...

耐災害性を強化した情報システムの在り方等に 関する調査 平成 24 年 3

by user

on
Category: Documents
10

views

Report

Comments

Transcript

耐災害性を強化した情報システムの在り方等に 関する調査 平成 24 年 3
平成 23 年度
内閣官房情報セキュリティセンター委託調査
耐災害性を強化した情報システムの在り方等に
関する調査
平成 24 年 3 月
株式会社三菱総合研究所
目次
0. 調査の概要 ................................................................................................................................................................... 1
0.1. 調査の目的と背景 ............................................................................................................................................. 1
0.2. 調査方法................................................................................................................................................................ 1
1. 災害発生時における情報システムの影響と対策についての調査......................................................... 3
1.1. 調査方法................................................................................................................................................................ 3
1.2. ヒアリング調査結果 ........................................................................................................................................... 5
1.3. ヒアリング調査結果から得られる要点 .....................................................................................................10
2. 災害時に影響を受けるセキュリティ機能に対する対策と課題の整理.................................................22
2.1. 調査方法..............................................................................................................................................................22
2.2. BCP に関する課題と対策 ..............................................................................................................................22
2.3. 情報システムに関する課題と対策 ............................................................................................................27
3. リスク・コミュニケーションに関する調査...........................................................................................................31
3.1. 調査方法..............................................................................................................................................................31
3.2. ヒアリング結果 ...................................................................................................................................................32
3.3. 災害に関するリスク・コミュニケーションの在り方 ................................................................................36
4. 情報セキュリティ人材育成に関する調査 ........................................................................................................39
4.1. 災害時に情報セキュリティ対策を担う人材像 .......................................................................................39
4.2. 企業等が作成している情報セキュリティ人材育成計画 ....................................................................41
4.3. 企業等の情報セキュリティ関連部署の組織体制、セキュリティ関連業務で求められている
知識・能力、推奨される資格・教育プログラムの関係 ................................................................................52
4.4. 企業等におけるセキュリティ人材の不足感・育成方針・キャリアパス .........................................65
4.5. 情報セキュリティ関連の資格制度の概要 ..............................................................................................71
4.6. 情報セキュリティ関連資格制度、キャリアパス、処遇等の関係 ....................................................73
4.7. 大学及び大学院における情報セキュリティカリキュラムならびに学位 .......................................83
4.8. 大学及び大学院における産学官連携による情報セキュリティ人材育成に対する取り組み
..........................................................................................................................................................................................87
4.9. 情報セキュリティ関連コンテスト・表彰の実施状況 .............................................................................90
4.10. 情報セキュリティ教育プログラム及びキャンプの実施状況 ..........................................................91
5. まとめ ............................................................................................................................................................................92
i
付録 A. 『4.5. 情報セキュリティ関連の資格制度の概要』の調査結果 .............................................. 付- 1
