...

報道資料 - 内閣サイバーセキュリティセンター

by user

on
Category: Documents
10

views

Report

Comments

Transcript

報道資料 - 内閣サイバーセキュリティセンター
報道資料
平成 24 年5月 31 日
内閣官房情報セキュリティセンター(NISC)
情報セキュリティ人材育成プログラムを踏まえた
2012 年度以降の当面の課題等について
情報セキュリティ政策会議の下に設置された「普及啓発・人材育成専門委員会」は、「情報セ
キュリティ人材育成プログラムを踏まえた 2012 年度以降の当面の課題等について」をとりまとめ
ました。
本報告書では、情報セキュリティ対策を講じる企業等や情報セキュリティ分野を目指す者の一
助となるよう、キャリアパス・モデルの普及や人材育成計画の策定促進、情報セキュリティ関連
業務で求められるスキル、資格、教育プログラムを整理することや、政府内における専門的知
見を持った職員の育成のため、人事ローテーションの工夫、採用時における関連素養の確認、
危機発生時に府省庁の壁を超えて機動的に支援できるサイバーインシデント版の DMAT の育
成等について提言しています。
また、人材類型を跨ぐ横断的課題として、産学連携の強化や大学入試センター試験における
情報科の出題に係る検討等についても提言しています。
1.概要
情報セキュリティに関する人材のパターンを大きく四分類(企業等の情報セキュリティ担当者、
政府機関等の情報セキュリティ担当者、情報セキュリティ産業人材、先端的な研究者・技術
者)し、それぞれに必要となる施策や横断的課題への対応策を整理・提言しています。
また、それぞれの施策についてその実施を確実にするため、責任府省庁名も明記していま
す。
2.提言された主な具体的施策
○キャリアパス・モデルの普及、人材育成計画策定促進
(企業等の情報セキュリティ担当者、情報セキュリティ産業人材関連)
・独立行政法人情報処理推進機構が策定した情報セキュリティ人材のキャリアパス・モデ
ルの普及に努めること等により、企業等における人材育成計画の策定を促進する(経済
産業省、関係府省庁)。
○スキル、資格、教育プログラムの整理
(企業等の情報セキュリティ担当者、情報セキュリティ産業人材関連)
・情報セキュリティ関連業務で求められるスキルと関連する資格、教育プログラムを整理し
て公表する(総務省、経済産業省)。
○政府職員の人事ローテーションの工夫(政府機関等の情セキュリティ担当者関連)
・各府省庁等の情報セキュリティ担当部署と内閣官房情報セキュリティセンターで人事交
流を行うなど、職員の希望も踏まえつつ、情報セキュリティ担当者が長い間情報セキュリ
ティに係る業務に携われるよう、人事ローテーションの工夫を検討する(関係府省庁)。
○公務員採用時における情報セキュリティ関連素養の確認
(政府機関等の情報セキュリティ担当者関連)
・国家公務員採用に際して情報セキュリティに関する素養の確認に努めるよう、関係府省
庁に対し要請する(内閣官房)。
○サイバーインシデント版の DMAT の育成(政府機関等の情報セキュリティ担当者関連)
・サイバーインシデント版の DMAT の設置に向け、府省庁間の協力のルール作り、内閣官
房情報セキュリティセンターの調整機能の整備、その要員の育成について検討を行う
(内閣官房)。
○複数大学や産業界の連携協力による大学・大学院教育
(情報セキュリティ産業人材、先端的な研究者・技術者関連)
・複数大学や産学連携による高度で実践的な教育活動の支援を行う(文部科学省)。
○大学入試センター試験における情報科の出題に係る検討
(人材類型を跨ぐ横断的課題関連)
・高等学校の教育の実態や大学及び高等学校関係者の意見を踏まえながら、大学入試
センター試験において情報科を出題教科とすることについて検討するよう大学入試セ
ンターに要請する(文部科学省)。
(参考)
情報セキュリティ人材育成プログラム(2011 年7月8日情報セキュリティ政策会議決定)
は、http://www.nisc.go.jp/active/kihon/pdf/jinzai2011.pdf で入手可能です。
「情報セキュリティ人材育成プログラムを踏まえた2012年度以降の当面の課題等について」概要
「情報セキュリティ人材育成プログラムを踏まえた
2012年度以降の当面の課題等について」
「情報セキュリティ人材育成プログラム」
(平成23年7月8日 情報セキュリティ政策会議)
(平成24年5月31日 普及啓発・人材育成専門委員会)
◎ 情報セキュリティに関する人材のパターンを大きく四分類(企業等の情報セ
キュリティ担当者、政府機関等の情報セキュリティ担当者、情報セキュリティ
産業人材、先端的な研究者・技術者)。
◎ それぞれに必要となる施策や横断的課題への対応策を整理・提言。
◎ 提言した施策を確実に実施するため、具体的施策の責任府省庁名を明記。
◎ 中長期的な視点も盛り込んだ平成23年度か
ら平成25年度までを対象としたプログラム。
◎ 様々な情報セキュリティに係る人材育成施策
の今後の方向性を提言。
◎ 情報セキュリティの人材育成・確保に係る司
令塔機能を明確化するため、「情報セキュリティ
政策会議」の下に「普及啓発・人材育成専門委
員会」を設置。
提言された主な具体的施策
企業等の情報セキュリティ担当者
○キャリアパス・モデルの普及、人材育成計画策定促進
・独立行政法人情報処理推進機構が策定した情報セキュリティ
人材のキャリアパス・モデルの普及等により、企業等における人
材育成計画の策定を促進する(経済産業省、関係府省庁)。
○スキル、資格、教育プログラムの整理
・情報セキュリティ関連業務で求められるスキルと関連する資格、
教育プログラムを整理して公表する(総務省、経済産業省)。
先端的な研究者・技術者
○複数大学や産業界の連携協力による大学・大学院教育
・複数大学や産学連携による高度で実践的な教育活動の支援を
行う(文部科学省)。
○表彰等の実施
・情報セキュリティ人材が実践的技能を競えるような競技会等の
開催について検討する(総務省、経済産業省)。
情報セキュリティ産業人材
○政府職員の人事ローテーションの工夫
・情報セキュリティ担当者が長い間情報セキュリティに係る業務に
携われるよう、人事ローテーションの工夫を検討する(関係府省庁)。
○公務員採用時における情報セキュリティ関連素養の確認
・国家公務員採用に際して情報セキュリティに関する素養の確認に
努めるよう、関係府省庁に対し要請する(内閣官房)。
○サイバーインシデント版のDMATの育成
・サイバーインシデント版のDMATの設置に向け、府省庁間の協力
のルール作り、内閣官房情報セキュリティセンターの調整機能の
整備、その要員の育成について検討を行う(内閣官房)。
政府機関等の情報セキュリティ担当者
○大学入試センター試験における情報科の出題に係る検討
・高等学校の教育の実態や大学及び高等学校関係者の意見を踏
まえながら、大学入試センター試験において情報科を出題教科と
することについて検討するよう大学入試センターに要請する(文部
科学省)。
人材類型を跨ぐ横断的課題
情報セキュリティ人材育成プログラムを踏まえた
2012 年度以降の当面の課題等について
2012 年5月 31 日
普及啓発・人材育成専門委員会
目次
1.はじめに…………………………………………………….……………………3
2.情報セキュリティ人材育成プログラムについて…………………………….5
(1) 現状と課題……………………………………………………………………5
(2) 基本的な考え方………………………………………………………….….6
(3) 具体的な取組……………………………….…….…………………………6
3.情報セキュリティ人材育成施策の課題及び具体施策提言について……….8
(1) 企業等の情報セキュリティ担当者…………………………………………9
①情報セキュリティ専門家を目指す者の支援……………………………10
②企業等における情報セキュリティ人材育成の支援……………………11
③企業経営層への情報提供等………………………………………………14
(2) 政府機関等の情報セキュリティ担当者………………………………….19
①組織内 CSIRT 等の設置、サイバーインシデント版の DMAT の育成.…20
②情報セキュリティリスクに確実に対応できる職員の採用・育成……20
③政府職員全体の情報セキュリティ意識の啓発と能力の底上げ………21
④重要インフラ事業者における人材育成促進……………………………22
(3) 情報セキュリティ産業人材……………………………………………….24
①企業等における人材の育成支援…………………………………………24
②高度な専門性を持った情報セキュリティ人材育成のための大学
・大学院教育の強化………………………………………………………26
③優秀な人材の発掘及び更なる能力向上…………………………………27
(4) 先端的な研究者・技術者………………………………………………….29
①情報セキュリティ研究開発の推進………………………………………29
②高度な専門性を持った情報セキュリティ人材育成のための大学
・大学院教育の強化等……………………………………………………30
③産学官の人材交流と高度な人材に係るコミュニティの形成…………30
④グローバルに活躍できる人材の育成……………………………………31
(5) 人材類型を跨ぐ横断的課題等.……………………………………………32
-1-
(5-1)情報セキュリティ人材の基礎的資質を育成する教育の充実……32
①初等中等教育段階における情報セキュリティに関する教育の充実
等……………………………………………………………………………32
②大学の共通教育・教養教育における情報セキュリティに関する教
育の充実等…………………………………………………………………33
(5-2)情報セキュリティの専門家育成のための共通課題………………34
①産学連携の強化……………………………………………………………34
②情報セキュリティに関する事故事例等の有効活用……………………36
③法律実務家の育成…………………………………………………………36
【参考資料】
資料1 普及啓発・人材育成専門委員会の設置について…………………39
資料2 普及啓発・人材育成専門委員会 委員名簿………………………40
資料3 普及啓発・人材育成専門委員会 開催経緯………………………41
資料4 情報セキュリティ関係 統計資料等……………………………….42
図1
図2
図3
図4
図5
図6
図7
図8
図9
図 10
図 11
図 12
図 13
インターネット利用者数及び人口普及率の推移
インターネット利用率の推移(年齢階層別)
インターネット利用率の推移(企業)
最近のサイバー攻撃及び情報システムの障害・事故等(報道ベース)
情報セキュリティ対策の必要性
情報セキュリティ対策実施上の問題点
今後自社の IT 人材にとって重要となるスキル(技術面)(IT 企業)
情報セキュリティ人材の不足状況(企業)
人材不足の原因(企業)
現在の仕事に関する給与面以外の悩みや問題点(IT 技術者)
情報系教育機関において不足していると感じている教育内容(IT 企業)
教員の ICT 活用指導力の推移
平成 22 年度中に ICT 活用指導力の各項目に関する研修を受講した教員の割合
資料5
独立行政法人情報処理推進機構が作成した情報セキュリティ
人材のキャリアパスモデル…………………………………………48
資料6 ISS スクエア …………………………………………………………52
(研究と実務融合による高度情報セキュリティ人材育成プログラム)
資料7
IT Keys……………………………………………………………….53
(社会的 IT リスク軽減のための情報セキュリティ技術者・管理者育成)
資料8
産学連携による実践的 IT 教育講座の構築事業………………….54
-2-
1.はじめに
近年、経済活動や社会生活の情報通信技術への依存が高まる中にあって、情報
セキュリティ上のリスクは高度化・多様化しており、従来の取組を超えた情報セ
キュリティの確保が急務となっている。
このような状況を踏まえ、情報セキュリティ政策会議(議長:内閣官房長官)
は、「国民を守る情報セキュリティ戦略」(2010 年5月 11 日)及びこれに基づく
