置を検討してもらいたい。
(セキュリテ
ィ関連 K 社)
【人材タイプ1
経営層への要望】
 企業経営層が情報セキュリティに対する取組みに関心を持つためには、
政府から、どこまでセキュリティ対策を行えばよいのか、などの指針を
提示してもらいたい。保安に関しては、技術指針があるように、セキュ
リティ対策にもそのようなものがあると望ましい。(鉄道 D 社)
 情報セキュリティ人材の確保を企業が的確に取組むためには、政府が企
業内に、人材配置させるルール(産業医配置ルール、資格必須業務領域
37
制度等)を策定すると効果があると思う。これにより、経営トップのセ
キュリティ意識の認識向上に繋がると思う。
(情報通信 E 社、オフィス機
器製造・販売 G 社、ベンダーO 社)
【人材タイプ5
情報セキュリティサービスやソリューション等を提供する
人材への要望】
 クルマ業界の組み込みに係るセキュリティ要求の枠組みを構築するには、
政府のリーダーシップ行使が必要であり、民間では様々な理由により動
きが遅い。一方で、EU や US ではセキュリティガイドラインや技術要求な
どの枠組みの策定が開始されている。(自動車関連 F 社)
 セキュリティ脅威に対する対応力(人材タイプ5のような人材)は、1
企業や国内だけで役割が果たせるものではない。サイバー対応は国際的
な場での情報交換や技術協力など生じるものの、我が国は米国のような
セキュリティ・クリアランスの制度が存在しないため、米国とまともに
機密情報に係る対話ができない状況にある。したがって、企業で人材育
成を求める前に、まず国としてサイバー脅威に対する防衛戦略をどう考
えるか明らかにするとともに、マルウェアの実演習の場(擬似演習環境)
を民間向けの提供や、エンジニア育成施策を策定するなどが必要だと思
う。(ベンダーO 社)
38
3. 大学実態等調査
3.1. 調査対象及び調査項目
大学における実態等の調査を行うにあたり、まず、調査対象となる教育課
程分類と調査対象選定の考え方を整理した。その整理を踏まえ、、調査項目に
ついて有益な情報収集が期待できる大学を調査先として選定した。
(1) 調査対象
~大学調査の対象となる教育課程
調査は、理系学部、文系学部に関わりなく、①教養課程、②セキュリティ
専門外の教育課程、③セキュリティ専門教育課程、④MBA コースの4つの教育
課程を対象に行う。この分類に加えて、情報セキュリティ資格試験を活用し
た取組みが見受けられることから、⑤資格試験の活用、も調査対象とした。
図表 8
年次
調査対象の教育課程
文系学部
1年
理系学部
①
教養課程
教養課程
2年
大学
3年
専門課程
4年
大学院
研究科
(修士)
②
セキュリティ専門外の教育課程
M1年
④MBAコース
M2年
今回の調査対象(①~⑤)
39
③セキュリティ
専門教育課程
⑤
資
格
試
験
の
活
用
(2) 調査項目
大学実態調査は、
「基礎情報」と「付加情報」に着目して調査項目を設定し
た。
「基礎情報」において、調査先の大学における情報セキュリティ教育に関
する講義の基礎情報を把握した。
図表 9
区分
調査項目(基礎情報)
調査項目
調査概要
対象
学部
教育対象学生について、学部、教育課程の種別、配置
学生
教育課程種別
年次の項目で整理します。
配置年次
設置情報
必修・選択の別
講義の必修・選択の種別を整理します。大学によって
は、「選択必修」という種別も存在します。
単位数
単位数を整理します。
教員の特徴
「企業出身教員」について記載します。
講義名
講義名称を記載します。
授業の目標
履修要項等に示された授業の目標を記載します。
概要
シラバス概要に基づいた授業概要を整理します。
教材
講義で活用している教材を記載します。
講義情報
カリキュラム
設置学部内のカリキュラム体系を記載します。
「付加情報」において、情報セキュリティ教育の結果としての成果や、そ
の他の事項を設定した。
図表 10
調査項目
調査項目(付加情報)
調査概要
授業を履修したことによる就職等に関連する成果と学校経営に関するアナウンス
授業の成果
効果等について記入します。
学生の評価
学生が授業を通じて感じた評価や得られた成果等を記入します。
大学として情
取り組みが大学経営にメリットを及ぼしている場合、その内容を記入します。
報セキュリテ
例:入学者数が増えた、就職率が向上した、広告効果としてメディア等の取材が増
ィ教育を実施
えた
するメリット
情報セキュリ
ティ人材育成
情報セキュリティ人材を大学で教育する際に認識ししている課題等を記入する。
に関する課題
40
(3) 調査先大学名
大学の事例調査先は、全国の大学のなかから、情報セキュリティ教育に取
り組んでいる「教育課程」と「資格試験の活用」の観点から調査先大学を事
前の web リサーチ等から以下を選出した。
情報セキュリティ教育に取組んでいる大学は「教育課程」、
「資格試験の活用」
別に以下の図表のとおり選定した。
図表 11
教育課程等の区分
調査先大学名
大学・学部名
山口大学
①教養課程
(全学部:文系・理系含む7学部)
東京電機大学
(情報環境学部)
東京大学
(工学部)
慶應義塾大学
(総合政策学部、環境情報学部)
②セキュリティ専門外
法政大学
の教育課程
(理工学部)
公立はこだて未来大学大学院
(システム情報科学研究科)
中央大学
(商学部)
③セキュリティ専門
電気通信大学
教育課程
(情報理工学部総合情報学科)
中央大学
(戦略経営研究科)
④MBA コース