付録 B. 『4.7. 大学及び大学院における情報セキュリティカリキュラムならびに学位』調査結果の
詳細 ............................................................................................................................................................................ 付- 17
付録 C. 『4.8. 大学及び大学院における産学官連携による情報セキュリティ人材育成に対する取
り組み』調査結果の詳細 .................................................................................................................................... 付- 48
付録 D. 『4.9. 情報セキュリティ関連コンテスト・表彰の実施状況』 調査結果の詳細 .............. 付- 60
付録 E. 『4.10. 情報セキュリティ教育プログラム及びキャンプの実施状況』 調査結果の詳細 ..........
付- 74
付録 F. 情報セキュリティ人材育成に関する調査 ヒアリング・アンケート調査対象一覧 ........ 付- 83
付録 G. 検討会の実施概要.............................................................................................................................. 付- 84
ii
0. 調査の概要
0.1. 調査の目的と背景
本調査は、災害発生時における情報システムのディペンダビリティを確保する情報セキュリティ
技術等に関する課題等の検討を行うために実施する。
大規模災害発生時には、情報システム障害、人為的要因及びサイバー攻撃等の影響により、
可用性以外の機密性、完全性、プライバシー保護等を考慮した対応が取れないケースもあり、事
業継続を困難とする情報セキュリティに関わる事故が発生する可能性もある。
そこで、以下の項目の調査により、政府の資料作成の参考にすることを目的とする。
・
災害発生時における、情報システムのセキュリティを損なう事象の洗い出しと事業継続計
画'BCP(を考慮するために必要な対策と課題の整理
・
災害発生時に情報共有等を確実かつ正確に行い、合意形成を行うためのリスク・コミュニ
ケーションの指針及び情報セキュリティ技術開発や適切な情報セキュリティ対策を支える人
材育成の状況
0.2. 調査方法
本調査の調査項目と調査方法は以下の通りとする。
(1) 調査項目
1) 災害発生時における情報システムの影響と対策に関する調査
(a) 災害発生時における情報システムの影響と対策についての調査
(b) 災害時に影響を受けるセキュリティ機能に対する対策及び課題の整理
2) リスク・コミュニケーション及び情報セキュリティ人材育成に関する調査
(a) リスク・コミュニケーションに関する調査
(b) 情報セキュリティ人材育成に関する調査
(2) 調査方法
1)(a)、1)(b)、2)(a)については企業'ただし、重要インフラ分野を除く(に対するヒアリング調査を
中心とする。また、2)(b)については、有識者・関係機関等へのヒアリング・アンケート調査、文献
調査とする。
調査の進め方や視点については、別途設置する「耐災害性を強化した情報システムの在り方
等に関する調査検討会」の委員による意見を反映し、幅広い視点を含めた上でまとめる(図
0-1)。
1
(1)災害発生時における情報システムの
影響と対策に関する調査
企
業
等
ヒ
ア
リ
ン
グ
調
査
(a)災害発生時における情
報システムの影響と対策
についての調査
文
献
調
査
(2)リスク・コミュニケーション及び
情報セキュリティ人材育成に関する調査
(a)リスク・コミュニケーショ
ンに関する調査
(b)情報セキュリティ人材
育成に関する調査
(b)災害時に影響を受ける
セキュリティ機能に対する
対策及び課題の整理
(4) 報告書とりまとめ
(3)検討会の運営
有
識
者
・
関
係
者
等
ヒ
ア
リ
ン
グ
・
文
献
調
査
(3)検討会の
運営
図 0-1 本調査のフロー
以下、第 1 章では、災害発生時における情報システムの影響と対策についてのヒアリング調査
として、東日本大震災における情報システムへの影響と情報システム利用・運用時の留意点、災
害発生時における情報システムのセキュリティ機能への影響や情報システムの扱いにおける事
業継続計画に関する検討項目等を記載する。
第 2 章では、第 1 章のヒアリング調査結果を踏まえ、災害時に影響を受けるセキュリティ機能と
して、BCP、情報システムのそれぞれに関する課題と対策を整理する。
第 3 章では、災害発生時における、IT システムに関わるリスクに関するリスク・コミュニケーショ
ンとして、社内における IT システムリスクに関わる情報共有と、ステークホルダー'顧客、株主、
取引先等(や一般社会、地域住民等、対外への情報発信の観点から、実態と課題をまとめる。
第 4 章では、情報セキュリティ人材育成の観点から、災害時に情報セキュリティ対策を担う人
材像をまとめるとともに、情報セキュリティ人材を巡る、企業の取り組み、資格制度、大学・大学
院のカリキュラム、コンテスト等について情報を整理する。
2
1. 災害発生時における情報システムの影響と対策についての調査
1.1. 調査方法
災害発生時、情報システムの機能が著しく制限を受ける中で、優先度の高い活動を継続するた
めに定めている BCP に準じた対応を行う中で、実際に生じた情報システムのセキュリティ機能へ
の影響を調査し、災害発生時における情報システムの扱いにおける BCP の検討項目を整理し
た。
調査方法は 20 組織'重要インフラ事業者を除く(へのヒアリング調査とし、調査項目は災害発生
時における情報システムの影響と対策に関する調査'25 項目(、リスク・コミュニケーションに関す
る調査'9 項目、3.1.1 節参照(、計 34 項目とした。組織属性に応じて、BCP 等へ反映する事項、災
害時に留意すべきセキュリティ要件等について整理を行った。
1.1.1. 調査項目
災害発生時における情報システムの影響と対策に関する調査項目全体'34 項目(を表 1-1 に
示す。
表 1-1 災害発生時における情報システムの影響と対策に関する調査項目一覧
No
調査項目
災害発生時における情報システムの影響と対策に関する調査項目
(0) 企業の概要について
1
1) 拠点の状況'被災地における拠点の有無、被災地で実施している業務 等(
2
2) 情報システムの設置場所'社内サーバルーム/社外データセンター 等(
3
(1) 情報システムを考慮した事業継続計画'BCP(の有無
(2) BCP がある場合はその概要、ない場合は災害発生時の態勢、権限の考え方
4
1) 'BCP がある場合(BCP の発動基準・解除基準
5
2) 災害発生時の情報システムの稼働継続に関する意思決定者、対応態勢
(3) 通常時に情報システムに関して求められるセキュリティ要件やプライバシー要件
6
1) 重要な情報そのものや、情報システムに対するセキュリティ要件'アクセス制御、
暗号化、バックアップ等(の考え方・セキュリティ確保の方法
7
2) 個人に関わる情報に対するプライバシー要件の考え方・プライバシー確保の方法
8
(4) 東日本大震災を受けた BCP の見直し、または新規策定の予定、内容
9
(5) 災害時に優先すべき業務と、関連する情報システム
10
(6) 災害時に優先すべき業務を遂行するために必要なリソース
(7) 東日本大震災時の情報システムの被災状況、業務への影響・対応
11
1) 影響を受けた情報システムの概要
12
2) 影響を受けた情報システムの管理場所
3
13
3) 情報システムに影響を与えた要因
14
4) 影響を受けた情報システムに対する復旧作業
15
5) 業務への影響
16
6) 業務への影響があった場合の対応
17
7) 全ての情報システムが復旧'正常通り稼働(するまでの時間
(8) 東日本大震災時の情報システムのセキュリティ要件やプライバシー要件の遵守状況
18
1) 重要な情報そのものや、情報システムに対するセキュリティ要件'アクセス制御、
暗号化、バックアップ等(の考え方・セキュリティ確保の方法について、変更せざる
を得なかった点
19
2) 個人に関わる情報に対するプライバシー要件の考え方・プライバシー確保の方法
について、変更せざるを得なかった点
20
3) 電子化された個人情報について、平時とは異なる柔軟な管理方法に変更せざる
を得なかった点、その際の技術面・マネジメント面でのニーズ、管理手段
(9) 東日本大震災時のサイバー攻撃の可能性
21
1) 東日本大震災時のサイバー攻撃'DDoS 攻撃、標的型メール等(の有無、内容
22
2) サイバー攻撃があった場合の対応
23
3) 東日本大震災時でのサイバー攻撃で対応が困難だった点