年度計画である「情報セキュリティ 2010」
(2010 年7月 22 日)、
「情報セキュリテ
ィ 2011」(2011 年7月8日)等を策定し、総合的な情報セキュリティ政策に係る
取組を推進している。
情報セキュリティ分野の人材育成については、2011 年7月に「情報セキュリテ
ィ人材育成プログラム」が策定された。本プログラムは、2011 年度から 2013 年
度までを対象とし、情報セキュリティに係る人材育成施策の今後の方向性につい
て検討するとともに、未だ不十分な領域について重点化を図っている。
情報セキュリティの普及・啓発については、
「情報セキュリティ普及・啓発プロ
グラム」が同時に策定され、情報セキュリティ対策を一般常識として国民全体に
定着させるための各種取組を推進することとされている。
また、情報セキュリティの人材育成・確保及び普及・啓発に係る司令塔機能を
明確化するため、
「情報セキュリティ政策会議」の下に、新たに「普及啓発・人材
育成専門委員会」(以下「専門委員会」という。)が設置された。専門委員会は、
両プログラムを踏まえ、情報セキュリティに関する普及啓発、人材育成施策につ
いて、助言、評価等を行うこととされている。
-3-
情報セキュリティ政策会議
議長
内閣官房長官
議長代理 内閣府特命担当大臣(科学技術政策)
国家公安委員会委員長
総務大臣
経済産業大臣
防衛大臣
有識者構成員 6名
情報セキュリティ
対策推進会議
(CISO 等連絡会議)
図表1
重要インフラ
技術戦略
普及啓発∑人材育成
専門委員会
専門委員会
専門委員会
普及啓発・人材育成専門委員会の位置付け
我が国における情報セキュリティの水準をバランスよく向上させるためには、
情報セキュリティ対策を担う人材の育成と、一般国民を主な対象とする普及・啓
発の双方を促進する必要がある。情報セキュリティに関する普及・啓発について
は、専門委員会の下に「普及啓発・人材育成推進方策検討ワーキンググループ」
を設置して検討しているところである。
専門委員会においては、情報セキュリティ人材育成プログラムの内容を踏まえ、
情報セキュリティの人材育成施策について、2011 年 11 月から六回にわたって検
討を行った。
本報告書はそれらの議論を基に、情報セキュリティ人材育成プログラムで提言
されている施策について体系化及び具体化を行い、今後の具体的課題を整理した
ものである。
-4-
2.情報セキュリティ人材育成プログラムについて
はじめに、専門委員会における議論の契機となった情報セキュリティ人材育成
プログラムの内容について概説する。
(1)現状と課題
情報セキュリティ人材育成プログラムにおいては、情報セキュリティ人材に関
する現状と課題として大きく六つの事項を挙げている。
まず、情報セキュリティ上の脅威は、今まで以上に高度化・多様化しているが、
このような急激な変化に対応することができる人材が十分に確保できていないこ
と、また、あらゆる分野で情報セキュリティに関する知識が必要になっているが、
それに対応できる人材が十分ではないことが指摘されている。
次に組織のトップの認識不足である。従来の企業等の情報セキュリティ対策は、
「係長セキュリティ」という言葉に象徴されるように、あまりにも情報システム
部門の現場に任せきりであったと指摘されている。
三つ目として、リスク対応力の脆弱性が挙げられている。東日本大震災の反省
などを踏まえ、事業継続リスク等を如何に提言するかなど広義の情報セキュリテ
ィリスクに対して、より広い視野から、リスク対応力の強化を図っていく必要が
あるとされた。
四つ目として、産学連携の不足(産業界のニーズと教育機関のシーズのミスマ
ッチ)が指摘された。教育機関が育成を目指す人材と、産業界が求める人材には、
求められる資質のギャップが以前から指摘されており、その解決は急務だとされ
ている。
五つ目として、グローバル化に対応した人材の不足が挙げられている。あらゆ
る分野においてグローバル化が進んだ社会において、日本の情報セキュリティ人
材もグローバル化に対応していくことが求められるということである。
最後に、我が国においては、情報セキュリティ人材育成についての認識は高く
なく、戦略的分野に係る人材育成であるにもかかわらず、諸外国に大きく遅れて
-5-
しまっていると指摘された。
(2)基本的な考え方
現状と課題を踏まえ、政府として推進すべき人材育成に関する基本方針として、
「ハイブリッド型人材」、「問題発見・解決型人材」の育成・確保、情報セキュリ
ティ人材育成環境の整備、産学連携の強化、先導的研究開発、情報セキュリティ
産業の活性化を通じた人材の育成、グローバル化に対応できる人材の育成の五つ
が示された。
図表2
情報セキュリティの人材育成に係る基本的な考え方(概要)
(3)具体的な取組
以上の考えに基づき、情報セキュリティ人材育成プログラムでは、具体的な取
組について提言されている。以下に主なものを挙げる。
-6-
先端的な情報セキュリティ研究者・技術者等の育成については、
「情報セキュリ
ティ研究開発戦略」を戦略的に推進する中で、先導的な研究者・技術者を育成す
ることが重要であるとされた。
政府機関における人材育成については、政府職員向けの統一的な教育プログラ
ムの充実や教育教材の充実、標的型メール攻撃に係る教育訓練等を実施すること
で、政府職員における情報セキュリティに関する知識の習得とその向上を支援す
るとされた。
企業等における人材育成については、企業等の経営者の意識改革に資する取組
として、企業等の経営トップ同士が様々な議論を行う場において意見交換を行う
ことが有意義であるとされるとともに、全社的な人材育成環境の整備に資する取
組として、情報セキュリティ人材の育成の方針等を定めた人材育成計画やキャリ
アパスの策定・普及の促進及びリカレント教育の実施が有効であるとされた。ま
た、CIO 及び CISO を組織内できちんと位置付けていくことが重要であるとされた。
教育機関における人材育成については、大学・大学院教育の充実に資する取組
として、「ISS Square」(資料6参照)や「IT Keys」(資料7参照)のような成功
事例を正しく評価し、引き続き継続、発展させていくことが極めて重要であると
されるとともに、実務経験学習等実践的な教育の充実に資する取組としては、企
業人講師に授業してもらうなどの取組を充実させるなど、より実践的な教育を行
うこととされた。また、初等中等教育においては、学習指導要領の改訂により、
情報セキュリティに関する教育を充実させたところであり、情報セキュリティの
動向に合わせた内容について教育していくことが重要であるとされるとともに、
教職員の受講する研修において、情報セキュリティについて学ぶことができるよ
うな研修の体制を整備するとされた。
官民連携・産学連携の強化については、産学連携教育のマッチングの促進に資
する取組として、国内外の企業等におけるインターンシップ制度を積極的に活用
することも有用であるとされた。実践的な教育体制の確立への協力促進として、
産学が連携し、共同の教育カリキュラムの設計、企業人講師の派遣、企業人、大
学教員、学生の交流を強化する等の協力体制を強化するとされた。また、高度な
情報セキュリティ人材を確保する観点やグローバルに活躍できる人材を育成する
観点からも、インセンティブ措置や全国規模の情報セキュリティ・コンテストの
在り方について検討するとされた。
-7-
3.情報セキュリティ人材育成施策の課題及び具体施策提言について
専門委員会は、情報セキュリティ人材育成プログラムを踏まえ、情報セキュリ
ティに関する人材のパターンを大きく四分類(企業等の情報セキュリティ担当者、
政府機関等の情報セキュリティ担当者、情報セキュリティ産業人材、先端的な研
究者・技術者)し、必要となる施策を整理した。
これらに加え、全ての情報セキュリティ人材の基礎となる初等中等教育、大学
の共通教育の充実や、産学連携の強化等の課題についても、必要な施策を整理し
ている。
施策の整理に際しては、それぞれの人材育成に係る現状と課題を簡単に整理し、
それを踏まえて、今後実施すべき施策を提言することとした。括弧内には各施策
の責任府省庁を掲げてあり、複数の府省庁が記載されている場合には、それぞれ
が適切に連携して施策を推進することが期待される。
※情報セキュリティに関する人材の四分類
①企業等の情報セキュリティ担当者
企業等において、自分の組織を守るため、情報セキュリティの脅威に対す
る対策を講じる人材
②政府機関等の情報セキュリティ担当者
政府機関等において、自分の組織を守るため、情報セキュリティの脅威に
対する対策を講じる人材
③情報セキュリティ産業人材
政府機関、企業等情報セキュリティ対策を実施する組織からの発注、委託
等を受け、情報セキュリティに関する製品・サービス・ソリューション等を
ビジネスとして提供する企業等における人材
④先端的な研究者・技術者
情報セキュリティのために必要となる技術や製品、管理手法などについて、
主に学術的な研究を目的とした研究者、あるいは先進的な製品の開発者など、
我が国全体の情報セキュリティ対策をリードしていく人材
-8-
(1)企業等の情報セキュリティ担当者
(現状)
情報セキュリティの確保は、今や全ての企業等が自らの問題として対処すべ
き課題となっている。しかしながら、独立行政法人情報処理推進機構の調査に
対しては、七割以上の企業が情報セキュリティ対策の人材数若しくはスキル又
はその双方が不足していると回答する(資料4図8参照)など、企業等におけ
る情報セキュリティ人材の確保は進んでいない。
今日、多くの企業等の情報システムはそれぞれの企業業務と密接に結び付い
た独自の構成となっている。これらのシステムの構築は専門事業者に委ねられ
ることになるが、業務の細部まで情報システムが入り込んでいるため、その構
築と運用に際しては当該企業等の実務に精通した者の関与が不可欠である。ま
た、とりわけ緊急時にはシステム上のリスクと経営上のリスクを俯瞰して判断
を迫られるなど、情報システムの運用全てについて専門事業者に任せることは
できない。
また、これらの情報システムの運用に際しては、システムの機能のみで情報
セキュリティを確保することはできない。情報システムを利用する社員一人ひ
とりが情報セキュリティを適切に確保するよう、社内での情報取扱いに係るル
ールを定めるとともに、必要な教育訓練を行う等の組織的対応が必要となって
いる。
このような状況の下、企業等においては、①情報システム部門等において、
技術的なセキュリティ対策を理解しシステム管理等を行うスペシャリスト人材
と、②総務部門等において、情報セキュリティポリシー策定や情報セキュリテ
ィ監査を行う人材等の育成確保が必要となっている。
情報システム管理者等のスペシャリストについては一定の深い知識を、また、
総務部門等の人材については、関連する一定水準以上の知識等をそれぞれ保有
している必要がある。このため、いずれの人材についても専門知識等が必要と
なり、専門知識を持った者を採用するか、採用後に社内において人材を育成す
ることが不可欠となっている。
これら情報セキュリティ人材の育成においては、経営者層の理解が重要であ
る。情報セキュリティは費用対効果が必ずしも明確ではない。加えて、情報セ
-9-
キュリティの内容そのものが、専門家ではない経営者には分かりにくい場合が
多い。その結果、人材育成を含む情報セキュリティへの投資が他の経営上の投
資に劣後し、十分に行われないことが多い。情報セキュリティ人材の育成を推
進するにあたっては、企業経営層等における情報セキュリティへの理解を促進
する必要がある。
なお、規模が小さく、セキュリティ上重要な情報を有していないような企業
等については、大企業と同程度の対策を実施することは困難であることが多い。
中小企業に対しては、このような事情を踏まえた配慮が必要である。
① 情報セキュリティ専門家を目指す者の支援
(横断的キャリアパス・モデルの提示等)
情報セキュリティ人材不足の一つの要因として、情報セキュリティの専門家
としてどのようなキャリアパスが存在するのかが明らかでないことが挙げられ
る。専門家としての将来の発展性、安定性等の見通しは、職業選択上多くの者
が考慮するところであるが、事例も少なく、なかなか実態が分かりにくい。