青山学院大学
(国際マネジメント研究科)
41
教育課程等の区分
大学・学部名
沖縄大学
早稲田大学
(MNC7)
青山学院大学
文教大学
⑤資格試験の活用
東京家政大学
獨協大学
帝京大学
羽衣国際大学
奈良産業大学
長岡大学
7
MNC:メディアネットワークセンター、の略。早稲田大学では、MNC を設置し、全学共通副専攻(ソフ
トウェア学、等)習得に向けた履修科目を提供。
42
3.2. 大学の実態等
大学の実態等は、調査対象大学への公開情報及び訪問インタビューから得
られた、情報セキュリティ教育への取組みについてまとめた。
本節は、教育課程別に講座開設状況を総論として示したうえで、個別に大
学の取組み及び取組みの成果等のコメントを各論で紹介する。
(1) 総論
調査対象大学について、情報セキュリティ教育への主な取組みを教育課程
等の区分に分けて示す。
図表 12
教育課程等の区分
調査先大学名
大学・学部名
主な取り組みの特徴
山口大学
必修科目として、「情報セキュリティ・
(全学部:文系・理系含む7学部) モラル」(1単位)、「情報リテラシ
①教養課程
ー演習」(1単位)を開講。
東京電機大学
必修科目として、「情報倫理」(2単
(情報環境学部)
位)を開講。
東京大学
3、4年生の選択科目として、「情報
(工学部)
セキュリティ」(2単位)を開講。
慶應義塾大学
4年生の選択科目として、「情報セキ
(総合政策学部、環境情報学部)
ュリティ・マネジメント」(2単位)
を開講。
②セキュリティ専門外
法政大学
2年生の選択必修科目として、「セキ
(理工学部)
ュリティ概論」(2単位)、4年生の
の教育課程
選択科目として「セキュアシステム開
発」(2単位)を開講。
公立はこだて未来大学大学院
選択科目として、「情報セキュリティ
(システム情報科学研究科)
特論」(2単位)を開講。
中央大学
3、4年生の選択科目として「情報セ
(商学部)
キュリティ論」(2単位)、「情報セ
キュリティ技術論」(2単位)を開講。
③セキュリティ専門
電気通信大学
ネットワークセキュリティ、ソフトウ
(情報理工学部総合情報学科)
ェアセキュリティ、コンテンツセキュ
教育課程
リティ等のセキュリティ関連講義を幅
広く開講。
43
中央大学
選択科目として「ネットワーク時代の
(戦略経営研究科)
セキュリティとガバナンス」(2単位)
を開講。
④MBA コース
青山学院大学
選択科目として「情報セキュリティ」
(国際マネジメント研究科)
(2単位)を開講。
沖縄大学
2年から4年の選択科目、「情報とシ
ステムⅠ」、「情報とシステムⅡ」(各
2単位)の講義を通じて、情報処理技
術者試験のレベル1(入門レベル)に
あたる「IT パスポート試験」のテクノ
ロジ分野における出題範囲の多くを網
羅した授業を展開。
早稲田大学
選択科目として「CompTIA Security+
(MNC8)
入門」(2単位)の講義を開講。
青山学院大学
「IT パスポート試験」を活用した講座
を開設。
文教大学
「IT パスポート試験」を活用した講座
を開設。
⑤資格試験の活用
東京家政大学
「IT パスポート試験」を活用した講座
を開設。
獨協大学
「IT パスポート試験」を活用した講座
を開設。
帝京大学
「IT パスポート試験」を活用した講義
を開設。
羽衣国際大学
「IT パスポート試験」を活用した講義
を開設。
奈良産業大学
「IT パスポート試験」を活用した講義
を開設。
長岡大学
「IT パスポート試験」を活用した講座
を開設。
8
MNC:メディアネットワークセンター、の略。早稲田大学では、MNC を設置し、全学共通副専攻(ソフ
トウェア学、等)習得に向けた履修科目を提供。
44
(2) 各大学の取組み
各大学の情報セキュリティ教育への主な取組みを教育課程等の区分に分け
て示す。9
①教養課程における取組み事例
(あ)山口大学
区分
項目
対象
学部
大学教育センターにおいて全学生を対象にしている。
学生
教育課程
教養課程
種別
設置
情報
主な取組み概要
配置年次
1、2年
必修・選択の別
必修
単位数
1単位
教員の特徴
-
講義名
情報セキュリティ・モラル
授業の目標
社会生活のなかで、情報や情報技術が果たしている役割
とそれらが及ぼしている影響を理解し、情報モラルの必
要性や情報セキュリティに対する責任を認識するととも
講義
に、望ましいユビキタスネットワーク社会の創造に参画
情報
しようとする態度を身につける。
①
概要
情報の本質、暗号化と認証、情報セキュリティ、情報モ
ラル、コンプライアンス、リスクアセスメント、知的財
産権、等について解説する。
教材
全学統一教材
(参考)「情報セキュリティ読本」改定版
講義名
情報リテラシー演習
授業の目標
教養教育から専門教育に至る授業・演習を受講している
際に必要となる能力である Windows OS 上での電子メール
講義
の送受信、インターネットを利用した情報検索、情報倫
情報
理、文書作成、表計算、プレゼンテーションなどの演習
②
を行う。
概要
学内 IT サービスの利用方法、自己所有 PC の管理方法、
Word/Excel/Power Point の使い方を解説する。
9
今回の調査対象となった授業において特に定員数は定められていなかった。
45
教材
全学統一教材
(参考)「情報セキュリティ読本」改定版
カリキュラム体系
46
(い)東京電機大学
区分
項目
対象
学部
情報環境学部
学生
教育課程種別
教養課程
配置年次
1年
設置
情報