(10) 東日本大震災の経験から情報システムに求める改善点
24
1) 情報システムへの直接の影響を踏まえた、'情報システムに関連する(BCP の
見直し、新規策定の予定、内容
25
2) サービスそのものへの影響等を踏まえた、'情報システムに関連する(BCP の
見直し、新規策定の予定、内容
リスク・コミュニケーションに関する調査項目
26
(1) 災害発生時に'主に情報システムに関して(想定されるリスク
27
(2) 災害発生時に行う'主に情報システムに関わる(リスク・コミュニケーションに参加す
べき役割
28
(3) 災害発生時に想定している連絡手段
(4) 東日本大震災時の'主に情報システムに関わる(リスク情報の共有方法
29
1) BCP 等発動フェーズにおける社内外関係者との情報共有方法
30
2) 業務再開フェーズにおける社内外関係者との情報共有方法
31
3) 業務回復フェーズにおける社内外関係者との情報共有方法
32
4) 全面復旧フェーズにおける社内外関係者との情報共有方法
33
(5) 東日本大震災時におけるリスク・コミュニケーション上発生した問題点
34
(6) 平時より行っている情報システムに関わるリスク等の情報共有や、災害発生時に円
滑に情報共有・伝達を行うための平時からの取り組み
4
1.1.2. 調査対象
調査対象は、東日本大震災において IT に何らかの影響があった、あるいは情報セキュリティ上
の柔軟な対応を行ったと想定される企業を、重要インフラ事業者を除く幅広い業種から抽出した。
製造業については、自動車、機械、食品等様々な形態があるため、件数を増やした。最終的なヒ
アリング実施企業は、内閣官房情報セキュリティセンター'NISC(と協議の上、決定した。
本調査でヒアリング調査を行った企業における業種と従業員規模は、以下の通りである。
表 1-2 ヒアリング実施企業
No
業種
本社
従業員数
国内拠点数
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
建設業 A
建設業 B
製造業 A
製造業 B
製造業 C
製造業 D
製造業 E
製造業 F
製造業 G
製造業 H
通信業 A
情報サービス業 A
情報サービス業 B
情報サービス業 C
情報サービス業 D
情報サービス業 E
物流業 A※
卸売業 A
小売業 A
教育・学習支援業 A
東京
大阪
東京
東京
東京
東京
東京
東京
東京
東京
東京
東京
東京
東京
神奈川
東京
神奈川
東京
東京
東京
5,001 人以上
5,001 人以上
5,001 人以上
5,001 人以上
5,001 人以上
5,001 人以上
5,001 人以上
5,001 人以上
5,001 人以上
301~1,000 人
1,001~5,000 人
5,001 人以上
1,001~5,000 人
1,001~5,000 人
301~1,000 人
301~1,000 人
1,001~5,000 人
51~300 人
5,001 人以上
301~1,000 人
51 箇所以上
51 箇所以上
51 箇所以上
51 箇所以上
51 箇所以上
51 箇所以上
51 箇所以上
11~50 箇所
2~5 箇所
51 箇所以上
51 箇所以上
51 箇所以上
11~50 箇所
2~5 箇所
11~50 箇所
2~5 箇所
11~50 箇所
11~50 箇所
51 箇所以上
51 箇所以上
※「重要インフラの情報セキュリティ対策に係る第 2 次行動計画」'2009 年 2 月 3 日情報セキュリティ政策会議決
定(において、流通業は大手事業者のみが重要インフラ事業者として定められている。ここでは、大手事業者で
はないことから、NISC に確認の上、本調査の対象に含めた。
1.2. ヒアリング調査結果
企業における災害発生時における情報システムの影響と対策に関するヒアリング調査結果に
ついて、ヒアリング項目毎にまとめる。
5
1.2.1. IT システムを考慮した事業継続計画'BCP(の有無
IT システムを考慮した BCP を持つ企業は 20 社中 9 社であったが、システムに何らかの影響が
あった場合の対応手順について定められたドキュメントを保有している、もしくは BCP において一
部 IT システムについて触れられている企業'5 社(も含めると、災害時に IT システムを稼働継続さ
せるための何らかの指針を持つ企業は 20 社中 14 社であった。
1.2.2. 災害時の態勢、権限の考え方
BCP を保有する企業では、BCP で定められる基準や条件に基づき、BCP が発動され、BCP に
基づいた全社的な緊急対応体制が立ち上がっている。BCP の発動に関する判断で悩んだ、ある
いは混乱したと回答した企業はなかった。
BCP が発動した場合、あるいは BCP はなくとも全社的な緊急対応体制が立ち上げられた場合、
情報システム部門責任者'CIO(は全社的な緊急対応体制に組み込まれており、情報システム部
門と経営層が連携する対応体制が構築されていた。
全社的な緊急対応体制が立ち上がらなかった場合でも、IT システムを考慮した BCP や対応手
順が定められている企業では、情報システム部門で緊急対応体制を立ち上げ、迅速な対応を行
っている企業もあった。
1.2.3. 通常時に IT システムに関して求められているセキュリティ要件及びプライバシー要件
個人情報を保有しビジネスに利用する企業'20 社中 15 社(のうち 10 社がプライバシーマークを
取得している。また、ISMS を取得している企業も 9 社あった。これらの認証を取得している企業で
は、プライバシーマークや ISMS をベースとした管理を行っている。ID、パスワードによる情報に対
するアクセス権限の設定、重要な情報の物理的な保護'入退室管理(等は多くの企業で行われて
いた。
1.2.4. BCP の見直し、新規策定の予定
東日本大震災を機に、BCP の新規策定または見直しを行った企業は 20 社中 13 社であった。
見直しの内容は以下の通り様々であったが、指示命令系統を修正した企業が 2 社あった。また、
セキュリティレベルの緩和をルールとして設定した企業もあった。
・ IT を考慮した BCP を策定すべく検討中。BCP 本体は指示命令系統を修正。'情報サービ
ス業 E(
・ 情報システムとしてはバックアップ回線を強化したが、業務部門には災害時にネットワーク
停止がありうることを前提で BCP の検討を依頼している。全社の BCP としては、バックアッ
プセンターを整備し、指示命令系統の再整備を行った。'製造業 F(
6
・ BCP において、災害発生時に用意する情報システムの見直しとセキュリティレベルの緩和
をルールとして設定した。災害発生から半年後'データセンターが被害を受けた状況(の対
応について BCP の視点から検討中。また、サイバー攻撃に関する検討についても着手し
た。'建設業 A(
・ BCP 見直しは、インフラ、データのバックアップ、セキュリティ等。'卸売業 A(
・ メール確保と顧客の保守関係情報にアクセスできることを優先とし、データセンターの電源
に問題がありえるという前提で、BCP を見直し。'通信業 A(
・ 計画停電、電力総量規制への対応を BCP に追加予定。'製造業 C(
・ 関東と関西に分散したシステムのうち、関西が震災にあった場合の対応について検討。
'製造業 D(
・ 責任者の明確化。'製造業 G(
・ 災害発生時に必要な情報の整理のために、サーバ一覧や情報のまとめ方について整備。
'製造業 E(
1.2.5. 災害時に優先すべき業務と、関連する IT システム
災害時に優先すべき業務として、20 社中 16 社が安否確認を挙げており、そのうち安否確認シ
ステムを入れている企業は 9 社であった。災害時に優先すべき業務として安否確認を挙げた 16
社のうち 8 社で、携帯回線の輻輳のために安否確認作業が難航していた。また、安否確認システ
ムを入れている企業のうち、登録したアドレスが受け取りにくいものだったり、システムの使い方が
わからなかったりした場合など、返答率も悪いという企業もあった(2 社)。ただし、対象となる従業
員数が多い企業では、何割かでも返答があった場合は、個別に安否確認を行う手間が省けるた
め、有効だったという意見もあった(2 社)。
安否確認以外の優先業務では、顧客対応、各拠点や現場からの情報収集、生産業務の継続
に関する情報収集等が挙げられた。顧客対応や、各拠点や現場からの情報収集では、通信手段
の確保が重要となっている。また、顧客対応として社内向け IT と同じ環境を用いて顧客にサービ
スを提供している場合は、情報システム部門の優先業務として、サービス提供の継続、情報シス
テム稼働のためのパーツの提供、運用人員の確保などが組み込まれていた。
1.2.6. 災害時に優先すべき業務を遂行するために必要なリソース
災害時に優先すべき業務を遂行するために必要なリソースは、安否確認の場合、作業を行うた
めの人員及びツール'安否確認システム及び通信手段(であった。顧客対応や、各拠点や現場か
らの情報収集では、人員及び通信手段が必要である。さらに、1.2.5. に述べたような、社内向け IT