このような不安を少しでも払拭するために、企業等に採用された場合のキャ
リアパスを中心に、転職を通じてキャリアアップを図るケースや、学界におけ
るキャリアパス等も含め、モデルとなる横断的キャリアパスを提示することが
望ましい。
独立行政法人情報処理推進機構では、活躍中の情報セキュリティ人材へのイ
ンタビュー調査を基にキャリアパス・モデルを策定した(資料5参照)
。具体例
を積み重ねたものであり、専門家を目指す者や②に示す人材育成計画を策定す
る企業等の参考になるものと考えられる。
<今後実施すべき施策>
○横断的キャリアパス・モデルの策定及び普及
キャリアパス・モデルの策定は、企業等における情報セキュリティ人
材不足の解消に資する。横断的キャリアパス・モデルを策定し、普及
に努める。
・独立行政法人情報処理推進機構が策定した情報セキュリティ人材の
キャリアパス・モデルの普及に努める(経済産業省)。
- 10 -
② 企業等における情報セキュリティ人材育成の支援
(人材育成計画の策定)
企業等において、情報セキュリティ人材を採用・育成するためには、当該企
業等が必要とする情報セキュリティ人材の姿とその将来像をある程度明確化す
ることが望まれる。これにより効果的な人材育成が可能になるとともに、応募
しようとする者に将来の処遇期待を示すことができる。
そのような過程を整理したものを「人材育成計画」と呼ぶ。人材育成計画に
おいては、当該企業等が求める役職ごとの人材像、それぞれの段階で取得すべ
き資格、予定される研修やリカレント教育、経理や営業といった他の部門との
行き来を含むキャリアパス、中期的な処遇見通し等について、具体的に定めら
れていることが望ましい。
企業等の情報システムは個々の企業等の業務と密接に結びついていることか
ら、人材育成計画についても、個々の企業等がその業務等を踏まえて策定すべ
きものである。他方、人材育成過程で習得させるべき情報セキュリティ関連知
識・技能やその習得順序等には、企業等の業務内容にかかわらず共通するもの
も多い。したがって、情報セキュリティに係る知識・技能とそれに関連する資
格・教育プログラムを整理したものや、これらを踏まえた人材育成計画の「モ
デルプラン」があれば、人材育成計画を作成しようとする企業等の参考になる
と考えられる。
<今後実施すべき施策>
○人材育成計画策定促進
企業等における「人材育成計画」の策定に資する情報を提供し、効果
的な情報セキュリティ人材の育成や採用を促進する。
・独立行政法人情報処理推進機構が策定した情報セキュリティ人材の
キャリアパス・モデルの普及に努めること等により、企業等におけ
る人材育成計画の策定を促進する(経済産業省、関係府省庁)。
○スキル、資格、教育プログラム等の整理
・情報セキュリティ関連業務で求められるスキルと関連する資格、教
- 11 -
育プログラムを整理して公表する(総務省、経済産業省)。
(多様な教育機会の提供)
情報セキュリティ人材の育成に際しては、情報セキュリティ関連技術が日々
急速に進歩していること、及び、とりわけインシデント対応において、一面的
な知識や技能ではなく、総合的な判断能力が求められることを踏まえる必要が
ある。このため、情報セキュリティ人材の育成に際しては、OJT や企業内研修
等にとどまらず、幅広い教育機会が提供されることが望ましい。
急速に進歩する技術への十分な対応を可能とするためには日頃の継続的な学
習が不可欠であるが、加えて体系的な学習の機会が与えられることが望ましい。
例えば、一定の勤務経験の後、大学院等で集中的なリカレント教育が行われる
ことは有効と考えられる。
また、情報セキュリティインシデントに係る実践的な経験の幅を広げる機会
が提供されることが望ましい。情報セキュリティに関連する国の機関等は、優
秀な人材に最先端の経験を提供させる機会を設けることが望まれる。
2006 年度~2010 年度に実施された「先導的 IT スペシャリスト推進プログラ
ム」では、IT 企業の技術者等が社会人学生として受け入れられた(「ISS Square」
では 2010 年度の修了者 45 名のうち 14 名が社会人)。受入数は限られていたも
のの、その成果には高い評価も得られており、リカレント教育の一つの在り方
を示したものと考えられる。
<今後実施すべき施策>
○リカレント教育の促進
情報セキュリティを体系的・集中的に学習するためのリカレント教育
の取組を推進する。
・高等教育機関等における社会人学生の受入れを支援する(文部科学
省)。
○政府機関等による民間セキュリティ人材の一時的受入れ
政府機関や独立行政法人等において民間セキュリティ人材を一定期
間受け入れ、情報セキュリティ人材の育成と人材ネットワークの形成
- 12 -
を図る。
・政府機関や独立行政法人等がハブとなり産学官のセキュリティ関連
業務を交互に経験できる機会を設けることなどにより、幅広いネッ
トワークの形成を図り、情報セキュリティ人材を育成する(関係府
省庁)。
(資格要件の設定)
国の安全に関する重要な情報を扱う企業等における情報セキュリティ対策は、
当該企業等のみの問題ではない。このため、2012 年1月 24 日、内閣官房副長
官から各府省庁大臣官房長等に対して発出された「調達における情報セキュリ
ティ要件の記載について」においては、各府省庁が国の安全に関する重要な情
報を国以外の者に扱わせることを内容とする契約を行う際には、調達仕様書等
で情報セキュリティを確保するための体制の整備を求めることとしており、
「実
務担当者には、『情報処理の促進に関する法律』
(1970 年法律第 90 号)に基づ
き行われる情報処理技術者試験のうち、情報セキュリティに関する資格を有す
る者若しくは同等の知識及び技能を有することを自ら証明できる者を含むこと
とし、当該者については、継続して新たな知識の補充を行うことに配慮する」
こととされている。
このように、情報セキュリティ対策に携わる者に一定の資格要件を設定する
ことは、重要な情報に係る情報セキュリティの確保に資するとともに、企業等
における人材育成の目標を設定することにもなる。
情報セキュリティ政策会議に報告された「情報セキュリティ対策に関する官
民連携の在り方について」(2012 年1月 19 日 官民連携の強化のための分科会
決定)においては、国と調達契約を結んでいない、あるいは調達契約の及ばな
い「国の安全に関する重要な情報を扱う企業等」に対しても同様の取組方策を
検討することとされている。
これらの企業等における取組は、情報セキュリティを学んだ人材が活躍する
場の拡大に寄与する取組であるため、今後の検討が望まれる。
- 13 -
<今後実施すべき施策>
○資格要件の設定
国の安全に関する重要な情報を扱う調達の情報セキュリティ要件に
基づき整備される体制における実務担当者に対し、継続して新たな知
識の補充を行うための継続教育の在り方や実効性の確保方策につい
て検討する。
・国の契約相手方の情報セキュリティを確保するための体制における
実務担当者について、継続して新たな知識の補充を行うための実効
的な方策について検討する(内閣官房、関係府省庁)。
国と調達契約を結んでいない、あるいは調達契約の及ばない「国の安
全に関する重要な情報を扱う企業等」に対し、国の安全に関する重要
な情報を扱うことを含む契約を締結する企業等に対し求める情報セ
キュリティ要件と同様の取組を促す方策について、実情も勘案の上、
検討を行う。
・調達契約を結んでいない、あるいは調達契約の及ばない「国の安全
に関する重要な情報を扱う企業等」に対する情報セキュリティの確
保方策について検討を行う(内閣官房、関係府省庁)。
③ 企業経営層への情報提供等
企業等における情報セキュリティ向上のためには、経営層が自社における情
報セキュリティ対策の重要性を認識し、これを全社的に推進していくことが望
まれる。情報セキュリティは専門的との意識を持つ経営層も多いが、それゆえ、
その重要性を経営層が理解しないと必要な投資が行われなくなる。情報セキュ
リティ人材の育成推進の観点からも、企業経営層等における情報セキュリティ
への理解を促進する必要がある。
また、企業等は自社自身の情報セキュリティだけでなく、自社のサービス利
用者の情報セキュリティにも深く意を払わなければならない。近年、新たに開
発される多様な情報通信サービスの中には、利用者のプライバシーや情報セキ
ュリティに対する配慮が行き届かないものも見受けられる。経営層は、自社が
提供するサービスの利用者に対する情報セキュリティの確保についても、理解
を深める必要がある。
- 14 -
企業等において情報セキュリティの水準をどの水準に設定するかは、本来、
企業等の経営上の問題である。すなわち、高度なセキュリティ水準を確保し、
顧客からの信頼や自社の情報の安全を高めるか、異なる選択を行うかは、経営
層が決めることである。しかしながら、企業経営層等が、情報セキュリティを
取り巻く現状や、それが経営に与える影響を十分認識せずに意思決定すること
は、適切ではない。企業経営層等に関連する情報を提供し、適切な判断が行わ
れるよう努める必要がある。
(企業経営層等への情報提供)
企業経営層等における情報セキュリティに関する認識を高めるためには、あ
らゆる機会をとらえて、企業経営層等に訴えかけていく他ない。とりわけ、我
が国の企業の大半を占める中小企業の経営層への訴えかけを重点的に進めるこ
とが重要である。
経済産業省では「情報セキュリティガバナンス導入ガイドライン」
(2009 年 6
月 30 日)を公表するなどして、企業経営層等が責任とリーダーシップを持って
情報セキュリティ対策を推進するよう取り組んでいる。また、企業等の経営層
同士が情報セキュリティに関する様々な意見を交換できる場として、
「情報セキ
ュリティガバナンス協議会」の活動を支援するとともに、中小企業向け情報セ
キュリティ指導者育成セミナーを開催(全国 25 か所(各会場 30~80 名程
度)(2011 年度))している。この他、内閣官房や関係省庁職員が、経済団体等
が主催する会議等において積極的に講演するなどして情報発信している。
このように取組が重ねられてはいるが、必ずしも十分とは言える状況にない。
企業経営層等に必要な情報を提供し理解を得る取組には際限がないが、地道な
努力を続けることが重要である。
企業経営層等への働きかけに際しては、人材育成計画の策定、産学連携等を
通じたセキュリティ人材の確保・育成が重要であることを訴えかけることが重
要である。また、企業等の内に情報セキュリティの責任者(CISO 等)を設置し、
当該組織の情報セキュリティに係る司令塔として機能させること、サイバー攻
撃や標的型攻撃メールを想定した訓練を行うことなど、具体的な情報セキュリ
ティ対策に関する推進方策に言及することが望ましい。
- 15 -
なお、例えば、情報システム関連部門では情報セキュリティに強い学生の採
用を希望しているにもかかわらず、実際の求人に反映されていない場合がある
ことを踏まえ、企業経営者等への働きかけとともに、人事担当、採用担当にも
働きかけることが望ましい。
情報セキュリティ対策が経営上の重要課題となっていることから、経営学修
士課程等における情報セキュリティ関連講義の開設、情報セキュリティに関す
る研究科の設置、
「情報セキュリティ技術経営」等の学位授与等を検討する動き
がある。このような取組の促進を図るとともに、企業経営層等に対して、これ
らの関連情報についても提供していくことが望ましい。
<今後実施すべき施策>
○経営層向けセミナーの開催等
情報セキュリティ対策の重要性、情報セキュリティ人材育成の重要
性、産学連携による人材育成の取組状況、情報セキュリティに関する
研究科や学位に関する大学の取組状況等について、企業等の経営層、
人事担当、採用担当の理解を深めるべく、経営層向けセミナー等を開
催するとともに、経済団体等が主催する会議も活用するなど、あらゆ
る機会をとらえて普及啓発を行う。
・企業等の経営層、人事担当、採用担当等を対象としたセミナー等を
開催するとともに、経済団体等が主催する会議も活用するなど、あ
らゆる機会をとらえて普及啓発を行う(内閣官房、総務省、経済産
業省、文部科学省)。
・「情報セキュリティガバナンス協議会」の活動を支援する(経済産
業省)。
○セミナーの実施
中小企業の経営層や情報セキュリティ指導者向けに、分かりやすい情