主な取組み概要
必修・選択の別
必修
単位数
2単位
教員の特徴
-
講義名
情報倫理
授業の目標
インターネット社会が抱える問題として、ネットワークや
PC への攻撃、詐欺、著作権やプライバシー侵害を取り上げ、
保護と活用の両立を念頭に入れた対処方法を探る。
講義
概要
(1)詐欺、ウイルス感染、被害の実態、攻撃者と攻撃方
法、著作権やプライバシー侵害など、情報社会への脅威を
情報
正しく理解する
(2)ウイルス対策ソフト、ファイアーウォール、暗号技
術、情報管理など、技術的な保護の仕方を理解する。
教材
佐々木良一監修
会田和弘著
「情報セキュリティ入門」共立出版(2009)
47
カリキュラム体系
48
②セキュリティ専門外の教育課程における取組み事例
(あ)東京大学
区分
項目
対象
学部
工学部
学生
教育課程
専門課程
種別
設置
情報
主な取組み概要
配置年次
3、4年
必修・選択の別
選択
単位数
2単位
教員の特徴
-
講義名
情報セキュリティ
授業の目標
暗号理論、ネットワークセキュリティ、コンピュータセ
キュリティ、セキュリティマネジメントの基礎を学ぶ。
とくに、安全性評価の考え方と社会への普及を支える考
え方を体得する。
概要
(1)情報セキュリティの基本原則(首尾一貫性の原則、
明示性の原則)、(2)情報セキュリティの基本技術(暗
講義
号理論、ネットワークセキュリティの基本サイクル、個
情報
人認証技術)、(3)情報セキュリティ管理の基礎(情
報セキュリティの基本サイクル、情報セキュリティのイ
ンフラストラクチャ)、(4)応用例と社会(インター
ネットセキュリティ、情報セキュリティに対するインセ
ンティブ)を解説する。
教材
今井秀樹 松浦幹太著
「情報セキュリティ概論」昭晃堂(1999)
49
カリキュラム体系
50
(い)慶應義塾大学
区分
項目
主な取組み概要
対象
学部
総合政策学部・環境情報学部
学生
教育課
専門課程
程種別
設置
配置年
情報
次
4年
必修・選択の別
選択
単位数
2単位
教員の特徴
-
講義名
情報セキュリティマネジメント
授業の目標
情報セキュリティについて概観し、「情報セキュリティ
は多くの汎用技術のバランスをとり、守る範囲を減らす
思考方法であること」を理解する。
講義
概要
暗号技術、認証技術、セキュリティ問題、セキュリティ
脆弱性の具体例、情報セキュリティマネージメント規格
情報
など幅広い知識を学ぶ。セキュリティ分野の知識 を1手
段としてもったうえで、多くのコンピュータやプログラ
ムの知識を利用することにより、目的としては情報セキ
ュリティリスクのマネジメントの重要性を 理解するこ
とに主眼を置く。
教材
-
51
カリキュラム体系
52
(う)法政大学
区分
項目
対象
学部
理工学部
学生
教育課程
教養課程
種別
設置
情報
主な取組み概要
配置年次
2年
必修・選択の別
選択必修
単位数
2単位
教員の特徴
-
講義名
セキュリティ概論
授業の目標
セキュリティとは何かを理解し、セキュリティ技術とコ
ンピュータ技術やネットワーク技術との関係を学習し、
ICT 技術に基づくさらに高度なセキュリティ技術を学ぶ
基礎とする。
講義
概要
セキュリティの歴史、重要性とインシデントの具体例、
暗号技術概論、電子署名、法律的側面から見たセキュリ
情報
ティ、侵入技術、フィッシング詐欺、実装攻撃、DDOS 攻
撃、防御技術等を解説する。
教材
配布資料による
(参考資料)
金井敦他著
「攻めと守りのシステムセキュリティ」電子情報通信学
会
区分
コロナ社(2009)
項目
主な取組み概要
学部
理工学部
教育課程種別
専門課程
設置
配置年次
4年
情報
必修・選択の別
選択
単位数
2単位
教員の特徴
企業出身者の担当有り
講義名
セキュアシステム設計
授業の目標
セキュアな情報システムとするための原理や手法を、ネ
講義
情報
ットワークに接続されたシステムとネットワークの構成
法について学ぶ。様々な攻撃や内部漏えいを防止するた
めのネットワークやコンピュータシステムを実現するた
53
めに、攻撃手法と防御手法を理解し、初歩的なシステム
設計ができるようになることを目標とする。
概要
コンピュータシステム、ネットワークの仕組の概要を学
ぶ。次に、セキュアなシステムとは何かを理解し、基礎
となる暗号技術、認証技術を学び、それに基づいたセキ
ュアプロトコルを理解したうえで、ネットワークを通じ
た攻撃技術と防衛技術を理解する。そして、具体的なセ
キュアネットワークシステムやコンピュータシステムの
設計手法を学習する。
教材
配布資料及び IPA の公開教材
カリキュラム体系
54
(え)公立はこだて未来大学大学院
区分
項目
対象
学部
システム情報科学研究科
学生
教育課程
専門課程
種別
設置
情報
主な取組み概要
配置年次
M1 年
必修・選択の別
選択
単位数
2単位
教員の特徴
-
講義名
情報セキュリティ特論
授業の目標
情報セキュリティにおける基礎、基盤技術から運用管
理、マネジメント、制度について習得する。
講義
概要
情報セキュリティにおける中核的基盤技術(PKI、バイ
オメトリクス認証、情報ハイディング等)について体系
情報
的に解説し、最後に最新暗号技術であるペアリング暗
号について説明する。
教材
佐々木良一著
「情報セキュリティの基礎(未来へつなぐデジタルシリ
ーズ2)」
55
カリキュラム体系
56
(お)中央大学
区分
項目
対象
学部
商学部
学生
教育課程
専門課程
種別
設置