と同じ環境で顧客にサービス提供している場合は、情報システム部門では、社内業務に加え、顧
客対応のためにより多くの人員が必要となっていた。
7
1.2.7. 東日本大震災時における IT システムへの被災状況
東日本大震災によって IT システムに影響があったのは 20 社中 7 社であった。メインのデータセ
ンターが本社や本社近くの首都近郊、被災地以外に設置していた企業が多く'20 社中 19 社(、IT
システムに対して影響を受けなかったものと見られる。
被災地に拠点を構える企業では、拠点の PC 損壊・流出、通信回線障害等、IT システムへの影
響が見られた。
東日本大震災において、大きな影響があった事例は以下の通りである。
・
仙台のデータセンターが火災に見舞われ、6,000 件の顧客情報、建築系システムのデー
タ等を全て失った。バックアップはセンター内だけで役に立たなかった。'建設業 B(
・
ターミナルサービス'シンクライアントのターミナルサーバ(が、停電で震災当日 2 万人が
使えなくなった。メール等、コミュニケーションの部分は全て使えなくなった。'製造業 C(
また、震災後、計画停電において、IT システムに大きな影響があった事例は以下の通りであ
る。
・
都内の計算センターが計画停電の対象地域になり、サーバのシャットダウンとスタートア
ップが必要になった。計画停電の間に顧客からの受発注データを一時大阪のセンターを
バックアップとして利用したが、データを元環境に戻す際に、いくつかのデータが失われ、
復元するために、3 ヶ月程度を要した。'製造業 B(
1.2.8. 東日本大震災時における IT システムのセキュリティ要件及びプライバシー要件の遵守状
況
東日本大震災において、IT システムのセキュリティ要件及びプライバシー要件について緩和措
置を取ったのは、20 社中 10 社であった。計画停電等によって出社できない社員のために、多くの
企業が在宅勤務制度を一時的に設けていた。これらの企業は、概ねリモートアクセス環境が既に
構築されており、それを一部拡大するだけでスムーズに対応できた。在宅勤務の制度がない企業
の場合は、制度がなくても運用で在宅勤務を一時的に認めるという柔軟な対応を行っている。
セキュリティ要件を大きく緩和した事例は以下の通りである。
・
PC の社外持ち出しは基本的に禁止しているが、被災地で建物の被害チェックをし、施設
の構造確認等を実施するためには、現場で PC を使用する必要があったために、PC の
持ち出しを情報システム部長として許可した。また、同様に施設の図面は、関係者以外
にアクセス禁止のデータであるが、情報システム部長の権限で許可を与えた。'建設業
A(
・
失ったデータ復旧作業のために、IT 部門は、2~3 週間ぐらい非常時体制が続いた。東北
地方のデータの HDD からの復旧・東京支社へのシステム移行は、ベンダの参集も十分
8
ではなく、本社で対応せざるを得なかった。時間がかかり、エラーも頻発したため、対応
が非常に大変だった。データへのアクセスはフリーにした。会社が回らないのが目に見え
たので、早期に判断した。'建設業 B(
・
本社'情報システム部門(からお客様に問い合わせをする場合は、現場からパスワード
を聞いて対応した。テレビ電話で教え合ったりしていた。落ち着いた時期に、パスワード
を変えて戻した。システムは、IT に強いグループ会社が管理しているため、アクセス権限
の変更に 2 日間かかる。'小売業 A(
・
緊急連絡できるように Skype のポートを開けた。社員の 20%が外国人で、帰国命令が出
た社員もいたため、海外にいる社員との連絡には、Skype は有効だった。その後も使える
よう、Skype 利用の際の安全を確保し、ルールを整備した'追認した(。'情報サービス業
B(
・
ある顧客からの依頼で、緊急にアクセスするデータが必要であるということから、本来の
FW の設定ポリシーを一時的に変更して、特定アドレスからのアクセスを許容する処置を
行った。この処置は、CIO と社長の判断と指示で実施された。'通信業 A(
1.2.9. 東日本大震災時における IT システムのサイバー攻撃の可能性
今回調査対象とした企業の全てが、東日本大震災に関連したサイバー攻撃を受けていないと
の回答を行っている。ただし、サイバー攻撃については気づいていない可能性も否定できない。
また、インターネットサービスを提供する情報サービス業からは、「震災に限らず常にサイバー
攻撃に晒されている」という回答があった。
1.2.10. 東日本大震災の経験から、IT システムに求める改善点
東日本大震災の経験から、IT システムに関して改善を実施、あるいは検討中という企業は 20
社中 16 社であった。実際に影響を受けた点の改善だけではなく、大規模広域な災害が発生する
ことを踏まえた改善を実施・検討している企業も見られた。そのうち、5 社がバックアップを地理的
に離れた場所で実施するように見直し、データの集約を進める企業も 5 社見られた。
その他挙げられた主な改善点は以下の通りである。
・
各地のデータセンターに分散させずに、顧客情報は一元化の予定'海外のクラウド(。個
人情報なので外に出すかどうかは悩んだが、暗号化されるということであり、維持費以外
は削減可能であった。'建設業 B(
・
データの保全、ネットワークに関して、影響が大きい障害点をなくしていくこと。非常時に、
指示を受けなくても、一定レベルまで自発的に動けるルールに変更すること。'情報サー
ビス業 B(
9
1.3. ヒアリング調査結果から得られる要点
ヒアリング調査から判明した点について、東日本大震災における情報システムへの影響と情報
システム利用・運用時の留意点、情報システムのセキュリティ機能への影響、情報システムの扱
いにおける事業継続計画の検討項目について、以下に整理する。
1.3.1. 東日本震災における情報システムへの影響と情報システム利用・運用時の留意点
本調査において対象とした企業における情報システムの特徴は以下の通りである。
・ 本社が関東近郊にある企業が多く、主要なデータセンターは被災地から離れている。
・ 全国的に拠点が分散している場合、情報システムや情報も集約されておらず、自社で
データセンターやサーバを運用している場合が多い。
東日本大震災における情報システムへの影響と業務へ与えた影響の特徴は以下の通りであ
る。
・ 社内外ともデータセンターが被災地に位置しないケースが多かったことから、情報シ
ステムへの影響があった企業は尐なかった。
・ ただし、製造業における工場等、業務において重要な役割を果たす拠点とそれを支え
る情報システムが被災地に存在する場合や、重要なデータセンターや拠点が計画停
電エリアに含まれた場合は、業務に対する影響があった。
・ 停電'計画停電を含む(や通信遮断・遅延の影響が大きかった。特に、計画停電では、
自家発電の容量不足、頻繁なサーバの立ち上げ/立ち下げ等の発生により、業務に
影響があった。
なお、今回の調査対象企業は、ある程度の企業規模を有し、IT を事業に活用している企業であ
るが、重要インフラ事業者を除く業種であるため、業務と IT の特性という点で、'一部のインターネ
ット系サービスを提供する企業を除き(以下が特徴的であると想定される。
・ 業務そのものが情報システムに直結するのではない場合も多いため、製造業におけ
る生産管理システム等一部を除いて、社内において復旧優先度の高いシステムは、
社内外の情報共有システム'メール、グループウェア等(である場合が多い。
・ 情報システムの機密性・完全性も重要視しているが、顧客サービスの向上やコストと
の兼ね合いにおいて、情報システムの可用性やシステム機能の充実の方が優先され
ることが多い。
本調査における事例を基に、情報システムへの影響毎に、情報システム利用時・運用時の留
10
意点を整理すると、表 1-3 の通りとなる。
表 1-3 東日本大震災によるシステムへの影響と利用時・運用時の留意点
留意点
システム
状態
稼働
停止
システムに影響
を与えた原因
-
一部
全部
停電
利用時の留意点
運用時での留意点
○データセンターの立地考慮と
遠隔地でのバックアップ
・震災の影響がない場所のデー
タセンター設置。'複数(
・関西にバックアップを目的とし
たディザスタリカバリセンターを
設置。'通信業 A(
○人手の要らない運用環境構築
・障害が起こらない限り作業が必
要ないシステムの構築。'情報サ
ービス業 B(
○社内インフラシステムに対する
自家発電装置の導入
・メール・ネットワークの停電によ
る利用不可⇒メールサーバ、ネ
ットワークサーバの自家発電装
置導入。'情報サービス業 d(
○事前の注意喚起
・前日の地震の際、関係者に
注意喚起。'情報サービス業
E(
○紙書類への考慮
・紙書類の取り扱い手順・保
護対策'パスワード保存、自
動バックアップ、不要時の廃
棄(の見直し。'卸売業 A(
計画停電
○データの一元化とバックアップ
・拠点 PC が壊れ、データを消
失。情報の一元管理とバックアッ
プ実施。'教育・学習支援業 A(
通信遮断・遅延
○複数の通信回線・手段の確保
・通信回線の複数キャリア化 。
'製造業 F、情報サービス業 A(