報セキュリティ対策を提示する。
・中小企業向け情報セキュリティ指導者セミナーを引き続き開催する
(経済産業省)
。
○表彰等の実施
企業等の経営層の意識改革のためには、人材育成計画や産学連携など
について優れた取組を行っている企業等を表彰することによってイ
ンセンティブを与える。
- 16 -
・情報セキュリティ確保の観点から、優れた取組を行っている企業等
について引き続き表彰する(総務省)。
○CISO 等の設置促進
情報セキュリティ対策を推進する上で重要な役割を果たす CISO に求
められる役割・能力を整理し、企業等の理解を深めるとともに設置を
促進する。CISO が設置されておらず、CIO、CRO が設置されている企
業等には、これらの役職の者による CISO の兼務や、CISO の新設を促
進する。
・情報セキュリティを推進する観点から、CISO に求められる役割・能
力を整理し、CISO の設置の普及等に努める(経済産業省)。
(体制整備の確保)
国の安全に関する重要な情報を扱う企業等については、
「調達における情報セ
キュリティ要件の記載について」において、各府省庁が契約を締結する際には、
契約の相手先に情報セキュリティを確保するための体制整備と経営者責任の明
確化を求めることとされている。企業等における取組を加速する上で、このよ
うに要件を課すことは有効である。
情報セキュリティ政策会議に報告された「情報セキュリティ対策に関する官
民連携の在り方について」
(2012 年1月 19 日)においては、国と調達契約を結
んでいない、あるいは調達契約の及ばない「国の安全に関する重要な情報を扱
う企業等」に対する同様の取組方策を検討することとされている。
このような取組は、情報セキュリティを学んだ人材が活躍する場の拡大に寄
与する取組であるため、今後の検討が望まれる。
<今後実施すべき施策>
○体制整備の確保
国と調達契約を結んでいない、あるいは調達契約の及ばない「国の安
全に関する重要な情報を扱う企業等」に対し、国の安全に関する重要
な情報を扱うことを含む契約を締結する企業等に対し求める情報セ
キュリティ要件と同様の取組を促す方策について、実情も勘案の上、
検討を行う。
- 17 -
・調達契約を結んでいない、あるいは調達契約の及ばない「国の安全
に関する重要な情報を扱う企業等」に対する情報セキュリティの確
保方策について検討を行う(内閣官房、関係府省庁)。
- 18 -
(2)政府機関等の情報セキュリティ担当者
(現状)
政府においては、各機関が守るべき情報セキュリティ水準を統一基準群とし
て示し、これに準拠する取組を各府省庁が CISO のもとで実施している。各府省
庁の CISO は官房長等が充てられているが、これをサポートする人材として、最
高情報セキュリティアドバイザーが置かれ、平常時はもちろん、緊急時に的確
な対処が行われるようにしている。
システムの運用は必ずしも専門家が充てられず、通常の人事ローテーション
の中で2~3年周期で交代することが多い。情報セキュリティに関して全くの
素人が着任する場合もある。とりわけ規模の小さい組織の場合、情報セキュリ
ティ担当が一名であったり、他の業務を兼務したりしている場合がある。この
ように、専門的な能力の獲得が不十分となったり、業務上の重要な情報が引き
継がれなかったりするおそれがある。
昨今の情報セキュリティ上のリスクの高まりを受け、政府では各府省庁の危
機管理能力の向上に努めることとし、体制の強化を図っている。まずは、各府
省庁が情報セキュリティに係る危機発生時において機動的に対処するための機
能(以下「組織内 CSIRT 等」という。)を保有するとともに、これを補完すべく
危機発生時に府省庁の壁を越えて機動的に支援できるサイバーインシデント版
の DMAT(Disaster Medical Assistant Team 災害急性期に活動できる機動性を
もったトレーニングを受けた医療チーム)(以下「サイバーインシデント版の
DMAT」という。)を編成し、これを有効活用することが必要であると思われる。
情報セキュリティは、システム担当者の努力のみで確保できるものではない。
政府の情報システムを利用する全職員が基本的な情報セキュリティに関する知
識を獲得する必要がある。
このため、政府では多様な訓練等を実施しているが、これらを継続し充実さ
せていくことが不可欠である。
また、国に準じた情報セキュリティの確保が求められる重要インフラ事業者
においても、積極的な情報セキュリティ人材の育成が行われることが重要であ
る。
- 19 -
① 組織内 CSIRT 等の設置、サイバーインシデント版の DMAT の育成
まずは各府省庁において組織内 CSIRT 等を整備するなどして、標的型攻撃等
に関する対策を遺漏なく継続的に実施するとともに、サイバーインシデント版
の DMAT を立ち上げ、必要な人材を育成することが重要である。
<今後実施すべき施策>
○CSIRT 要員の育成等
各府省庁において組織内 CSIRT 等を整備すべく要員を育成する。
・CSIRT 等の要員に求められる知識・技能を有する人材を育成するた
め、能力に応じた段階的かつ計画的な研修プログラムの制度設計の
構築を行う(内閣官房)。
○サイバーインシデント版の DMAT の育成
CSIRT 等の要員の確保が困難な府省庁や、大規模なインシデント等に
より政府として迅速かつ的確に対応すべき事態が発生した際に、他の
府省庁の CSIRT 等の要員による支援を可能とするサイバーインシデ
ント版の DMAT の設立及びその要員の育成について検討を行う。
・サイバーインシデント版の DMAT の設置に向け、府省庁間の協力の
ルール作り、内閣官房情報セキュリティセンターの調整機能の整
備、その要員の育成について検討を行う(内閣官房)
。
② 情報セキュリティリスクに確実に対応できる職員の採用・育成
現在、各府省庁においては、政府機関の情報セキュリティ対策のための統一
基準群に基づき、最高情報セキュリティアドバイザーを設置し、情報セキュリ
ティに関する専門的な見地からの助言等を行っている。しかしながら、昨今の
情報セキュリティリスクの一層の高まりを踏まえ、日常的にシステム運用等に
携わる情報セキュリティ担当者についても、一定の専門的知見を持った職員が
配置される必要が生じている。
このため、情報セキュリティ担当者については、今後、採用及び人事ローテ
ーションにおいて特別の配慮を行うことが望ましい。具体的には、職員採用後
の人事ローテーションにおいて、特定の者には長い期間情報セキュリティを担
- 20 -
当することでその能力を向上させるなどの工夫が必要と考えられる。
その際、特定の府省庁で継続的に業務にあたるのではなく、他府省庁や内閣
官房等において同種の事務に携わることで、経験を広げるとともに、①のサイ
バーインシデント版の DMAT 立ち上げと相まって政府一体となった情報セキュ
リティ確保体制の構築を進めることが望ましい。また、独立行政法人等におい
てより専門的な業務に携わることで能力の開発向上を図るとともに、情報セキ
ュリティ関係者間の人的ネットワークを構築することが望ましい。
内部人材の活用のみならず、官民の人事交流等により、外部の優秀な人材の
有効活用も図られるべきである。
なお、情報セキュリティに携わる人材の採用等に際しては、扱われる情報の
重要性やシステムリスクを踏まえたセキュリティの確保にも配慮することが重
要である。
<今後実施すべき施策>
○人事ローテーションの工夫
・各府省庁等の情報セキュリティ担当部署と内閣官房情報セキュリテ
ィセンターで人事交流を行うなど、職員の希望も踏まえつつ、情報
セキュリティ担当者が長い間情報セキュリティに係る業務に携わ
れるよう、人事ローテーションの工夫を検討する(関係府省庁)。
○優秀な外部人材の活用
・官民の人事交流等により情報セキュリティに係る外部人材を活用す
る人事の在り方を検討する(関係府省庁)。
○政府機関や独立行政法人等をハブとしたセキュリティ人材のネットワ
ーク形成
・政府機関や独立行政法人等がハブとなり産学官のセキュリティ関連
業務を交互に経験できる機会を設けることなどにより、幅広いネッ
トワークの形成を図り、情報セキュリティ人材を育成する(関係府
省庁)。
③ 政府職員全体の情報セキュリティ意識の啓発と能力の底上げ
- 21 -
情報セキュリティ向上に際しては、システムや担当者の能力向上を図るだけ
では不十分であり、職員全員の意識や能力の向上が必要である。そのため、採
用時において情報セキュリティについての素養を確認することや、採用後には
常に研修・訓練を実施していくことが必要である。
現在、警察庁、防衛省等において、高度な情報セキュリティ人材の育成に向
けた訓練が実施されている。また、内閣官房では、政府職員を対象とした教育
用教材の作成・配布や各種研修カリキュラムにおいて情報セキュリティに関す
るプログラムを盛り込む他、標的型不審メール攻撃訓練を実施するなど、情報
セキュリティに係る認識の共有と更なる知識・技能の向上を図っている。各府
省庁等は、内閣官房による上記支援等も活用しながら情報セキュリティ人材の
育成を行っている。このような訓練等を発展継続することが重要である。
また、国家公務員には情報セキュリティに関する素養が必要であることから、
公務員採用時において、情報セキュリティに関する素養を確認することも効果
的と考えられる。
<今後実施すべき施策>
○訓練・研修の充実
政府機関を取り巻く状況や研修効果等を踏まえた訓練・研修の充実強
化を図る。
・本年度の訓練結果等を踏まえてプログラムの充実を図る等し、職員
教育や対処訓練を実施する(内閣官房)。
・政府職員に対する採用時の合同研修において情報セキュリティに係
る内容を盛り込むなど教育機会の付与に努める(内閣官房、人事院)。
○公務員採用時における情報セキュリティ関連素養の確認
・国家公務員採用に際して情報セキュリティに関する素養の確認に努
めるよう、関係府省庁に対し要請する(内閣官房)。
④ 重要インフラ事業者における人材育成促進
重要インフラとは、他に代替することが著しく困難なサービスを提供する事
業が形成する国民生活・社会経済活動の基盤であり、その機能が停止、低下又
- 22 -
は利用不可能な状態に陥った場合に、我が国の国民生活・社会経済活動に多大
な影響を及ぼすおそれがある。
このため、重要インフラ事業者において必要となる情報セキュリティの確保
が図られるよう、関係省庁が取り組むべき対策等を「第二次行動計画」(2009
年2月3日)としてとりまとめその推進を図っている。その中で、人材育成に
ついては、内閣官房が「分野横断的演習等を通じた、高度な情報セキュリティ
人材の育成」に取り組むこととされている。
今後、重要インフラ事業者において、より積極的に人材育成が図られること
が望ましい。
(1)②(企業等における情報セキュリティ人材育成の支援)に掲
げられた施策はもとより、
(2)①(組織内 CSIRT 等の設置、サイバーインシデ
ント版の DMAT の育成)、②(情報セキュリティリスクに確実に対応できる職員
の採用・育成)、③(政府職員全体の情報セキュリティ意識の啓発と能力の底上
げ)に掲げられた施策に準じた取組や、各セプター内で横断的に実施する研修
プログラムの検討等が推進されることが望ましく、政府は積極的な支援・助言
を行うべきである。
<今後実施すべき施策>
○重要インフラ事業者における人材育成の促進
・重要インフラ事業者において、組織内 CSIRT 等の設置、情報セキュ
リティリスクに確実に対応できる職員の採用・育成、職員の情報セ
キュリティ意識の啓発と能力の底上げ等、政府に準じた取組を推進
する(内閣官房、関係府省庁)。
・各セプター内で横断的に実施する研修プログラムを検討する(内閣
官房、関係府省庁)。
○人材育成計画策定促進
○スキル、資格、教育プログラム等の整理
○リカレント教育の促進
○政府機関等による民間セキュリティ人材の一時的受入れ
- 23 -
(3)情報セキュリティ産業人材
(現状)
企業や政府機関等における情報セキュリティ対策は、情報セキュリティサー
ビスやソリューション等を提供するセキュリティ産業なくして成り立たない。
また、国家安全保障確保の観点からも、情報セキュリティ産業は極めて重要で
ある。情報セキュリティ確保に係る企業等の関心が高まりセキュリティ産業へ