情報
主な取組み概要
配置年次
必修・選択の別
選択
単位数
2単位
教員の特徴
企業出身者の担当有り
講義名
情報セキュリティ論
授業の目標
企業等の組織の一員になれば、必ず求められる情報セキ
ュリティ維持のための活用、規程等を、その背景・理由
講義
情報
①
3、4年
とともに理解する。
概要
企業活動および個人生活を行う人、さらには企業などの
組織で情報及び情報セキュリティ管理を行う人に向け
て、情報セキュリティの実務的な観点を説明する。
教材
授業ごとに配布
講義名
情報セキュリティ技術論
授業の目標
情報セキュリティアドミニストレータ試験取得程度の
知識・技能の習得を目指す。
概要
情報ネットワーク論で獲得した情報ネットワークの知
識を前提として、情報セキュリティマネジメントについ
講義
て学び、現在発生している様々な情報セキュリティ・イ
情報
ンシデント(DDoS 攻撃、侵入及び事前調査、権限の不
②
正取得、不正実行、標的型メール攻撃など)について解
説したうえで、ファイアーウォール、 IDS などによる
技術的な情報セキュリティ対策方法について講義し実
習する。
教材
(授業時に指示)
57
カリキュラム体系
58
③セキュリティ専門教育課程における取組み事例
(あ)電気通信大学
電気通信大学では、情報理工学部
総合情報学科内に、セキュリティ情報学
コースを設置し、安全な社会を目指し、情報セキュリティ技術の開発と応用
を教育研究している。
区分
項目
対象
学部
情報理工学部 総合情報学科
学生
教育課程
専門課程
セキュリティ情報学
種別
設置
情報
主な取組み概要
配置年次
3、4年
必修・選択の別
選択
単位数
2単位
教員の特徴
企業出身者の担当有り
教育の狙い
情報社会の実現に伴って新たに生じた「情報に対す
る脅威」に対して、安全性向上の技術、各種のシス
テムやサービスの設計能力と運用能力を備えた人材
育成のための教育と研究を行う。
暗号・認証技術などの安全性評価法、セキュリティ
システム設計法、各種ネットワークの設計・開発・
運用方法、マルチメディア情報の処理・運用方法な
どを教材として、ネットワーク技術、システム管理
コース
情報
技術、セキュリティ技術などを学ぶ。
教員体制
数学、アルゴリズム、サイバー脅威、著作権、ハー
ドウェアセキュリティ、回路の物理認証等の領域を
専門とする10名を超える教員を揃え、セキュリテ
ィ領域に関係する幅広い知識を提供可能とする教員
体制を構築している。
設置科目名
ネットワークセキュリティ、ソフトウェアセキュリ
ティ、コンテンツセキュリティ、実践セキュリティ
論、情報ネットワーク基礎、等
59
カリキュラム体系
60
④MBAコースにおける取組み事例
(あ)中央大学
区分
項目
対象
学部
戦略経営研究科
学生
教育課程
大学院修士
種別
設置
情報
主な取組み概要
配置年次
M1,M2
必修・選択の別
選択
単位数
2単位
教員の特徴
実務家教員が一部講座テーマを担当
講義名
ネットワーク時代のセキュリティとガバナンス
授業の目標
安全・安心という観点から、サービス設計と構造、イノ
ベーションを健全に促進するためのガバナンスのあり
方、更には、それを支える法制度について学習し、日々
変化する状況における問題発見及び問題解決に向けた
講義
情報
思考方法を身につける。
概要
ネットワーク時代の法制度、プライバシーと法制度、オ
ンラインIDマネジメント、ソーシャルメディアとビジ
ネス戦略、クラウドコンピューティング、コンテンツビ
ジネスと著作権、イノベーションと規制、プロバイダ責
任と法・ITババナンス、個人と企業のリスク管理、等
を説明する。
教材
-
61
カリキュラム体系
62
(い)青山学院大学
区分
項目
対象
学部
国際マネジメント研究科
学生
教育課程
大学院修士
種別
設置
情報
主な取組み概要
配置年次
M1、M2
必修・選択の別
選択
単位数
2単位
教員の特徴
-
講義名
情報セキュリティ
授業の目標
講義と議論を通じて受講生各人が情報セキュリティに対
し、自分なりの考えをもてるようになることを目的とす
講義
情報
る。
概要
情報セキュリティインシデントや情報利活用の状況、情
報管理に対し法令や各種基準で求められていること、企
業における現状の取り組み状況などから、企業を取り巻
く課題を明らかにする。
教材
公開資料、ハンドアウトを中心とする
63
カリキュラム体系
64
⑤資格試験の活用取組み事例
(あ)沖縄大学
沖縄大学では、独立行政法人
情報処理推進機構(IPA)
「IT パスポート試験」
の出題範囲を踏まえた講座を開設している。
区分
設置
情報
項目
主な取組み概要
対象学生
マルチメディア教育センターにおいて全学生を対象とし
ている。(全学部横断履修科目提供機関)
必修・選択の別
選択
単位数
2単位
教員の特徴
-
講義名
「情報とシステムⅠ」「情報とシステムⅡ」
授業の目標
「情報とシステムⅠ」においては、情報システムについ
て身近な例をあげ、簡単な説明をすることができる人材
の育成を目指す。
「情報とシステムⅡ」においては、ハードウェア、ソフ
トウェア、情報倫理、情報セキュリティについて説明で
きる人材の育成を目指す。
講義
情報
概要
「情報とシステムⅠ」では、コンピュータの歴史や情報
の表現、コンピュータの基本的な仕組みについて学び、
身近な情報システムや PC への基本的理解を深める。
「情報とシステムⅡ」では、ハードウェア及びソフトウ
ェア、情報倫理、情報セキュリティの信頼性について学