・テレビ会議システムを活用。'製
造業複数(
○社内インフラシステムの外部
委託
・メールシステムを外部事業者に
委託。'情報サービス業 C(
○顧客情報の集約・クラウド化
・社内データセンター火災のため
顧客情報を全消失。クラウドに顧
客情報を集約、バックアップを実
施。'建設業 B(
○基幹システムの外部委託、社
内インフラシステムのクラウド化
・社内データセンターが計画停電
区域にあり、基幹システムが全
停止。段階的に外部データセン
ターへ移行。'製造業 D(
・グループウェアの稼働継続のた
めクラウドへ移行。'製造業 D(
火災
計画停電
○縮退運転による燃料保持
・通信設備の自家発電の燃料
を保持するために、深夜は装
置を停止。'建設業 A(
○移行環境を利用したデータ
回避
・サーバが利用不可となった
が、移行途中のサーバにデー
タを急遽移して対応。'製造業
C(
○計画停電に合わせた機器
の停止/再起動
・計画停電に合わせ、機器の
シャットダウン・再起動を実
施。'複数(
○新たな通信手段の暫定利
用
・Skype を利用可能とした。'情
報サービス業 B(
-
-
1.3.1.1. 情報システムに影響がなかった事例
情報システムに全く影響がなかった事例は、自社あるいは社外でも震災の影響がない場所に
データセンターを設置していたケースであった。しかしこれは結果論であり、データセンターが被災
11
地や計画停電区域に入った事例では、情報システムに対して影響が発生したり、データセンター
を耐震構造としていた場合でも、サーバが柱ごと倒壊したりしたケースもある。また、震災後、バッ
クアップを目的としたディザスタリカバリセンターを、本社の東京から離した関西に設置した事例も
見られた。広域災害を念頭に置いた、地理的要素を加味したデータセンターの集約とバックアップ
の実施方法については、大きな留意すべき点である。
また、今回調査対象とした企業のうち、高い可用性を要求されるインターネットサービスを行う
情報サービス業においては、元々障害が起こらない限り人手による作業が必要ないシステムを構
築していた。
運用時の留意点としては、東日本大震災前日の地震の時、関係者に「冷静に対応するように」
との注意喚起を行っていたケースが見られた。また、電子情報だけではなく、火災や津波等による
紙書類の紛失に備えて、紙書類の取り扱い手順と保護対策'パスワード保存、自動バックアップ、
不要時の廃棄(の見直しを行う企業もあった。
1.3.1.2. 情報システムの一部に影響があった事例
停電による影響では、メールやネットワークが停電によって利用不可となった企業では、メール
サーバ、ネットワークサーバの自家発電装置を導入したり、自家発電装置を導入していても、燃料
の保持のために深夜は装置を停止しながら運用していた事例が見られた。自家発電装置が接続
する機器の必要な運転継続時間と、自家発電装置の稼働継続時間の把握を行い、自家発電装
置の稼働継続時間が短い場合の、情報システムの優先稼働順位付けや縮退運転の方針につい
て予め検討しておく必要がある。
また、停電によって、企業の基幹サーバが利用不可となった事例では、ちょうど移行途中のサ
ーバの空きがあったため、データを急遽移して対応した事例もあった。これは、非常に大規模な企
業で、システムを一度に移行することが難しく、常に新しい環境と古い環境が混在する状況でシス
テム運用が行われていたケースだが、新旧の環境をうまく活用することで、対応することも可能で
ある。
計画停電では、複数の企業が、計画停電に合わせ、機器のシャットダウン・再起動を複数回実
施している。大規模なシステムが対象となった場合は、社外から応援の人員を調達した事例もあ
った。さらに、計画停電の間のデータを一時別のセンターでバックアップとして利用したものの、デ
ータを切り戻す際に、いくつかのデータが欠落したために、復元するのに数ヶ月を要した事例もあ
る。基幹システムの場合は、自家発電装置を導入して対応した事例もあるが、複数回の計画停電
には対応できず、シャットダウン・再起動を実施せざるを得なかった企業もある。計画停電によっ
て、拠点の PC が壊れ、データを消失したために、情報の一元管理とバックアップ実施を行った事
例もあった。計画停電対応は、前述した停電対応も合わせ、自家発電装置の導入や、データの集
約・バックアップの方法とともに検討する必要がある。
通信遮断や遅延については、通信回線の複数キャリア化によって問題なく対応できていた事例
もあった。しかし、被災地との連絡に支障が出たケースもあり、携帯電話、テレビ会議、社内メッセ
12
ンジャー、Twitter、Skype 等、複数の通信手段を用いることで対応していた。製造業等では、テレ
ビ会議システムを活用していた事例が多かった'製造業 3 社、建設業・小売業・情報サービス業各
1 社、計 6 社(。また、インターネット関連の情報サービス業では、平時から複数のインターネット系
の連絡手段を利用していたこともあり、Yammer1、Twitter 等の手段で情報伝達を円滑に行ってい
た。東日本大震災時に、海外との連絡のために Skype を一時的に導入したが、便利であったため
に後日社内ルールを変更して平時も利用可能とした事例もあった。通信遮断や遅延に備えては、
複数の連絡手段を日頃から準備しておくことが有効であり、また有効な連絡手段は平時から利用
可能とすることで、災害時も円滑に使えることが可能となる。また、メールシステムが計画停電対
象のエリアのルータを経由することで、自事業所は計画停電対象外でも、計画停電中メールが全
く使えないという事例があった。震災ではメールに直接影響なかったものの、その後の見直しで、
メールシステムの一箇所が壊れると全て使用不可になる構成であることが判明し、一括で外部委
託したという企業もあった。このように、メールシステム自体を外部事業者に委託する方法も 1 つ
の選択肢であるが、それによって、社内の機密情報が社内の経路で閉じず社外に出てしまう点に
ついても考慮する必要がある。
1.3.1.3. 情報システムの全てに影響があった事例
今回の調査対象では、被災地にあった社内データセンターの火災のため、顧客情報を全消失
した事例があった。地震を想定したサーバの柱へのくくり付けを行っていたが、想定を上回る揺れ
のため、サーバが柱ごと倒れ、火災になったということである。紙は打ち出さない方針でほとんど
残っておらず、また、バックアップは同じデータセンター内に保存していたため、役に立たなかった。
この企業では、震災後、顧客情報を外部事業者のクラウド環境'海外のデータセンター(に一元化
することとした。顧客情報を海外に置くことには社内でも議論があったが、暗号化がなされるという
ことで、クラウド移行の決断を行っている。
社内データセンターが計画停電地域にあり、基幹システムが計画停電中全停止した企業'製造
業(では、計画停電中から長期に渡ることを想定し、段階的に外部データセンターへ移行していた
が、計画停電後も外部データセンターの利用を継続している。また、業務遂行上重要となるグル
ープウェアも、稼働継続を確保するためクラウドへ移行した。
前者の事例の場合、東日本大震災では、東北が被災したため、人員的・システム的に体制の
充実した東京で支援を行うことが可能であったが、首都直下地震など、近隣に支援体制が望めな
い場合も考えられる。また、後者の事例の場合、製造業の業務継続においては、社内インフラとし
ての情報共有システム'メール、グループウェア等(が稼働することが重要である。想定するリスク
に対する対応が自社で難しい場合は、外部事業者のクラウド環境を利用することも一考に値する。
その場合は、現状指摘されているクラウドのリスクを考慮し、データの保管場所'国内か否か(や
形態'暗号化されているか否か(やバックアップ条件、SLA 等、確認の上で判断することが望まし
1
企業向けに提供されるソーシャルネットワーキングサービス'SNS(の一種。情報共有ツールとして利用される。
13
い。
1.3.2. 東日本震災における情報システムのセキュリティ機能への影響
東日本大震災における情報システムのセキュリティ機能への影響は、事例として見られた点を
表 1-4 に整理する。
表 1-4 東日本大震災による情報システムのセキュリティ機能への影響
No
業種
対応
内容
1
建設業 A
アクセス権限
の緩和
4
製造業 B
入退室制限
の緩和
11
通信業 A
アクセス権限
の緩和
12
情報
サービス業
A
情報
サービス業
B
入退室制限
の緩和
情報
サービス業
D
情報
サービス業
E
アクセス権限
の緩和
情報
サービス業
E
小売業 A
サービスの
年齢制限
一時緩和
アクセス権限
の緩和
13
15
16
19
Skype ポート
の開放
在宅勤務
アクセス権限
シス
テム
環境
制
度 ・
規則
現場で PC を使用する必要があった
ために、PC の持ち出しを許可。関係
者以外にアクセス禁止の施設図面
に対するアクセスを応援要員にも許
可。
計画停電によるサーバのシャットダ
ウンとスタートアップのための、ベン
ダの応援要員のサーバルームへの
入退室は、事前申請ではなく、紙に
氏名と入退出の記録で行った。
顧客依頼で緊急にアクセスするデー