の需要が増加する中、当該産業における人材の育成が急務である。
しかしながら、セキュリティ産業を職業として選択した場合、どのようなキ
ャリアパスが存在するのかが必ずしも明らかでない。このため、将来への不安
感もあり当該分野に十分な数の優秀な人材が集まっていない。
また、セキュリティ産業を支える人材を輩出すべき高等教育機関も、十分な
体制がとられていない。一つの大学で情報セキュリティの専門家を育成するた
めに必要な全ての単位を提供できる機関は限られている。
セキュリティ産業といっても、セキュリティ・サービス・プロバイダ、シス
テム・インテグレータ、セキュリティ監査等とその領域は多様であり、求めら
れる人材もそれぞれの領域により異なっている。いずれにおいても、まずは特
定領域の専門家として自立できる人材を育成することとなるが、中期的には複
数の要因を統合し、これらをモデル化して判断できる能力も重要になる。
このように専門家として高い能力が求められる情報セキュリティ産業人材の
育成に際しては、多様な経験が必要であり、一企業等を超えた人材育成措置が
必要となっている。
これらに加え、セキュリティ産業人材には、その職に適したセンスのような
ものが必要であり、これを見出すことが求められる。現状、我が国においては
そのような機会は必ずしも多く設けられていない。
① 企業等における人材の育成支援
セキュリティ産業人材の育成についても、企業等のセキュリティ担当者と同
様、キャリアパス・モデルの普及、人材育成計画の策定、スキル、資格、教育
- 24 -
プログラムの関係の整理が重要である。また、リカレント教育も重要である。
多様な経験としては、例えば、複数の企業が相互に一定期間情報セキュリテ
ィ人材を出向させ合う等、企業間の人材交流が行われることが考えられる。ま
た、内閣官房情報セキュリティセンター、独立行政法人情報通信研究機構、独
立行政法人産業技術総合研究所、独立行政法人情報処理推進機構等が優秀な人
材を受け入れ、人材育成を進めることが考えられる。継続的に実施することで、
これらの機関に産官学の優秀な人材が集結し、人材を輩出することが期待され
る。
<今後実施すべき施策>
○キャリアパス・モデルの普及、人材育成計画策定促進
セキュリティ人材の確保のため、キャリアパス・モデルを示しその普
及に努める。企業等における人材育成計画策定を促進する。
・独立行政法人情報処理推進機構が策定した情報セキュリティ人材の
キャリアパス・モデルの普及に努めること等により、企業等におけ
る人材育成計画の策定を促進する(経済産業省、関係府省庁)。
○スキル、資格、教育プログラムの整理
企業等における人材育成計画策定、効率的人材育成、適材適所におけ
る人材配置等の促進のため、様々な業務で求められるスキルとそれに
関連する資格・教育プログラムを整理する。
・情報セキュリティ関連業務で求められるスキルと関連する資格、教
育プログラムを整理して公表する(総務省、経済産業省)。
○リカレント教育の促進
社会人が専門的知識を深めることに資するようなリカレント教育の
取組を充実する。
・高等教育機関等における社会人学生の受入れを支援する(文部科学
省)。
○内閣官房情報セキュリティセンターや独立行政法人等を活用した人材
育成
内閣官房情報セキュリティセンターや独立行政法人等に産官学の優
秀な人材を結集させ、優秀な人材を輩出する中心的な役割を果たす方
策を検討する。
- 25 -
・内閣官房情報セキュリティセンター、独立行政法人情報通信研究機
構、独立行政法人産業技術総合研究所、独立行政法人情報処理推進
機構が優秀な人材を輩出する中心的機能を果たすことを目標とし
て、関係機関との連携を強化するための連絡会を開催する(内閣官
房、総務省、経済産業省)。
② 高度な専門性を持った情報セキュリティ人材育成のための大学・大学院教育
の強化
セキュリティ産業人材には、高度で幅広い知識や特殊な能力が求められる。
大学・大学院教育ではそのための基礎となる教育が実施される必要があるが、
現状、全ての分野で十分な教育ができる教員を単独で揃えることのできる大
学・大学院は極めて限られている。
このような状況下にあっては、まずは複数の大学が連携して体制を整えるこ
とが有効である。また、情報セキュリティ分野は実践が重要であることから、
産学連携もあわせ進めることが望ましい。
文部科学省の「先導的 IT スペシャリスト推進プログラム」においては、情報
セキュリティ分野における世界最高水準の人材を育成するため、複数大学や産
業界の連携協力による教育が実施されるとともに、教育カリキュラムや教材の
開発が進められてきた。同プログラムは着実に実績を残しており、このような
事業の継続と拡大が望まれる。
また、前述した情報セキュリティに関する研究科等を設置する取組は企業等
へ即戦力を供給する取組として有効と考えられる。情報セキュリティに関する
研究科等の設置や講座の拡大は、大学の自主的な判断に基づき行われるもので
あるが、今後、大学・大学院におけるこれらの教育体制が充実することを期待
する。
<今後実施すべき施策>
○複数大学や産業界の連携協力による大学・大学院教育
複数の大学や産業界が連携協力した教育の継続及びその成果の全国
的展開を支援する。
・複数大学や産学連携による高度で実践的な教育活動の支援を行う
- 26 -
(文部科学省)。
○情報セキュリティに関する研究科等
情報セキュリティに関する研究科等が設置されることを推進する。
・情報セキュリティに関する研究科等の設置に資するよう、情報セキ
ュリティに関する最新の情報を大学等に対し積極的に提供する(内
閣官房、総務省、経済産業省、文部科学省)。
③ 優秀な人材の発掘及び更なる能力向上
セキュリティ産業において最先端の分野で活躍する人材には、教育では得ら
れない特殊な能力を持っていることが求められると言われている。このような
人材の発掘及び更なる能力向上のための取組も重要である。
現在、独立行政法人情報処理推進機構において、将来の IT 産業を担う若年層
に対し、情報セキュリティを中心として IT 化実現のための技術的な目標と高い
技術習得への励み、及び安全かつ信頼性の高い IT 化の進展について正しい知識
を与えることを目的にセキュリティ&プログラミングキャンプを実施している。
また、ソフトウェア関連分野において、独創的なアイディア、技術を有し、こ
れらを活用していく能力を有する優れた個人を発掘育成する「未踏 IT 人材発
掘・育成事業」を実施している。優秀な人材の確保及び能力向上のためには、
このようなインセンティブを与える取組を行うことが引き続き重要と考えられ
る。
このような教育的なプログラムに加え、コンテストなどの仕組みを通じた人
材発掘も有効と考えられる。情報セキュリティを守ることの重要性を指導しつ
つ必要な能力の開発や人材の発掘を行う方法を検討する必要がある。
<今後実施すべき施策>
○表彰等の実施
優秀な人材を発掘し、更なる能力向上を図る。
・セキュリティキャンプについて、更なる充実を図る(経済産業省)
。
・
「未踏 IT 人材発掘・育成事業」を引き続き実施する(経済産業省)
。
・情報セキュリティ確保の観点から多大な貢献を果たした個人・企業
等を表彰する(総務省、経済産業省)
。
- 27 -
コンテスト開催等により人材を発掘する。
・情報セキュリティ人材が実践的技能を競えるような競技会等の開催
について検討する(総務省、経済産業省)。
・競技会等において優秀な成績を残した者の雇用促進につながる普及
啓発について検討する(総務省、経済産業省)
。
- 28 -
(4)先端的な研究者・技術者
(現状)
先端的な研究開発能力の確保は、情報セキュリティ分野における我が国の国
際的な産業競争力確保において不可欠であり、また、国家安全保障とも結びつ
く重要課題である。
しかしながら、市場に流通している情報セキュリティ関連製品の大部分が海
外製であるなど、この分野における我が国の国際競争力は高くない。また、そ
の結果として、国家の重要システムにも外国製品を使わざるを得ず、国家安全
保障上の課題もある。
先端的な研究者・技術者の育成に際しては、専門課程における基礎教育の充
実と、発展的研究を支える研究開発環境が不可欠であり、これらの充実を図る
必要がある。
また、先端的な研究者は先端的な研究者に育てられるという。高度な情報セ
キュリティの専門家が集い、意見交換・切磋琢磨できるコミュニティが形成さ
れることが望ましい。
① 情報セキュリティ研究開発の推進
情報セキュリティに係る先端的な研究者・技術者を育成すべく情報セキュリ
ティ分野への研究開発資金の重点的配分を促す際には、中長期的に我が国全体
として情報セキュリティに関する研究開発をどのように進めていくかについて
の計画を定め、それを国全体として戦略的に推進していく中で、人材を育成し
ていく必要がある。
情報セキュリティ政策会議は、2011 年度~2015 年度を対象とした「情報セキ
ュリティ研究開発戦略」
(2011 年7月8日)を策定した。研究開発戦略では、
四つの重要分野における 12 テーマ及び東日本大震災を踏まえた四つの重点分
野を掲げており、これらについて研究開発を推進する中で先端的研究者・技術
者の育成を図ることが適切である。
引き続き「情報セキュリティ研究開発戦略」に沿った研究開発を着実に推進
- 29 -
することにより、先端的研究者・技術者の育成を進めていくことが重要である。
<今後実施すべき施策>
○研究開発戦略の推進
・「情報セキュリティ研究開発戦略」に沿った研究開発を引き続き着
実に推進することにより、先端的研究者・技術者の育成を進める(内
閣官房、総務省、経済産業省、文部科学省、防衛省)。
② 高度な専門性を持った情報セキュリティ人材育成のための大学・大学院教育
の強化等
専門課程における基礎教育の充実に係る課題は(3)②の「高度な専門性を
持った情報セキュリティ人材育成のための大学・大学院教育の強化」で述べた
課題と共通している。
(3)で提言した、高度な専門性を持った情報セキュリテ
ィ人材育成のための大学・大学院教育の強化、優秀な人材の発掘及び更なる能
力向上に関する取組について、先端的な研究者・技術者の育成という観点から
推進していくことが重要である。
<今後実施すべき施策>
○複数大学や産業界の連携協力による大学・大学院教育
○情報セキュリティに関する研究科等
③ 産学官の人材交流と高度な人材に係るコミュニティの形成
高度な情報セキュリティ人材は、先端的な技術とそれを適用する複雑な現実
システムの双方を理解できる必要がある。このため、高度な情報セキュリティ
人材の育成に際しては、産学官の最先端の分野で情報セキュリティに関する
様々な業務を経験することが望ましい。
これらの人材が、産学官の主要な機関で経験を積むことができるよう、内閣
官房や独立行政法人が場を提供し、あわせて高度な情報セキュリティ人材の健
全なコミュニティが形成されるよう配意する。
- 30 -
<今後実施すべき施策>
○内閣官房情報セキュリティセンターや独立行政法人等を活用した人材
育成
内閣官房情報セキュリティセンターや独立行政法人等に産官学の優
秀な人材を結集させ、優秀な人材を輩出する中心的な役割を果たす。
・内閣官房情報セキュリティセンター、独立行政法人情報通信研究機
構、独立行政法人産業技術総合研究所、独立行政法人情報処理推進
機構が優秀な人材を輩出する中心的機能を果たすことを目標とし
て、関係機関との連携を強化するための連絡会を開催する(内閣官
房、総務省、経済産業省)。
④ グローバルに活躍できる人材の育成
情報セキュリティの課題はネットワークでつながった国際的課題であり、先
端的研究の推進には国際的な視点を持った人材が必要である。
グローバルな視点で物事を考えられるような人材を育成するためには、でき
るだけ多くの国際的な体験をする必要がある。国際会議への参加や留学を支援
するとともに、我が国で国際会議を開催することも有効と考えられる。
<今後実施すべき施策>
○国際会議への参加支援等
・国際会議への参加支援や我が国で国際会議を開催するなどにより、
グローバルに活躍できる人材の育成を行う(関係府省庁)。
- 31 -
(5)人材類型を跨ぐ横断的課題等
(5-1)情報セキュリティ人材の基礎的資質を育成する教育の充実
(現状)
情報化が進んだ現代社会においては、あらゆる世代においてコンピュータや