ぶ。
教材
「コンピュータ概論 情報システム入門」共立出版
65
カリキュラム体系
上級情報処理士資格認証のための履修要領
◎上級情報処理士とは何か
上級情報処理士とは、全国2 3 4の大学・短期大学が加盟している全国大学実務教育協会が認証する資格で
す。同協会によれば、その教育目標は、「ビジネス情報を、主にコンピュータシステム及び情報通信技術を
ツールとして適正かつ合理的、効率的に処理する実務能力を高める」、「ビジネス組織の管理運営に活用す
るための知識を学習する」、「高度化する情報化社会に要求される関連知識と教養について学ぶ」となって
ます。即ち、上級情報処理士の資格を取得することは、これらの技能が身についたことの証になります。
そして、企業側からすれば学生の客観的評価を容易にすることにつながり、学生側からすれば就職の際に
役立つ資格にもなり、就職を有利にすることにもつながります。
本学では、マルチメディア教育研究センターを中心にして、学生の情報系資格取得にも力を入れており、
上級情報処理上の資格と組み合わせることで幅広い情報処理技術が身につくことが期待されます。多くの
学生がこの資格取得に取り組むことを奨励します。尚、履修に際しては以下を参照して下さい。
◎上級情報処理士資格取得に向けた履修上の注意事項
1.上級情報処理士資格取得のためには、下記の必修科目8単位、選択科目32単位以上Ⅰ~Ⅳ群の各群か
ら各々4単位以上)、合計40単位以上の単位を取得し、全国大学実務教育協会へ認証費7千円を納付し申
請しなければならない。
2.人文学部学生で資格取得希望者は、法経学部と人文学部で共通化されている科目以外の単位が卒業単
位に認定されない場合があることに注意する。
2011年度入学生用
1.必修科目(8単位)
情報とシステムⅠ
情報とシステムⅡ
情報リテラシーⅠ
情報リテラシーⅡ
講
講
演
演
2.選択科目(各群それぞれ4単位以上計
Ⅰ群 情報処理論
情報倫理
データベース入門
データベース実践
プログラミング入門
上級プログラミング
ネットワーク概論
ネットワークシステム構築論
32 単位以上)
講 義 2
講 義 2
演 習 4
演 習 4
演 習 2
演 習 2
講 義 2
演 習 4
Ⅱ群
Ⅲ群
ビジネス実務総論Ⅰ
ビジネス実務総論Ⅱ
簿記対策講座
簿記システム技法Ⅰ
簿記システム技法Ⅱ
企業実習
情報と社会Ⅰ
情報と社会Ⅱ
経済学Ⅰ
経済学Ⅱ
金融論
*社会経済統計学
流通システム論
義
義
習
習
Ⅲ群つづき
経営管理論
マーケティング論
会計学Ⅰ
会計学Ⅱ
財務諸表論Ⅰ
財務諸表論Ⅱ
比較文化入門
比較文化論
国際ボランティア論
2
2
2
2
講
講
講
講
講
実
義
義
義
義
義
習
2
2
4
4
4
2
講
講
講
講
講
講
講
義
義
義
義
義
義
義
2
2
2
2
2
4
2
Ⅳ群
言語コミュニケーション
プレゼンテーション応用
社会心理学
臨床心理学
発達心理学
学習心理学
*教育心理学
哲学
倫理学
社会保障I
社会保障Ⅱ
現代社会と福祉Ⅰ
現代社会と福祉Ⅱ
障害者に対する支援と
障害者自立支援制度
映像文化論
講
講
講
講
講
講
講
講
講
義
義
義
義
義
義
義
義
義
2
2
2
2
2
2
2
2
2
講
演
講
講
講
講
講
講
講
講
講
講
講
義
習
義
義
義
義
義
義
義
義
義
義
義
2
2
2
2
2
2
2
2
2
2
2
2
2
講
講
義
義
2
2
V群については、本学において開講している科目はあり
ません。
*印が付いている科目は、廃止又は科目名変更により現在は開講していない科目ですが、既に単位を取得
した科目については、各群の取得単位数に含まれます。
66
(い)早稲田大学
早稲田大学では、「CompTIA Security+10
入門」の出題範囲を踏まえた講座を
開設している。
区分
設置
情報
項目
主な取組み概要
対象学生
メディアネットワークセンターにおいて全学生を対象に
している。(全学部横断履修科目提供機関)
必修・選択の別
選択
単位数
2単位
教員の特徴
-
講義名
CompTIA Security+入門
授業の目標
情報セキュリティを、論理的(技術的)、物理・環境的、
人的・組織的な側面から捉え、各側面に存在する脅威・
脆弱性、セキュリティ対策の概要を理解し、情報セキュ
講義
リティの要素、用語の基礎的な説明及び状況に応じた基
情報
礎的なセキュリティ対策を立てることができるようにな
る。
概要
情報セキュリティ技術、ネットワークセキュリティ技術、
等を説明する。
教材
「CompTIA Security+」テキスト
10
「CopmTIA Security+」とは、米国国防総省での情報保障の役割を担う人材に必須とされる CompTIA
認定資格のひとつです。本資格は、IT 業務のなかでも、最も成長が早く、人材が必要とされているセ
キュリティ分野におけるスキルを評価できるよう設計されています。
http://www.comptia.jp/cont_certif_securityplus_sy0-301.html
67
カリキュラム体系
68
(う)青山学院大学
青山学院大学では、独立行政法人
情報処理推進機構(IPA)「IT パスポート
試験」の出題範囲を踏まえた講座を開設している。
区分
項目
主な取組み概要
対象
学部
社会情報学部
学生
教育課程
専門
設置
配置年次
2年
情報
必修・選択の別
選択
単位数
2単位
教員の特徴
専任
講義名