タが必要であることから、ファイアウ
ォールの設定ポリシーを一時的に
変更して、特定アドレスからのアクセ
スを許容する処置を行った。
地震後、コールセンターの入退室管
理システムが作動しなくなり、ドアを
開放した。夕方には復旧した。
海外の社員とも緊急連絡できるよう
に Skype のポートを開けた。'Skype
は有効だったので、その後も使える
よう安全を確保し、ルールを整備し
た(。
バックアップの復旧作業の際、担当
者が出社できない日があり、パスワ
ードを使える人間を増やした。
計画停電の対象エリアの社員に対
して在宅勤務を認めた。申請ベース
で利用可とし、認証システムのユー
ザ数を追加した。
安否確認のためにサービスの年齢
制限の一時緩和等を行った。
×
顧客情報へのアクセスについて、対
象外の社員にも社員コードをパスワ
ードとともに教えて迅速な対応を行
った。現在はパスワードを変更。
膨大なデータ復旧作業のために他
14
終了
後の
扱い
×
責任
者の
承認
※
○
×
×
○
○
×
×
◎
○
×
×
×
○
×
×
◎
○
○
'利用
可と
した(
○
×
○
○
○
○
◎
○
○
×
◎
○
○
×
×
○
○
×
○
○
No
業種
対応
内容
の緩和
支社やベンダから応援要員を確保
したため、データへのアクセスをフリ
ーにした。会社が回らないのが目に
見えたので、早期に判断した。
出社できない場合は、リモートアク
セスを拡大して、在宅勤務にした。
重要な業務担当者にノート PC と通
信カードを貸与して、在宅勤務を認
めた。現在もなし崩しで継続。
拠点責任者の上長承認の下、拠点
責任者でなくとも情報が見られるよ
うアクセス権限を変更した。現在は、
権限は戻している。
在宅勤務
20
教育、学習
支援業 A
在宅勤務
アクセス権限
の緩和
シス
テム
環境
制
度 ・
規則
責任
者の
承認
※
終了
後の
扱い
○
○
○
○
×
×
◎
×
○
×
○
○
※ ◎ 情報システム部門長以上の承認あり、○ 情報システム部門長の承認あり
多くは、復旧業務や顧客対応のための情報システムや情報へのアクセス制限の緩和や、計画
停電等に伴う在宅勤務の導入・対象者の拡大、入退室管理の緩和であった。情報システムや情
報へのアクセス制限の緩和については、既に当該情報システムや情報へのアクセス制限がかけ
られている中、情報システム部門長の承認においてその制限を緩和・解除するという対応がなさ
れており、対応についてやむを得ない状況下において、迅速に決定・実施されている。また、リモ
ートアクセス環境や在宅勤務の制度が整っている企業では、在宅勤務の拡大が経営層で決定後、
その対象者を情報システム部門において拡大するという対応が、スムーズに実施されている。'た
だし、ノート PC の持ち出し環境にない企業では、ノート PC や通信カードを急遽調達している事例
もある。(入退室管理の緩和については、震災時の一時的な停電と想定される場合は、現場の判
断で緩和を行っていたが、計画停電で入退室管理の緩和が長期に渡る場合は、業務継続を優先
し、情報システム部門長の判断で紙をベースとした入退室チェックに変更していた。
これらの事例では、業務遂行上やむを得なく、一時的な対応である見通しが立っており、セキュ
リティ要件変更の影響範囲も小さいことから、情報システム部門長の判断でスムーズに承認・実
施がなされている。特に、既にルールが確立していたり、システム環境が整備されていたりする場
合の実施については、円滑に進められている。また、多くは、平時の運用に戻されているが、一部
は緩和された環境が継続している場合もある。
しかし、顧客情報へのアクセスについて、対象外の社員にも社員コードをパスワードとともに教
えた事例'表 1-4、19(では、システム権限の変更権限が自社にはなく、グループ会社にあり、円
滑な対応をできなかったことから、権限の拡大ではなく、ID とパスワードを共有し、運用をルーズ
にすることで対応している。ある社員の ID とパスワードが共有されることにより、他のシステムに
対してもアクセス権限が緩くなることや、入手した情報を悪用する可能性が高まり、単に ID とパス
ワードの拡大や一時的なシステム開放より、セキュリティレベルは低くなっていると言える。
15
一方、以下の事例においては、全社的なセキュリティ要件の緩和が必要なケースであり、いず
れのケースも情報システム部門長以上の承認を得て、実施に踏み切っている。
・ 顧客依頼で緊急にアクセスするデータが必要であることから、ファイアウォールの設
定ポリシーを一時的に変更して、特定アドレスからのアクセスを許容する処置を行っ
た。'表 1-4、11(
・ 海外の社員とも緊急連絡できるように Skype のポートを開けた。'Skype は有効だった
ので、その後も使えるよう安全を確保し、ルールを整備した(。'表 1-4、13(
・ 安否確認のために提供する IT サービスの年齢制限の一時緩和等を行った。'表 1-4、
16(
これらの点より、東日本震災における情報システムのセキュリティ機能への影響を踏まえ、以
下の点が留意点として上げられる。
・ 災害時、ある情報システムや情報に対するアクセス権限の緩和を行うことが、業務継
続上有効であることが想定される場合は、その意思決定を情報システム部門長とす
ること、アクセス権限を変更する手続きを簡易にしておくことで、災害時も円滑な対応
を行うことが可能である。システムやルール上の整備がなされていると、セキュリティ
要件の緩和と戻しについても円滑な運用が可能である。
・ ただし、セキュリティ要件の緩和の際には、影響範囲が限定される部分のみとし、全
社的な影響が大きい場合は、経営層の判断を仰ぐ仕組みを構築しておくことが必要で
ある。
・ また、平時の運用に戻すタイミングと方法についても予め決定しておく必要がある。
・ アクセス権限を変更する手順が煩雑であると、かえってセキュリティレベルの低い運
用にならざるを得ないこともあるため、求められるセキュリティレベルを勘案の上、アク
セス権限の変更手順を必要以上に厳密なものにしないことも必要である。
1.3.3. 災害発生時における情報システムの扱いにおける事業継続計画の検討項目
1.3.3.1. 災害時の情報システムの稼働継続に向けた対応について
東日本大震災において、災害時のシステムへの影響と効果的な技術的対策と組織的対策につ
いて表 1-5 に整理する。
16
表 1-5 災害時のシステムへの影響と効果的な対策
対策
停止
範囲
種
類
技術的対策
組織的対策
2
仙台のデータセンターが火災に見舞
われ、顧客情報、建築系システムのデ
ータ 6,000 件を失った。サーバが柱ごと
倒れて発火したと見られる。バックアッ
プも同センター内にあったため、役に
立たなかった。紙は打ち出さない方針
になっていたため、情報は一部しか残
っていなかった。
全面
停止
業
務
協力会社は誰でもアク
セスできるように、期間
的な ID を使う等も考え
ている。災害の際に
は、できるだけ制約を
なくし、個人情報関連
のみ権限を限定するシ
ステムを考えている。
今後の対策として、顧
客情報は海外のクラウ
ドに一元化する予定。
個人情報なので抵抗
感はあるが、暗号化す
ることで転送可能。
災害の起きた時に対策
が取れるベンダに変更
した。
大きなシステムになる
と、把握している人間
がいないので、ベンダ
とのやり取りが適切に
できる人材が必要。
3
IT 関係は基幹システムが壊れた訳で
はないが、仙台のサーバは止まった。
一部
稼働
業
務
バックアップを持ってい
るので、業務への影響
はなかった。
4
都内の計算センターが計画停電の対
象地域になっていたため、停電の度に
サーバの停止と起動が必要になった。
計画停電の際、顧客からの受発注デ
ータに、大阪のセンターにあるバックア
ップを利用したが、データを切り戻す際
に、いくつかのチェーン店のデータが
停電の影響でドロップしていた。復元
に、3 ヶ月程度を要した。
震災当日の停電のため、シンクライア
ントのターミナルサーバが使えなくな
り、2 万人に影響が出た。
全面
停止
業
務
全面
停止
イ
ン
フ
ラ
計画停電の当初は、100 台近いサー
バのシャットダウンとスタートアップを
繰り返す必要があった。
全面
停止
業
務
・
イ
ン
フ
ラ
計画停電により、基幹の出荷配送のシ
ステムが使えなくなるため、集荷のバ
ッチ処理のタイミングを変更する必要
があった。東北地方の物流を変更して
いたため、出荷・返品処理もシステム
の改修が必要であった。
全面
停止
業
務
No
システムへの影響
5
6
17
社内要員だけでは対応
できないため、ベンダ
業者'7 社(より、応援
要員として 50 名をお願
いした。
震災をきっかけにデー
タを集約の動きが加速
した。認証用 USB メモ
リがあれば、どこからで
もアクセスし、仕事がで
きる。USB を紛失しても
5 分で再発行できる。
計画停電の長期化に
備えて、緊急避難的に
データセンターと契約
し、主要なサーバを移
設した。また、グループ
ウェアが使えなくなるリ
スクを回避するため、ク
ラウドサービスへの移
行を進めている。