スマートフォンといった情報通信機器の利用が進展している。小学生が家庭で
これらの機器を利用することも珍しくなく、初等中等教育段階から、その利活
用に係る知識とともに、自らを守る最低限の情報セキュリティの知識を授け実
践させることが求められている。
また、企業実務等においても一層複雑・大規模な情報通信システムが幅広く
使用されており、情報セキュリティに関する基礎知識は、その利活用に係る知
識と相まって、今や社会人には必須のものとなっている。
このため、初等中等教育において、情報セキュリティの教育を充実していく
必要がある。また、大学においても、各大学の自主的な判断により、共通教育・
教養教育の中で、情報セキュリティに関する教育を受ける機会が確保されるこ
とが期待される。
① 初等中等教育段階における情報セキュリティに関する教育の充実等
初等中等教育段階では、2003 年度から高等学校で情報科が必履修教科として
設置され、2009 年の学習指導要領改訂において、情報セキュリティに関する内
容を充実したところである。情報科では、情報及び情報技術を活用するための
知識、技能や科学的な考え方を習得し、社会の中で情報及び情報技術が果たし
ている役割や影響を理解させることで、社会の情報化の進展に主体的に対応で
きる能力と態度を育てることが目標とされている。この趣旨を踏まえた上で、
高等学校における情報セキュリティに関する教育を推進する。また、2008 年に
改訂した小学校及び中学校の学習指導要領においては、発達段階に応じ各教科
等の指導を通じて、情報セキュリティも含む情報モラルの育成のための学習活
動を充実したところであり、引き続き、情報モラルに関する教育を推進する。
情報セキュリティに関する学習活動が一層充実するためには、指導にあたる
- 32 -
教員の能力が十分である必要がある。そのためには、各都道府県及び指定都市
等の主として情報教育担当の指導主事を通じて、教員一人ひとりが情報セキュ
リティに関する指導力の向上に努める必要がある。
また、大学入学志願者の情報科に関する基礎的な学習の達成の程度の判定や、
初等中等教育において情報セキュリティに関する教育・学習の充実を促すため
には、例えば、高等学校における情報科の教育内容の実態等を十分に見極めつ
つ、大学入学志願者の約7割が受験する大学入試センター試験において、情報
科を出題教科とすることについて、大学及び高等学校関係者等の意見を十分に
聴取しながら、検討することが望ましい。
<今後実施すべき施策>
○初等中等教育段階における情報に関する教育
・学習指導要領の改訂等を踏まえ、発達段階に応じ、情報セキュリテ
ィを含む情報モラルに関する教育を積極的に推進する(文部科学
省)。
○初等中等教育における教員等の ICT 活用指導力の向上等
・初等中等教育に携わる全ての教員並びに教育委員会及び学校の全て
の管理職等の情報セキュリティに関する基本的な知識を含む ICT
活用指導力の向上を目指した取組が地方公共団体等において進め
られるよう、各地域で情報教育を推進する中核的な役割を担う指導
主事、リーダー的教員等を対象とした研修や指導方法等に関する情
報交換の機会の提供等を検討する(文部科学省)。
○大学入試センター試験における情報科の出題に係る検討
高等学校の必履修教科である情報科について、大学入試センターが出
題教科とすることを検討するよう大学入試センターに要請する。
・高等学校の教育の実態や大学及び高等学校関係者の意見を踏まえな
がら、大学入試センター試験において情報科を出題教科とすること
について検討するよう大学入試センターに要請する(文部科学省)。
② 大学の共通教育・教養教育における情報セキュリティに関する教育の充実等
大学の共通教育・教養教育では、各大学の自主的な判断により情報セキュリ
- 33 -
ティに関する教育が実施されているが、現状、その数は多くない。その理由は
必ずしも明確でないが、大学の共通教育・教養教育のカリキュラム作成者の情
報セキュリティに対する認識が低いことに加え、そもそも教えられる教員がい
ないこと等が挙げられている。
大学の共通教育・教養教育における情報セキュリティに関する教育の重要性
を踏まえ、各大学において情報セキュリティに関する教育が実施されるよう、
努める必要がある。例えば情報セキュリティに関する最新動向を大学に情報提
供することにより、認識を高める試みが考えられる。
情報セキュリティを教えることができる教員が存在しない場合、資格試験合
格によって単位を認定することが考えられる。例えば、独立行政法人情報処理
推進機構の認定資格である IT パスポート試験の合格により単位を認定してい
る大学(約 30 校)や CompTIA の情報セキュリティに関する認定資格プログラム
合格によって単位を認定している大学等(約 15 校)があり、このような情報も
あわせ提供することが考えられる。
また、情報セキュリティ対策が経営上の重要課題となっていることから、経
営学修士課程等における情報セキュリティ関連講義の開設等を検討する動きが
ある。このような取組についてもその促進を図ることが重要である。
<今後実施すべき施策>
○情報セキュリティに関する最新情報の提供
大学における情報セキュリティに関する教育の実施に資するような
情報セキュリティに関する最新情報を提供する。その一環として、大
学の自主的な判断に基づく情報セキュリティに係る資格試験合格に
よる単位認定の導入、資格に関する学習プログラムの導入、経営学修
士課程等における情報セキュリティ関連講義の実施等の検討に資す
る情報を提供する。
・情報セキュリティに関する最新情報を大学等に対し積極的に提供す
る(内閣官房、総務省、経済産業省、文部科学省)。
(5-2)情報セキュリティの専門家育成のための共通課題
① 産学連携の強化
- 34 -
情報セキュリティの専門家には、体系的な知識を有するとともに、それを複
雑な現実のシステムに適用できる実践力が求められる。このため、大学等にお
ける情報セキュリティに関する教育において、実践的な教育プログラムが提供
されることが望ましい。
実践的な教育においては、企業人講師の活用やインターンシップの実施など、
産学の連携が不可欠である。これまで、「先導的 IT スペシャリスト推進プログ
ラム」及び「産学連携による実践的 IT 教育講座の構築事業」
(資料8参照)に
おいて、産業界から派遣された実務家教員が講義等を行うとともに、産業界か
ら実践的なインターンシップの場が提供される等したが、このような取組が広
がることが望ましい。
また、産業界と教育界が協力して作成された情報セキュリティに係る実践的
教材が、国立情報学研究所(約 200 コンテンツ)及び独立行政法人情報処理推
進機構(約 130 コース)において、データベース化・公開されている。このよ
うなデータベースが拡充整備され、大学等で有効に活用されることが望ましい。
<今後実施すべき施策>
○情報セキュリティに関する教育における産学連携の促進
情報セキュリティに関する教育における産学連携を拡充・促進する。
・産学連携による実践的教育活動の実施を支援する(経済産業省、文
部科学省)。
○インターンシップ及び PBL(Project Based Learning 課題解決型学習)
等の推進
産学連携によるインターンシップや PBL の機会提供を促進する。
・産学連携により実践的教育を推進する体制の構築や、インターンシ
ップや PBL の実施を支援する(文部科学省)。
・実践的インターンシップモデルに基づき、企業等と大学・学生のマ
ッチングの支援を行う(経済産業省)。
○データベースの拡充及び活用促進
国立情報学研究所等が作成したデータベースの大学等における活用
を促進する。
・産業界と教育界が協力して作成された授業や教材のデータベースを
- 35 -
拡充するとともに、その利用促進を図る(経済産業省、文部科学省)。
② 情報セキュリティに関する事故事例等の有効活用
実践的な教育の一環として、過去に発生した情報セキュリティに関する事故
事例等を教材として活用することには大きな効果がある。高度な情報セキュリ
ティ人材を育成し、ひいては我が国の情報セキュリティ水準を高めていく観点
からは、これらが有効活用されることが望ましい。
事故事例等は企業等の社会的評価の低下に繋がる可能性や、セキュリティ確
保の観点等から隠されることが多いが、一定期間が経過した後、セキュリティ
上の問題はなくなることも多い。
行政機関等に提供された情報セキュリティ事故に関する情報について、情報
提供者の秘密保持等に配慮した上、学習教材として提供される方法の検討を進
めるべきである。
<今後実施すべき施策>
○情報セキュリティに関する事故事例等の共有化の検討
・独立行政法人情報処理推進機構等に集約される情報セキュリティに
関する事故事例等について、情報提供者等に配慮し、学習教材とし
て提供する手法について検討する(内閣官房、経済産業省、関係府
省庁)。
③ 法律実務家の育成
情報通信分野において技術革新が著しく進展し、これを活用した多種多様な
新たなサービスが提供開始されることにより、情報セキュリティが侵害等され
た場合、これまでにない法律上の問題が発生する可能性が高まっている。
また、多くの情報通信サービスは事実上国境に関係なく提供されており、情
報通信サービスや情報セキュリティに係る法律上の問題については、国際的な
法的枠組みや他国の法律等も踏まえた対応が必要となっている。
- 36 -
しかしながら、現状、我が国においてこれら情報通信や情報セキュリティに
精通した法律の実務家は限られている。情報通信分野が我が国の社会経済の基
盤であるのみならず、産業の国際競争力や国家安全保障と深く結びついている
ことも踏まえ、法律実務家の育成も焦眉の課題である。
<今後実施すべき施策>
○情報セキュリティに詳しい法律家の育成
内閣官房等において弁護士を雇用する等し、情報セキュリティに詳し
い司法関係者の育成を図る。
・外部人材を活用する等して情報セキュリティ分野をリードし得る司
法関係者の育成を図る(関係府省庁)。
- 37 -
【参考資料】
- 38 -
資料1
普及啓発・人材育成専門委員会の設置について
平成 23 年7月8日
情報セキュリティ政策会議決定
1
高度情報通信ネットワーク社会推進戦略本部情報セキュリティ政策会議
(以下「政策会議」という。)における情報セキュリティ問題全体を俯瞰した
我が国としての中長期的な基本戦略に関する当面の審議の充実に資するため、
政策会議に、特定の事項の調査検討を行う専門委員会として「普及啓発・人
材育成専門委員会」(以下「専門委員会」という。)を置く。
2
専門委員会は、
「情報セキュリティ普及・啓発プログラム」(平成 23 年7月
8日政策会議決定)、
「情報セキュリティ人材育成プログラム」(平成 23 年7
月8日政策会議決定)、及び政策会議が示す方針に沿って、情報セキュリティ
に関する普及啓発及び人材育成に係る事項について、調査検討を行う。
3
専門委員会の委員は、2に掲げる事項について優れた見識を有する者であ
って政策会議の議長が委嘱した者とする。
4
専門委員会の委員長は、その委員の互選により決する。
5
専門委員会の委員長は、必要があると認めるときは、当該専門委員会の委
員以外の者に対し、当該専門委員会の会議に出席して意見を述べることを求
めることができる。
6
専門委員会の委員長は、必要があると認めるときは、専門委員会の下にワ
ーキング・グループを置くことができる。
7
専門委員会の庶務は、関係省庁の協力を得て、内閣官房において処理する。
8
前各号に掲げるもののほか、専門委員会の運営に関する事項その他必要な
事項は、専門委員会の委員長が定める。
9
セキュリティ文化専門委員会(平成 17 年7月 14 日政策会議決定)及び人
材育成・資格制度体系化専門委員会(平成 18 年7月 25 日政策会議決定)は、
本専門委員会の設置により廃止するものとする。
- 39 -
資料2
普及啓発・人材育成専門委員会 委員名簿
【委員長】
林
紘一郎
情報セキュリティ大学院大学
学長
【委員】
小泉
力一
尚美学園大学大学院 教授
(併任)文部科学省学習情報官
高橋
正和
日本マイクロソフト株式会社
チーフセキュリティアドバイザー
土屋
大洋
慶應義塾大学大学院
西澤
敬二
株式会社損保ジャパン
西本
逸郎