情報処理基礎
授業の目標
システム開発系およびユーザ系システム部門の各職種
で必要とされる情報戦略、開発管理、IT 基盤技術に関
する基礎的知識を習得する。経済産業省が公開してい
る共通キャリア・スキルフレームワークのレベル1を
到達目標とする。
概要
わが国で今後必要とされる高度 IT 人材の人材像と、そ
講義
の保有すべき能力を整理した共通の育成・評価のため
情報
の枠組である共通キャリア・スキルフレームワークに
準じて、現代の情報化社会で活躍するために必要な基
礎的知識・技能・活用能力を身につける。
教材
e-Learning システムに含まれている電子教科書を利
用。
活用している資
「IT パスポート」
格試験名称
69
カリキュラム体系
70
(え)
文教大学
文教大学では、独立行政法人
情報処理推進機構(IPA)
「IT パスポート試験」
の出題範囲を踏まえた講座を開設している。
区分
項目
主な取組み概要
対象
学部
情報学部
学生
教育課程
専門
設置
配置年次
1~4年
情報
必修・選択の別
選択
単位数
2単位
教員の特徴
専任
講義名
情報処理概論
授業の目標
「情報処理に関する基本的な知識を挙げ説明すること
ができる」、「ハードウェア、ソフトウェアに関する基
本的な知識を挙げ説明することができる」ことを達成目
標とする。
概要
授業では情報処理システムとは何かを述べ、続いて情報
講義
処理システムを構成する重要な要素の一つであるハー
情報
ドウェアの概要とその機能の基礎を紹介する。さら
に、もう一つの重要な構成要素であるオペレーティン
グシステムなど、基本ソフトウェアの概要とその機能
の基礎を紹介する。
教材
情報処理システム入門「第 3 版」
活用している資格
「IT パスポート試験」
試験名称
71
カリキュラム体系
72
(お)東京家政大学
東京家政大学では、独立行政法人
情報処理推進機構(IPA)「IT パスポート
試験」の出題範囲を踏まえた講座を開設している。
区分
項目
主な取組み概要
対象
学部
家政学部
学生
教育課
専門
程
設置
配置年
情報
次
1年
必修・選択の別
選択
単位数
2単位
教員の特徴
専任
講義名
情報科学概論
授業の目標
容易に取得できる国家試験として IT パスポートを推奨
している。また、社会に出た時に最低限の知識として IT
パスポートの内容を理解することを要求している
概要
IT パスポート試験で出題される 3 分野のうち、テクノロ
講義
ジー系に分類される項目を学ぶ。内容は、数学と関係し
情報
た基礎理論、ハードウェアと関係したコンピュータシス
テムと、それにユーザーが使う上で従業となる項目を学
ぶ技術要素と呼ばれる中分類項目である。
教材
情報処理教科書 IT パスポート
活用している資
「IT パスポート試験」
格試験名称
73
CBT 対応
カリキュラム体系
74
(か)獨協大学
獨協大学では、独立行政法人
情報処理推進機構(IPA)
「IT パスポート試験」
の出題範囲を踏まえた講座を開設している。
区分
項目
主な取組み概要
対象
学部
経済学部
学生
教育課
専門
程
設置
配置年
情報
次
1~4年
必修・選択の別
選択
単位数
2単位
教員の特徴
専任
講義名
コンピュータ入門
授業の目標
社会に出てから必要となるコンピュータおよびネット
ワークのの基礎的な知識および技能を身につけること
がも目的である。
講義
概要
大学におけるレポート作成や、ゼミにおけるプレゼン
テーションにおいて必要となる、情報検索、ワードプ
情報
ロセッサ、表計算ソフト、プレゼンテーションソフト
の実際的な利用方法を、実習を通じて身につける。
教材
「Office 活用術」(NOA 出版)
活用している資
「IT パスポート試験」
格試験名称
75
カリキュラム体系
76
(き)帝京大学
帝京大学では、独立行政法人
情報処理推進機構(IPA)
「IT パスポート試験」
の出題範囲を踏まえた講座を開設している。
区分
項目
対象
学部
経済学部
学生
教育課程
専門
配置年次
2年
設置
情報
主な取組み概要
必修・選択の別
選択
単位数
2単位
教員の特徴
専任
講義名
情報処理論
授業の目標
情報処理技術に関する基本的な用語について理解をす
る。情報処理技術に関する計算等の応用問題を解けるよ
うにする。
講義
概要
情報
情報化社会を生き抜く上で最低限必要となる情報処理技
術に関する基本的な事項について学習すると共に、関連
する経営科学についても扱う。
教材
報処理技術者試験の IT パスポート等の参考書
活用している資
「IT パスポート試験」
格試験名称
77
カリキュラム体系
78
(く)羽衣国際大学
羽衣国際大学では、独立行政法人
情報処理推進機構(IPA)「IT パスポート
試験」の出題範囲を踏まえた講座を開設している。
区分
項目
主な取組み概要
対象
学部
現代社会学部
学生
教育課
選択科目(実務技能分野 コンピュータ)
程
設置
配置年
情報
次
1年次
必修・選択の別
選択
単位数
2単位
教員の特徴
実務家教員
講義名
情報処理概論Ⅱ
授業の目標
国家資格「IT パスポート」試験に必要な基礎知識の習得
を目的とする。
講義
概要
国家資格「IT パスポート」試験の内容について講義する。
情報
教材
「IT パスポート試験 対策テキスト
出版)
活用している資
「IT パスポート試験」
格試験名称
79
CBT 試験対応」
(FOM
カリキュラム体系
80
(け)奈良産業大学
奈良産業大学では、独立行政法人