自社のシステムを開発
維持する体制を持って
いるので、速やかに対
処できた。
停止
範囲
種
類
災害発生時、コールセンターの通信回
線が使えなくなった。受信はできるが、
発信ができなくなった。
全面
停止
業
務
15
本社が計画停電エリアに入った。ネッ
トワークが製造部から本社を介するの
で、製造部門でもメール等が使えなく
なった。
全面
停止
イ
ン
フ
ラ
20
拠点の停電でネットワークが使えなく
なった。安否と授業の状況について、
全て確認するのに夜中までかかった。
計画停電の際、各拠点に、機材が壊
れないように、停電前に電源を OFF に
するよう指示したが、いきなり落ちて、
PC が壊れたケースが出た。
拠点内の 1 台の PC でファイルを管理
し、拠点内からアクセスする形態だっ
たが、計画停電で PC が壊れため、元
のファイルが見られなくなった。
一部
稼働
業
務
・
イ
ン
フ
ラ
No
システムへの影響
12
対策
技術的対策
すぐにバックアップ回線
に切り替えた。バックア
ップ回線は発信方法が
異なるので、オペレータ
ーにそれを指示した。
大規模 UPS を導入す
べきか、ジェネレータで
メールサーバとネットサ
ーバをカバーすべきか
検討中。
自家発電装置を有する
データセンターに移し
た。共有フォルダの一
元管理も、ネットワーク
フォルダで対応してお
り、自動バックアップも
実施している。セキュリ
ティも問題ない。
組織的対策
本社では早期に帰宅さ
せたが、製造部門では
前倒しで業務をする等
して対応した。
一部出社できない人が
いたため、重要な業務
を担当している人には
ノート PC と通信カード
を貸与して、在宅勤務
を認めた。在宅勤務制
度はないが、現在もそ
のまま使われている。
東日本大震災の一連の事象を通じて、情報システムの稼働維持に大きな影響を与えたのは、
被災によるデータの喪失やシステムの破壊、ネットワークの途絶といった情報資産の被害と、計
画停電であった。
前者については、可用性や完全性の維持が困難になる。特に、被災地区のデータの喪失は、
再現不可能なケースもあることから、バックアップの確保はもちろん、クラウドを活用したデータ管
理の一元化も検討されている。また、単一障害点となる箇所について多重化を図ることも必要で
ある。
後者についても、煩雑なサーバ・PC の停止・起動を避けるため、データセンターの活用が検討・
導入されている。また、拠点単位の対処によりトラブルが発生する問題については、例えば機材
の死活をリモートで管理できるような仕組みが必要となる。また、停電の影響でデータ集約時にド
ロップが発生する問題については、バッチ処理のタイミングを調整する形で解決できない場合にど
のように対処すべきかが課題となる。
1.3.3.2. 災害時に特別に必要となる情報システムの稼働継続に向けた対応
災害時には、平時から利用している情報システムに加え、特別な業務が発生することで、新た
に稼働が必要な情報システムが存在する場合がある。東日本大震災における、このようなシステ
ムの状況と効果的な対策について、表 1-6 に整理する。
18
表 1-6 災害時に必要となる業務と必要となるシステムに対応する効果的な対策
No
1
災害時に
必要となる
業務
災害時に
必要となる
システム
種類
各拠点との
連絡
通信手段
'Web、メー
ル、電話、衛
星電話、テ
レビ会議
等(
安否確認シ
ステム
イン
フラ
平時
稼働
安否
災害時
稼働
安否確認
役割
停止
状況
技術的対策
現場の被害
状況の把握
安否確認
被災状況把
握システム
通信手段
業務
災害時
稼働
イン
フラ
平時
稼働
せず
現場の情報
収集
営業管理シ
ステム
業務
平時
稼働
3
安否確認
安否確認シ
ステム
安否
災害時
一部
稼働
発動基準対
応システム
生産システ
ム
災害
災害時
稼働
4
災害時の指
揮支援
生産の継続
業務
平時
一部
稼働
5
安否確認
安否確認シ
ステム
安否
災害時
稼働
11
顧客対応
通信手段
イン
フラ
平時
稼働
顧客情報シ
ステム
業務
平時
稼働
2
対策
19
組織的対策
ネットワークをデータ
系・音声系に分けて
二重化しており、2 回
線でも残ればテレビ
会議システムは利用
可能。
年に 4 回の訓練を実
施。'ただし、東日本大
震災では事象が多発
し、どの事象に対する
確認メッセージかの対
応関係の把握に苦労(
耐震設計がなされて
いる DC で管理。
携帯メールではなく、
端末問わずシステム
に直接入力可能な
安否確認システムを
導入。
商品'家(の崩壊状
況は保証のために
重要な情報となるた
め、災害時のデータ
の迅速な収集のため
に、クラウドに一元
化。
負荷分散と二重化の
ために、東日本と西
日本の二箇所に設
置。
被災地の工場で生
産不可となり、全国
の工場で代替生産を
行い、東北地方へ配
送した。計画停電時
の受発注データのや
りくりは、都度処理を
変更して対応した。
軽いシステムを構
築。携帯電話の輻輳
前にメールが届き、
携帯等を通じて Web
からも入力可能。
計画停電のため、一部
データを大阪のセンタ
ーに移して対応した。
'データ欠落により切り
戻しで難航(
訓練を頻繁に実施。
全社員がアクセス可能
な情報共有サーバを
立ち上げ、対策本部と
拠点の間でメーリング
リストを公開。顧客と
は、SE や営業が契約
上、連絡窓口を保有。
関東のデータセンタ
ーに設置。震災後、
関西のディザスタリ
カバリセンターにも設
置。
No
災害時に
必要となる
業務
災害時に
必要となる
システム
種類
役割
停止
状況
対策
技術的対策
組織的対策
15
顧客対応
顧客情報シ
ステム
在庫システ
ム
業務
平時
稼働
顧客及び関係部門と
別の手段で情報共有
できれば、システムが
稼働しなくても対応可
能。
IT が壊れても、緊急連
絡網により、連絡が取
れる体制を構築。
16
安否確認
安否確認シ
ステム
安否
災害時
稼働
17
安否確認
安否確認シ
ステム
安否
災害時
一部
稼働
携帯電話がつながらな
い、登録情報が最新で
ない、訓練が不十分な
ど、有効に活用できな
かった。
19
安否確認
安否確認シ
ステム
安否
災害時
一部
稼働
顧客状況の
確認
顧客情報シ
ステム
業務
平時
稼働
年に数回の訓練を実
施。'ただし、未返答も
常態化(
社用私用問わず、日
常保有する携帯電話
のアドレスを登録。
'システムは稼働して
いたが、権限を持たな
い要員のために ID・パ
スワードを共有(
IT に強いグループ会
社が、グループ統合
的に管理。
(1)安否確認システム
多くの企業において、災害時に発生する最重要業務として、安否確認を挙げていた。安否確認
システムを導入している企業も多かったが、適切に稼働しないケースも見られた。その理由は、
「携帯メールが届きにくい状態であり、届いたのか届いていないのか、返信の有無がわからなかっ
た」「'無事であっても(返答がない社員がいた」というものであった。
安否確認システムは、携帯メールの円滑な送受信を前提としたものもあるが、広範囲の災害の
場合、長期的に輻輳状態が続くこともありうる。
そこで、安否確認システムを適切に稼働した事例を基に、以下の点に留意したシステムを構
築・利用することが有効であると考えられる。
・ 携帯網の輻輳前にシステムからの安否確認メールを送信できること。
・ 返信は携帯メールだけでなく、端末を問わず Web 等からも入力可能とすること。
・ '多発する災害に備え(事象と返信の対応関係がわかりやすいシステムとすること。
また、運用では、以下の点に留意する必要がある。
・ 訓練を実施し、災害時の返答を徹底すること。
・ 確実に連絡の取れる連絡先を登録すること。'最新のもの、外出時も連絡可能なも
の(
・ 携帯電話がつながらなくても、緊急連絡網により、連絡が取れる体制を構築すること。
(2)災害時に発生する業務におけるシステム
20
今回の調査対象では事例が尐なかったが、災害時に発生する業務への対応システムとして、
被災地の現場の状況把握するための「被災状況把握システム」や、災害時指揮支援のための「発
動基準対応システム」を立ち上げた事例があった。
これらのシステムに対しては、耐震設計のデータセンターや二重化された場所に設置されてい
ることもあり、今回の震災では稼働したようだが、災害時のみに稼働するためのシステムについて
は、いざというときに稼働しない、使い方がわからない等の問題も指摘されている。
技術的対応としては、平時から利用するシステムの延長として災害時のシステムを構築する、
定期的な稼働確認をする等の対策が必要である。
また、組織的対応としては、定期的な訓練を実施することで、利用者が使い方を熟知しておく必
要がある。
(3)災害時に発生する特別な業務に対するシステム改修
災害時に直接システムに影響はないものの、業務が影響を受けることで、システムに改修が発
生する場合がある。
このような場合に有効な技術的対応としては、システム改修が速やかに実施できるような仕様
としておくことが有効である。また、組織的対応としては、社内に情報システムの内容を理解し、改
修できる担当者を設置しておくこと、あるいはベンダとのコミュニケーションを円滑に行っておくこと、