株式会社ラック
野坂
雅一
株式会社読売新聞東京本社
野原
佐和子
株式会社イプシ・マーケティング研究所代表取締役社長
教授
取締役
取締役
常務執行役員
最高技術責任者
論説副委員長
(平成 23 年 11 月現在、五十音順、敬称略)
- 40 -
資料3
普及啓発・人材育成専門委員会 開催経緯
第一回会合
日時:平成 23 年 11 月 11 日(金) 10:00~12:00
議題:情報セキュリティ人材育成に関するこれまでの指摘について
林委員長発表
普及啓発・人材育成推進方策検討ワーキング・グループの設置について
等
第二回会合
日時:平成 23 年 12 月 21 日(水) 15:00~17:00
議題:情報セキュリティ人材育成施策の体系
委員発表(小泉委員、高橋委員、西澤委員、西本委員)
官民連携の強化のための分科会における検討状況
等
第三回会合
日時:平成 24 年1月 27 日(金) 14:00~16:00
議題:有識者発表
日本ネットワークセキュリティ協会事務局長
中央大学教授
下村正洋氏
牧野光則氏
慶應義塾大学大学院教授
砂原秀樹氏
文部科学省報告
「情報セキュリティ月間」に関する検討状況
情報セキュリティ対策に関する官民連携の在り方について(官民連携の強化のた
めの分科会報告)
等
第四回会合
日時:平成 24 年2月 14 日(火) 16:00~17:30
議題:論点整理
等
第五回会合
日時:平成 24 年3月 26 日(月) 15:30~17:00
議題:報告書(案)審議
等
第六回会合(持ち回り開催)
日時:平成 24 年5月 31 日(木)
議題:情報セキュリティ人材育成プログラムを踏まえた 2012 年度以降の当面の課題等に
ついて
平成 23 年度「情報セキュリティ月間」実施結果
- 41 -
資料4
情報セキュリティ関係 統計資料等
(%)
(万人)
10,000
9,000
8,000
7,000
6,000
5,000
4,000
3,000
2,000
1,000
0
9,408 9,462 100
90
7,730 7,948 80
6,942 70
75.3 78.0 78.2
5,593 73.0
72.6 70.8 60
4,708 64.3 66.0 50
57.8 40
46.3 2,706 30
37.1 1,694 20
1,155 21.4
10
13.4
0
9.2
9,091 8,529 8,754 8,811 利用者数
図1
人口普及率
インターネット利用者数及び人口普及率の推移
出典:総務省「平成 22 年通信利用動向調査」2011 年5月
(%)
100
90
80
70
60
50
40
30
20
10
0
96.3 95.6 平成21年末
平成22年末
97.2 97.4 96.3 95.1 95.4 94.2 86.1 86.6 71.6 70.1 68.6 65.5 58.0 57.0 39.2 32.9 18.5 20.3 図2
インターネット利用率の推移(年齢階層別)
出典:総務省「平成 22 年通信利用動向調査」2011 年5月
- 42 -
100%
94.5
95%
96.1
97.5
98.1
97.6
98.1
98.7
99.5
99.0
98.8
90%
85%
80%
平成13年 平成14年 平成15年 平成16年 平成17年 平成18年 平成19年 平成20年 平成21年 平成22年
末
末
末
末
末
末
末
末
末
末
図3
インターネット利用率の推移(企業)
出典:総務省「平成 22 年通信利用動向調査」2011 年5月
2007.4
エストニア政府機関等への DDoS 攻撃(注1)
2007.10
鉄道業 A 社の自動改札システムで障害
4400 台の改札機が使用不能に
首都圏約 660 駅で計
260 万人に影響
2008.5
金融業 B 社でシステム障害
2008.8
グルジア政府機関への DDoS 攻撃
2008.9
航空業 C 社でシステム障害
2009.2
D 県 HP へ大量アクセス
2009.4
E 省の HP 改ざん
2009.4
F 省地方支分部局の非公開 HP の改ざん
2009.7
韓国、米国政府機関等への大規模な DDoS 攻撃
2009 末
「ガンブラー攻撃」(注2)によるウェブサイト改ざん被害等が増加
2010.9
我が国政府機関等への DDoS 攻撃等
2011.3
韓国政府機関等への大規模な DDoS 攻撃
2011.3
金融業 F 社でシステム障害。送金処理の遅延等が発生
2011.4
G 社米国子会社のネットワークへの不正侵入
約2万件が取引不能
53 便欠航、276 便に遅れ
一時閲覧しにくい状態に
最大で 7700 万
人分の顧客情報が流出
2011.9~
H 社及び衆議院等への標的型攻撃によるウイルス感染が発覚
(注1)Distributed Denial of Service (分散サービス妨害)
(注2)コンピュータウイルスによる攻撃の一種であり、一般企業のホームページに潜り込むことで、利
用者に感染を広めていく攻撃手段を特徴とする。
図4
最近のサイバー攻撃及び情報システムの障害・事故等(報道ベース)
出典:内閣官房作成
- 43 -
【全体】情報セキュリティ対策の必要性(SA,n=827)
1.6%
1.6%
19.2%
非常に感じてい
る
ある程度感じて
いる
あまり感じていな
い
感じていない
無回答
77.6%
図5
情報セキュリティ対策の必要性
出典:警察庁「不正アクセス行為対策等の実態調査」2012 年2月
【全体】情報セキュリティ対策実施上の問題点(MA,n=827)
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
費用対効果が見えない
59.6%
コストがかかりすぎる
54.4%
どこまで行えば良いのか基準が示されていない
48.4%
教育訓練が行き届かない
38.0%
対策を構築するノウハウが不足している
26.6%
従業員への負担がかかりすぎる
24.7%
情報を資産として考える習慣が無い
12.7%
トップの理解が得られない
12.6%
最適なツール・サービスが無い
その他
図6
5.6%
2.1%
情報セキュリティ対策実施上の問題点
出典:警察庁「不正アクセス行為対策等の実態調査」2012 年2月
- 44 -
0%
25%
50%
ネットワークに関する技術力
44.7%
セキュリティに関する技術力
44.1%
35.3%
システム管理に関する技術力
34.5%
ソフトウェアエンジニアリングに関する知識・スキル
32.6%
データベースに関する技術力
25.0%
プログラミングスキル
25.0%
システムプラットフォームに関する技術力
22.1%
アーキテクチャ設計に関する技術力
59.1%
上記分野を横断する幅広い技術力
18.6%
高度な技術力の基礎となる情報系の基礎理論・体系的知識
図7
100%
37.5%
アプリケーション共通基盤に関する技術力
無回答
75%
N=533
5.6%
今後自社の IT 人材にとって重要となるスキル(技術面)(IT 企業)
出典:独立行政法人情報処理推進機構「IT 人材白書 2011」2011 年5月
25%
0%
社内向け
50%
22.8%
社外向け
22.3%
24.3%
75%
16.1%
25.0%
100%
38.8%
19.3%
31.4%
人数もスキルも足りている
人数は足りているが、スキルが足りていない
スキルは足りているが、人数が足りていない
人数もスキルも足りていない
図8
情報セキュリティ人材の不足状況(企業)
出典:独立行政法人情報処理推進機構「情報セキュリティ人材の育成に関する基礎調査」2012 年4月
人員不足の原因(社内向け業務)
0%
25%
50%
75%
100%
3.1%
28.6%
27.9%
21.9%
本業が忙しく、情報セキュリティにまで人材が割けない
経営層の理解や認識が足りない
社内に情報セキュリティ業務の適任者が少ない
分からない
採用をしたいが、情報セキュリティ業務への応募者が少ない
その他
図9
17.1%
1.4%
N=1,736
人材不足の原因(企業)
出典:独立行政法人情報処理推進機構「情報セキュリティ人材の育成に関する基礎調査」2012 年4月
- 45 -
0%
10%
20%
30%
40%
将来自分がどうなるのかが見えない
36.8%
37.8%
このままこの仕事を続けていていいのかどうか不安になる
35.2%
31.5%
労働時間が長い
30.0%
仕事が忙しすぎる
25.3%
22.1%
20.2%
自分自身のプライベートの時間が十分に確保できない
21.9%
24.2%
仕事がつまらない
13.4%
15.6%
職場の人間関係がうまくいかない
10.6%
9.5%
職場が暗い
9.2%
6.7%
仕事が難しすぎる
8.2%
5.5%
家事や育児などとの両立が難しい
その他
2.5%
2.8%
11.2%
11.0%
特に悩みや問題点はない
H22年度調査(N=1000)
図 10
50%
39.5%
37.8%
H21年度調査(N=1000)
現在の仕事に関する給与面以外の悩みや問題点(IT 技術者)
出典:独立行政法人情報処理推進機構「IT 人材白書 2011」2011 年5月
0%
25%
50%
31.5%
主体性・積極性
30.0%
問題解決力
28.0%
チームワーク・協調性
27.6%
プレゼンテーション能力
25.5%
責任感・プロ意識
品質の重要性に対する意識
25.1%
リーダーシップ
24.4%
23.6%
自己成長やキャリアアップに対する意欲・向上心
セキュリティに対する意識
23.5%
生産性やコストに関する意識
23.1%
社会に対する責任感
22.5%
納期に対する意識
22.1%
ソフトウェアテストや情報システムの品質管理に関する知識・経験
20.3%
開発関連ドキュメントの作成に関する知識・経験
19.7%
システム開発手法や開発プロセスに関する知識・経験
18.4%
顧客に対する責任感
18.2%
システム設計に関する知識・経験
17.8%
産業界の将来を担う人材としての自覚・責任感
17.8%
プロジェクトマネジメントに関する知識・経験
17.3%
英語ドキュメントの読解力
17.1%
要求分析に関する知識・経験
16.5%
16.5%
IT業界での実務の内容に関する知識
15.4%
IT業界の動向に関する知識
プログラミングや実装に関するスキル
15.2%
システム開発のスケジュール管理に関する知識・経験
14.4%
最新技術の動向に関する知識
12.2%
情報系の学問分野の知識
11.6%
システム運用・保守に関する知識・経験
情報系の学問分野の研究実績
11.1%
10.3%
9.0%
無回答
図 11
100%
33.0%
精神的な強さ・ストレス耐性
ソフトウェア工学全般に関する知識・経験
75%
40.3%
コミュニケーション能力
26.6%
N=533
情報系教育機関において不足していると感じている教育内容(IT 企業)
出典:独立行政法人情報処理推進機構「IT 人材白書 2011」2011 年5月
- 46 -
100 (%)
90
80
70
A:教材研究・指導の準備・評価などに ICT
教育を活用する能力
B:授業中に ICT を活用して指導する能力
C:児童の ICT 活用を指導する能力
D:情報モラルなどを指導する能力
E:校務に ICT を活用する能力
72. 6
71. 4
69. 4
67. 0
65. 6
62. 7
60
50
66. 8
58. 5
65. 1
57. 8
61. 8
56. 3
52. 6
56. 4
55. 2
73. 9
76. 1
72. 4
69. 4
68. 6
60. 3
71. 4
62. 3
61. 5
58. 5
※ 東日本大震災の影響による回答不可能学校(373 校)を除いた数値である。
40
H19.3
図 12
H20.3
H21.3
H22.3
H23.3
教員の ICT 活用指導力の推移
出典:文部科学省「平成 22 年度 学校における教育の情報化の実態等に関する調査結果」2011 年8月
受講していない
77.1%
受講した
22.9%
199,445 人
669,626 人
※
A:教材研究・指導の準備・評価などに ICT
教育を活用する能力
B:授業中に ICT を活用して指導する能力
C:児童の ICT 活用を指導する能力