情報処理推進機構(IPA)「IT パスポート
試験」の出題範囲を踏まえた講座を開設している。
区分
項目
主な取組み概要
対象
学部
情報学部
学生
教育課
専門
程
設置
配置年
情報
次
2~4年
必修・選択の別
選択
単位数
2単位
教員の特徴
専任
講義名
プロジェクト演習(資格挑戦講座)
授業の目標
IT パスポート試験や基本情報処理技術者試験の知識を
習得し、説明出来るようになる。またこれらの試験に
合格できるようになること。
概要
IT パスポート試験や基本情報処理技術者試験の内容
は、情報システムを作る側だけでなく、システムを利
講義
用する側にとっても必要な知識である。本演習では、
情報
これからの社会人として必要なこれらの知識について
学習する。
教材
「よくわかるマスター IT パスポート試験
スト&問題集」(FOM 出版)
活用している資
「IT パスポート試験」
格試験名称
81
対策テキ
カリキュラム体系
82
(こ)長岡大学
長岡大学では、独立行政法人
情報処理推進機構(IPA)
「IT パスポート試験」
の出題範囲を踏まえた講座を開設している。
区分
項目
主な取組み概要
対象
学部
経済経営学部 人間経営学科
学生
教育課
専門
程
設置
配置年
情報
次
2年
必修・選択の別
選択
単位数
2単位
教員の特徴
専任
講義名
情報処理の基礎
授業の目標
IT パスポート試験で求めている職業人として共通に備え
ておくべき情報技術に関する基礎知識を習得する。
概要
本授業は、国家試験の IT パスポート試験に対応し、職業
講義
人が共通に備えておくべき情報技術に関する基礎的な知
情報
識を学ぶ。
教材
「IT パスポート試験対策テキスト
出版)
活用している資
「IT パスポート試験」
格試験名称
83
CBT 試験対応」(FOM
カリキュラム体系
84
(3) 取組み成果等のコメント
調査に応じていただいた教職員の方から、授業成果等についてコメントを
いただいた。なお、当該コメントはあくまでも教職員あるいは学生個人の印
象であり、各組織を代表するものではないため注意が必要である。
①授業の成果
 大学でその時点での最先端技術知識を教えたとしても、
(セキュリティ技
術の進化が速いことから)知識は陳腐化してしまう。そのため、普遍的
な情報セキュリティの考え方や捉え方を教える講義内容にしているた
め、卒業後に社会の情報セキュリティ界をリードする人材輩出になって
いると感じている(東京大学)
 情報セキュリティは、テクニカル領域でなく、法律分野などの文系領域
にも関係するため、文系と理系の区別なく情報セキュリティを教える方
向にあることは意義があると感じている(慶應義塾大学)
 セキュリティ技術の進化が速いことから、大学で学んだ知識は陳腐化し
てしまうため、普遍的な情報セキュリティの考え方やインシデント解決
力の習得を講座の狙いにしている。このため、社会でセキュリティに対
応できる思考を身につけた学生輩出ができていると感じている(電気通
信大学)
 座学だけの講義では、単なる知識のインプットであり、自分で知識を使
いこなす十分なレベルに向上しないと考え、実習や演習形式の授業を取
り入れている。このため、学生が自ら状況に応じて考える力を養えてい
ると感じている。(東京電機大学)
 情報セキュリティの教育は、基本的な思想として、システムのアーキテ
クチャーを理解したうえで、システム設計できることに主眼がおいてい
るため、ある領域に絞ったセキュリティ知識が習得されるではなく、体
系的な知識習得が促進できていると感じている。(公立はこだて未来大
学)
 文系学生の IT リテラシーや情報セキュリティスキル向上の実現に繋がっ
た教育を行っているため、社会に出て、最低限必要なレベルを習得した
人材輩出が出来ていると感じている。(早稲田大学)
 各学部で不揃いになりがちな基礎教育であるものの、当校は統一カリキ
ュラム・テキストによって、統一的な情報セキュリティの基礎教育が出
来ている。特に人文系の学生のリテラシー向上に寄与出来ていると感じ
ている。(山口大学)
85
 MBA コースにおいて、主に社会人学生向けに情報セキュリティ観点を取り
入れた再教育を実施している。これによって、自分が IT ユーザ企業に
いる場合にベンダーとの情報セキュリティに関するコミュニケーショ
ンギャップ解消に役立つものと感じている。(青山学院大学)
 IT パスポート試験の合格が単位認定されるため、情報処理のスキル獲得
が促される。(帝京大学)
86
②学生の評価
 企業の講師が実施する演習形式の(特別)講義はリアルであり、興味深
い。(電気通信大学)
 実践的な事例を用いた授業は分かりやすい。(青山学院大学、沖縄大学、
中央大学、早稲田大学)
 最新のテクノロジに関連する授業(バイオメトリクスなど)は楽しい。
(公
立はこだて未来大学)
 ビジュアルコンテンツ(IPA のビデオコンテンツや、情報セキュリティに
関連した映画)に基づいた講義は理解しやすく、分かりやすい。(青山
学院大学、沖縄大学、早稲田大学)
 情報セキュリティに関連する実物機器(業務用サーバールーム)の見学
会はタメになり、情報セキュリティを身近に感じた。(早稲田大学)
 「IT パスポート試験」に合格することで単位認定される利点がある(帝
京大学)
87
③大学としてセキュリティ教育を実施するメリット
 セキュリティ教育コース(や講座)を設置していることから、情報セキ
ュリティに興味を持っている高校生へのアピールに繋がっている(青山
学院大学、中央大学、電気通信大学、東京電機大学、法政大学)
 自分が担当するゼミや研究室の学生に関しては、情報セキュリティ事業
会社や IT ベンダー企業への就職は良好であり、苦労したという話は聞
かない(電気通信大学、東京電機大学)
88
④情報セキュリティ人材育成に関する課題
 世間が、情報セキュリティ教育が重要であるとの声が高まったり、企業
が新入社員に情報セキュリティ素養を求めるというのであれば、大学は
取組みやすい(電気通信大学、中央大学、山口大学、沖縄大学)
 情報セキュリティ対策を疎かにしたことによって、どのような被害・損
害が社会・企業等に発生したのか、社会全体で共有・評価する仕組みが
必要である。そのようなフィードバックがないため、必要な人材像が見
えてこない。政府は日本の安全確保・セキュリティをどう考えているの
か国民に向けて明確にする時代を迎えていると思う。(慶應義塾大学、
法政大学)
 情報セキュリティ教育はある時点に行ったから終了というものではない。
時代ごとに必要な知識は更新されるものであるから、情報セキュリティ
知識はスキルのクオリティーコントロールの仕組みがあると、一過性で
なく、意味あるものになると感じる。(慶應義塾大学)
 情報セキュリティは実感が湧きにくい領域であることから、企業の現場
を学生に触れさせるなどのインターンシップ機会などを情報セキュリ
ティ領域に提供してもらえる仕組みを検討してもらいたい。
(中央大学、
青山学院大学)
 情報セキュリティは幅広い領域に関わるテーマであると認識されている
ものの、情報セキュリティに携わる研究者のテーマは専門特化している。
このため、学会やシンポジウムも、専門特化しており、他領域の交流が
出来ていない状況にある。教育側も幅広い交流のなかで、人材育成が行
われると良いと思う。(公立はこだて未来大学)
 現在設置している情報セキュリティ教育のカリキュラム内容において、
学位が創設されていない。新たに学位を創設するには、現在の内容に加
えて、劇的に何らかの内容や領域を加えるなど、理由が生じた時に検討
することになる。その際には、教える側の教員や教わる側の学生の双方
にかなりの負担がかかることになり、学位創設する価値をきちんと社会
に訴求する必要がある。(電気通信大学)
 学位創設はブランディングに関わる。情報セキュリティを修めた人材が
社会で価値あることが認められるような社会的価値観の醸成や、情報セ
キュリティ人材の能力を識別する認証の仕組みなどを整備することが
先にあるべきだと思う。(慶應義塾大学)
 学位(システム情報科学)を設置している本校では、
「情報セキュリティ」
をそのカリキュラム内のひとつの科目として扱っているため、情報セキ
ュリティを軸とした教育体系及び教員体制も出来ていない。(公立はこ
89
だて未来大学)
 学位は人類の歴史において普遍的な学問領域に貢献できる、という視点
で創設されるものであると考えるため、情報セキュリティがそれに該当
するのかを見極めることが重要である。(東京大学)
90
4. 大学向け啓発資料案
企業ニーズ等調査及び大学実態等調査を踏まえて、大学における情報セキ
ュリティ教育の実施に資する大学向け啓発資料案を以下の基本的考え方に基
づき作成した。
4.1. 啓発資料案作成における基本的考え方
啓発資料案は大学関係者が自校において情報セキュリティ教育に取組む重
要性を認識することを促すと共に、新たに情報セキュリティ教育に取組む際
の参考となりうる大学の事例を紹介することを目的として作成した。
このため、啓発資料案の読み手は、情報セキュリティ教育に取組んでいな
い大学のカリキュラム策定関係者である教職員を想定しており、学生向けの
資料ではない。
また、情報セキュリティ教育に取組む重要性を認識することを促す資料で
あるため、具体的な情報セキュリティ講座の開設等のカリキュラム設計情報
は提供しない。
4.2. 啓発資料案構成
啓発資料案の構成は、作成目的を踏まえ、以下の 6 章構成としている。
1章
情報セキュリティを巡る状況
2章
インシデント事例及びその影響
3章
情報セキュリティ人材の重要性
4章
企業における課題と大学への要望
5章
大学における情報セキュリティ教育事例
6章
まとめ
1 章では社会環境として、情報セキュリティに係る実態を統計的資料に基
づいて紹介したうえで、2 章では、インシデント及びその発生による影響につ
いて事例を活用して紹介している。
3 章では、上記への対応として、情報セキュリティ人材が企業において重
要であることを統計資料及び企業担当者へのインタビュー等から示している。
4 章では、企業調査及び検討会での議論を踏まえ、企業における課題及び
大学への要望をまとめている。
5 章では、上記 4 章で整理した大学への要望を受ける形で、教育課程(教
養課程、専門課程等)ごとに大学の情報セキュリティ教育事例を記載してい
る。
最後に、啓発資料案で紹介した内容を踏まえ、6 章では、企業の情報セキ
91
ュリティ人材確保に係る課題と大学の取組みを要約している。
4.3. 活用方法
啓発資料案は、読み手である大学関係者が情報セキュリティ教育の実施を
検討する際の参考資料となることを意図している。
カリキュラムの設計に向けては、本資料の 5 章に掲載した大学の取組みが
参考になる。
4.4. 啓発資料案
啓発資料「大学における情報セキュリティ教育の重要性について(案)」は、
別紙として添付する。
以上
92
Fly UP