D:情報モラルなどを指導する能力
E:校務に ICT を活用する能力
東日本大震災の影響による回答不可能学校(373 校)を除いた数値である。
※1.ICT 活用指導力の状況の各項目のうち、E のみの研修は除く。
※2.1人の教員が複数の研修を受講している場合も、「1人」とカウントする。
※3.平成 22 年 3 月末日までの間に受講予定の教員も含む。
図 13
平成 22 年度中に ICT 活用指導力の各項目に関する研修を受講した教員の割合
出典:文部科学省「平成 22 年度 学校における教育の情報化の実態等に関する調査結果」2011 年8月
- 47 -
資料5
独立行政法人情報処理推進機構が作成した
情報セキュリティ人材のキャリアパスモデル
独立行政法人情報処理推進機構が、国内の情報セキュリティ分野で活躍している 61 名を
対象に、個人の業務経験とキャリアアップの経緯、スキルアップの方法等についてインタ
ビュー調査してとりまとめた七通りのキャリアパスモデルの概要は以下のとおり。
(表中、第1世代は社会人経験 15 年以上の者、第2世代は社会人経験 15 年未満の者)
なお、インタビュー対象者の個別のキャリアパスについては下記 URL 参照。
(http://www.ipa.go.jp/security/fy23/reports/jinzai/documents/jirei.pdf)。
1.セキュリティ戦略/総括系
エントリレベル
ミドルレベル
ハイレベル
第1世代
マネジメント系・企画系
セキュリティ業務
システム開発業務
セキュリティ運用業務
セキュリティマネジメント
を通じた統括
技術系セキュリティ業務
研究開発
セキュリティ戦略策定
セキュリティ業務を担当
システム開発業務
システム開発業務
システム開発でスキルを高
度化してからのセキュリティ
業務への移行もみられる。
2.企画/設計系
エントリレベル
ミドルレベル
ハイレベル
第1世代
開発系の各種業務
セキュリティ関連研究開発
情報セキュリティ関連
の企画/設計系研究・開発
セキュリティ以外のIT企画
セキュリティ関連企画業務
標準化活動等
(各種業務)
第2世代
セキュリティ運用
セキュリティに関する企画業務
- 48 -
3.開発/構築系
エントリレベル
第1世代
ネットワーク構築
ミドルレベル
ファイアウォール構築を通じた
全社のセキュリティ管理
ハイレベル
情報セキュリティ製品や
サービスの開発・構築
情報セキュリティ関連事業
の立ち上げ
(IT企画業務等)
セキュリティ技術企画
情報セキュリティ関連
の研究・開発
学内ネットワークの構築
UNIX系システム開発・
パソコン通信システムの経験
インターネットサービスの
企画・設計・開発・運用
セキュリティマネジメント/
コンサルティング
第2世代
新たな業務展開
世界的なセキュリティプロダクト開発、脆弱性
転機:セキュリティ業務を担当
分析・研究
セキュリティベンチャーを経営し、
ワールドワイドな業務展開を目指す
オープンソースの脆弱性発見を通じて
セキュリティコミュニティに参加
セキュリティベンダに転職し、
海外の技術者との交流でスキルアップ
海外との暗号技術の共同研究
国際標準化に向け技術力を発揮
4.運用/管理系
エントリレベル
ミドルレベル
ハイレベル
第1世代
IT系研究開発
セキュリティ運用
運用系マネジメント
システム運用
システム運用
セキュリティ運用
第2世代
セキュリティベンダにおける各種業務
転機:セキュリティ業務を担当
セキュリティ運用(高度化)
システム運用
セキュリティ運用
- 49 -
セキュリティ専門組織
での業務経験を通じた
スキルアップ。
5.監査系
エントリレベル
ミドルレベル
第1世代
会計監査
システム監査
システム構築・サポート等
インターネット関連業務
ハイレベル
セキュリティ監査・
コンサルティング
開発系業務
開発系業務・その他業務
セキュリティ検査業務
IT系各種業務
セキュリティ監査業務
セキュリティ監査業務
6.検査系
エントリレベル
ミドルレベル
第1世代
システム構築・サポート等
インターネット関連業務
開発系業務・その他業務
開発系業務
第2世代
セキュリティベンダ各種業務
転機:セキュリティ業務を担当
ハイレベル
セキュリティ検査・
コンサルティング
セキュリティ検査業務に特化
セキュリティ運用
セキュリティ検査業務
(その他業務)
若手人材は検査業務
従事者が主体。関心の
高さを通じてスキルを
磨く。
7.コンサルティング/教育系
エントリレベル
第1世代
システム系研究開発
ミドルレベル
セキュリティ系に研究テー
マを移行
システム運用
技術系セキュリティコンサルティング
ハイレベル
教育(大学に移籍)
セキュリティ戦略・統括
セキュリティコンサルティン
グ業務に着手・転職
システム開発
セキュリティ系開発・構築
業務を立ち上げ
システム企画・設計
セキュリティ系
企画・設計業務
インターネット黎明期
- 50 -
セキュリティ
コンサルティング
(技術系・マネジメント系)
情報セキュリティ関連事業
の立ち上げ
コンサルティング、教育職種
の該当者はこの時期にセ
キュリティ業務に従事
<職種横断のキャリアパスモデル>
エントリレベル
ミドルレベル
世界的なセキュリティプロダクト開発、
脆弱性分析・研究
ハイレベル
セキュリティマネジメントや
セキュリティ戦略に関する業務
戦略/統括人材
セキュリティ関連の企画及び
設計に関する業務
企画/設計人材
セキュリティに関連する開発及び
構築系の業務
開発/構築人材
セキュリティ運用及び管理系の業務
運用/管理人材
セキュリティコンサルティングの業務
コンサル/教育人材
セキュリティ監査及び検査系の業務
監査/検査人材
セキュリティ運用
オープンソースの脆弱性発見を通じ
てセキュリティコミュニティに参加
海外との暗号技術の共同研究
セキュリティベンダにおける各種業務
システム運用
セキュリティベンダ各種業務
その他業務
本調査で明らかになったキャリアパス
本調査の結果から想定されるキャリアパス
<想定されるステップアップ>
セキュリティ戦略/統括
ハイレ
ベル
・CSO/CISO/CIAO
・CSO/CISO/CIAO
補佐
エントリ
レベル
開発/構築
運用/管理
監査/検査
コンサルティング
・セキュリティー
コンサルタント
・インシデント
ハンドラー
・セキュリティプ
ロダクト
オーナー、
・セキュリティ
サービス
オーナー
・プリセールスエ
ンジニア
・セキュリティエ
ンジニア
・フィールドエン
ジニア
・プログラマー
・セキュリティシ
ステム
アドミニスト
レーター
・オペレーター
・プライバシー
スペシャリスト
・QAマネー
ジャー
・QAエンジニア
・セキュリティテ
スター
戦略/統括関
連豊富な経験
を有する
企画/設計関
連豊富な経験
を有する
開発/構築関
連豊富な経験
を有する
運用/管理関
連豊富な経験
を有する
監査/検査関
連豊富な経験
を有する
コンサルティン
グの豊富な経
験を有する
戦略/統括関
連知識・技能を
有する
企画/設計関
連知識・技能を
有する
開発/構築関
連知識・技能を
有する
運用/管理関
連知識・技能を
有する
監査/検査関
連知識・技能を
有する
コンサルティン
グの知識・技能
を有する
本調査では
存在なし
本調査では
存在なし
・プライバシーオフィ
サー
・インシデントハンド
ラー
ミドルレ
ベル
企画/設計
・セールス
コンサルタント
・テクニカル
コンサルタント
本調査で事例の有るスキルアップ
本調査で事例はないが、想定されるスキルアップ
出典:独立行政法人情報処理推進機構「情報セキュリティ人材の育成に関する基礎調査」2012 年4月
- 51 -
-ISSスクエア(研究と実務融合による高度情報セキュリティ人材育成プログラム)
資料6
概要
情報セキュリティ大学院大学、中央大学、東京大学、国立情報学研究所他、企業・研究機関11社の産学連携による研究と実
務を融合した世界最高水準の人材を育成するプログラム。平成19年度「先導的ITスペシャリスト育成推進プログラム」採択。
育成する人材
情報セキュリティ全般の確実な知識を持ち、企業活動や国の安心・安全を確保する観点から、実社会の正確な状況認識のも
とに、CIO/CISOとして組織の情報政策をリードできる人材と、問題の本質を把握して具体的な対策技術/方法の開発を行う
とともに、場当たり的でない抜本的な情報セキュリティ対策や基盤技術を創出・先導できる人材
カリキュラム概要
- 52 -
情報セキュリティに携わる上での総括的な考え方や情報セキュリティ技術の中核知識を身に付けるプログラム講義科目、指
導教員の研究指導に加え、一線の研究者が主査を務める分科会に参加することを必須とした研究指導、インターンシップや
学内における実習によって実践的な知識・技術を身につける実験・実習科目で構成される。
教育プログラムによる成果
○産学連携体制の構築
独立行政法人情報通信研究機構、沖電気工業株
式会社、株式会社KDDI研究所、株式会社東芝、株
式会社日立製作所、株式会社富士通研究所、日本
電信電話株式会社、日本アイ・ビー・エム株式会社、
日本電気株式会社、パナソニックシステムネットワー
クス株式会社、三菱電機株式会社の計11社・機関と
連携を図り、参加機関の22名と参加機関以外の1名
が講師として参画。
○教育プログラムの修了者
3年間に96名(見込みを含む)が教育プログラムを
修了、多くが情報セキュリティ関係の仕事や博士課
程へ進学。
情報セキュリティ大学院大学のカリキュラム概要
出典:文部科学省作成資料から内閣官房作成
IT Keys(社会的ITリスク軽減のための情報セキュリティ技術者・管理者育成)
資料7
概要
奈良先端科学技術大学院大学、京都大学、大阪大学、北陸先端科学技術大学院大学他、企業・研究機関4社の産学連携に
よる高度かつ実践的な情報セキュリティ人材を育成する取組。平成19年度「先導的ITスペシャリスト育成推進プログラム」採択。
育成する人材
公的機関や企業等において情報セキュリティ対策実施の責任者となる最高情報セキュリティ責任者(CISO: Chief Information
Security Officer)および実際に対策を立案しその実行を指示する情報セキュリティ担当者(CISO補佐)
カリキュラム概要
- 53 -
情報セキュリティに関する基礎知識を習得する基礎科目
群と最新の情報セキュリティ関連技術や、法律・倫理・経営
など実務に必要な知識を習得する先進科目群、既知の脅
威・攻撃に対する予防のみならず未知の脅威・攻撃にも迅
速かつ的確に対応し、永続的な対策を立案できる能力を
身につけるための実践科目群で構成される。
教育プログラムによる成果
○産学連携体制の構築
独立行政法人情報通信研究機構、特定非営利活動法人情報セキ
ュリティ研究所、JPCERT/CC、NTTコミュニケーションズ株式会社の
計4社・団体と連携を図り、16名の講師が講義や演習指導等に参画。
○教育プログラムの修了者
3年間に67名(見込みを含む)が教育プログラムを修了、多くが情
報セキュリティ関係の仕事や博士後期課程へ進学。
奈良先端科学技術大学院大学の教育プログラムの流れ
出典:文部科学省作成資料から内閣官房作成
産学連携による実践的IT教育講座の構築事業
(IT人材育成強化加速事業及び実践的IT教育モデル拡大実証計画)
資料8
概要
IT産業を支える人材を輩出するために、産学が力を合わせて、大学における実践的なIT教育を実現する取組。
経済産業省からの委託を受け、IPAにおいて実施。
平成22年度から5大学、平成23年度から10大学、平成24年度から17大学において、本事業の支援を受けて講
座を開設。
開設された情報セキュリティ関係の講座
○ 山口大学 工学部知能情報工学科(平成22年度~)
- 54 -
実践的情報セキュリティのスキル修得のための「情報セキュリティマネジメントシステム概論」を開設。
支援企業:日立製作所等
○ 法政大学 理工学部応用情報工学科(平成24年度~)
「セキュリティ・ネットワーク(セキュリティシステム設計)」をテーマにした講座を開設。
支援企業:ウチダ人材開発センター、サイバー創研
○ 電気通信大学 情報通信工学科(平成24年度~)
「情報セキュリティシステム(暗号理論・ハードウェアセキュリティ)」をテーマにした講座を開設。
支援企業:サイバー創研
出典:内閣官房作成
Fly UP