が有効である。
21
2. 災害時に影響を受けるセキュリティ機能に対する対策と課題の整理
2.1. 調査方法
災害発生時における情報システムの利用に関して、1 章で整理した影響範囲に対する有効なセ
キュリティ対策について、東日本大震災の実事例や一般的な災害時のセキュリティ機能の問題等
を基に調査・検討を行った。
2.2. BCP に関する課題と対策
1 章で実施したインタビューによると、ほとんど全ての企業において、セキュリティポリシーを策
定していた。中でも、プライバシーマークは 15 社、ISMS 認証は 9 社が取得し、その方針に基づい
た対策を実施していた。
災害発生時には円滑な業務継続を優先させるために、平時に想定されたセキュリティポリシー
に反して、一時的に緩和する等の柔軟な対応を行った事例も見られた。
災害時の影響を踏まえた BCP に関する課題と対策は以下の通りである。
2.2.1. 情報システムの可用性・完全性の維持
(1) バックアップの確保
1) 課題
情報システムの可用性・完全性を維持する上で顕著な課題として、バックアップの問題が挙げ
られる。具体的には、発災時にデータを喪失したトラブルが見られる。
2) 事例
・ 各拠点のサーバで共有するファイルは、ある 1 台で管理していたため、計画停電でその 1
台の PC が壊れ、元ファイルにアクセスできずに困った。'教育・学習支援業 A(
・ お客様のデータセンターが浸水して全てのデータが飛んでしまった。'小売業 A(
・ 被災地のデータセンターが火災に見舞われ、6,000 件のデータを全て失ってしまった。復旧
作業のために、2-3 週間の非常時体制が続いた。'建設業 B(
3) 対策
適切なバックアップの確保は、災害を前提にした IT システムの可用性や完全性の観点から不
可欠な対応である。上記のインタビュー企業の中には、そうした重要データのバックアップが確
保されておらず、大きなトラブルを招いたケースが見られた。さらに、管理の容易さから同じ拠点
内でバックアップを保管するケースや、遠隔地保管しているがバックアップを取る頻度が十分で
ないケースも問題になる。その一方、機密性の観点から、バックアップデータに関するアクセス
22
権はオリジナルデータの機密性に準じる必要があるが、非常時における運用も考慮する必要が
ある。例えば、非常時専用の共用 ID・パスワードを事前に用意しておき、平時は厳重に管理して
おくなど、平時と非常時の適切な使い分けを可能にする運用が想定される。
(2) 単一障害点の排除
1) 課題
情報システムやネットワークの可用性維持のために、システムやネットワークの構成上の単
一障害点を可能な限り排除する必要がある。
2) 事例
・ 製造部門は計画停電エリア外でもルータが計画停電内の本社にあるため、製造部門もネ
ットワークが使えなくなった。'情報サービス業 D(
・ 震災を踏まえたシステムの改善点は、データの保全・ネットワークに関して、単一障害点を
なくしていくこと。'情報サービス業 A(
3) 対策
発災時の情報システムの可用性を検討する上で、単一障害点となりうる箇所を検出し、二重
化等の対策を適用することは重要である。ただし、そうした対策はコスト増につながる可能性も
あり、全ての単一障害点を排除できるとは限らない。また、サーバのみに着目した結果、発災時
にクライアント PC やオフィス LAN のルータの電源を喪失し、システム全体が使えなくなる可能性
にも考慮する必要がある。同様に、災害時に代替用の IT 環境を調達する場合には、サーバの
代替機だけでなく、クライアント機器やルータ、さらにそれらの電源についても考慮する必要があ
る。
2.2.2. 災害時の認証の在り方
(1) リモートアクセス、在宅勤務
1) 課題
災害時の対応として、業務継続のため、リモートアクセスや在宅勤務を認めることを想定する
必要がある
2) 事例
・ 一時的に在宅勤務を解除。リモートアクセス環境はあったので、認証対象を追加。'情報サ
ービス業 E(
・ 重要な仕事をしている人に、ノート PC と通信カードを貸与し、在宅勤務を認めた。そのまま
なし崩しとなっている。'教育・学習支援業 A(
23
3) 対策
上記の事例のように、災害時には、可用性を優先し、機密性を低下させることも検討する必要
がある。平時からリモートアクセスを運用していない組織では、災害時にリモートアクセスを許容
することにより、新たなリスクが発生する点を十分考慮すること、また、災害時対応の完了に伴
い、リモートアクセスの運用を終了して通常の状態に戻すタイミングについて検討することが重
要である。
また、平時からリモートアクセスが運用されている組織では、災害時にリモートアクセスの利用
者が急増する可能性を考慮し、処理能力の許容量について検討することが望まれる。
(2) アクセス権管理
1) 課題
緊急事態においては、事業継続のため、一部の担当者のみに割りつけていたアクセス権を他
の人に広げることを考慮する必要がある。
2) 事例
・ 現場で PC を私用する必要があったために、PC の持ち出しを情報システム部長が許可。
施設の図面も関係者以外にアクセス禁止のデータであるが、情報システム部長の権限で
許可を与えた。'建設業 A(
・ バックアップの復旧手順に関して、パスワードを使える人間を増やした。'情報サービス業
D(
・ 権限がない本社がお客様に問い合わせを行う際に、現場からパスワードを聞いて対応し
た。アクセス権限の変更に 2 日間かかるため。'小売業 A(
・ お客様への対応の点から、お客様情報は常に課全体で保有している。ただし、アクセス権
限については、細かく設定しており、利便性と機密性を両立させている。'小売業 A(
3) 対策
データやアプリケーションへのアクセス範囲の拡大は、無制限に行われるべきものではなく、
一定の条件に合致した範囲のユーザを対象に、データ・アプリケーションへのアクセスをコントロ
ールするべきである。つまり、アクセス権管理は、管理者のニーズに合わせて、詳細かつ柔軟に
調整可能であることが望ましい。加えて、災害時には迅速に変更できること、平時に復帰する際
には一時的に拡大したアクセス範囲を戻し、共用化したパスワードを変更することも求められ
る。
24
2.2.3. 情報システムの利用環境の考慮
(1) 入退室管理
1) 課題
緊急事態においては、停電の影響等で、サーバルーム等の自動的な入退室管理が困難にな
ることを想定する必要がある。
2) 事例
・ 入退室管理システムが地震で作動しなくなり、ドアを開け放して対応した。'情報サービス
業 A(
・ サーバルームへの入室を、紙に氏名と入退室の記録を取ることで対応した。'製造業 C(
3) 対策
停電時には、サーバルーム等入退室管理を行う部屋は、安全性を考慮し原則として開放され
る構造であることから、入退室管理の手段として、予め施錠可能な部屋を活用する、停電時に
は警備員を配置するなどの物理的な安全管理策で対応する方法が考えられる。災害時に入退
室の記録を取る等の対応は完全ではないが、一定のリスクを低減する効果が期待できる。同様
に、顔写真を撮影してインスタントの ID カードを発行する手段を確保することにより、代替する方
法も考えられる。
(2) 代替手段の確保
1) 課題
情報システムやネットワークが利用できない場合、業務継続のため、印刷物や手作業'PC に
よる手入力を含む(により業務を代替することを考慮する必要がある。
2) 事例
検討会での指摘を踏まえ追加した項目のため、事例はない。
3) 対策
情報システムやネットワークが利用できないことを前提として、代替手段で業務を行う場合の
条件や許容停止時間、さらにデータの整合性確保に関する方策等について検討すべきである。
また、例えば災害から復旧した後に、手書き等の記録からデータを円滑に入力する方法等を検
討することが望ましい。
25
2.2.4. 災害時の個人情報管理
(1) 災害時の個人情報の保護と活用のバランス
1) 課題
災害時には、安否確認や被災者保護の観点から、個人情報の利活用を優先する状況が起こ
りうる。
2) 事例
検討会での指摘を踏まえ追加した項目のため、事例はない。
3) 対策
災害時における個人情報の保護と利活用の最適なバランスについて十分に検討する必要が
ある。一般財団法人日本情報経済社会推進協会(JIPDEC)では、JIS Q 150012において「本人の
同意がなくても例外事項'人の生命、身体または財産の保護のために必要がある場合であって、
本人の同意を得ることが困難である時(に該当する場合は、本人の個人情報を提供できる」と規
定されている点を踏まえ、震災で負傷した社員の個人情報を提供するケースや行方不明の社
員の安否確認のため通信会社の「災害・消息情報サービス」サイトに掲載するケースの妥当性
について、示している。ただし、通信会社の「災害・消息情報サービス」サイトに掲載する場合に
は、不特定多数が閲覧可能である点を考慮し掲載内容を決めることが望ましい。
(2) 在宅勤務と個人情報保護
1) 課題
プライバシーマーク制度の観点からは、在宅勤務の場合もオフィスで作業するのと同様のリス
ク対策が必要であると指摘されている3。従って、災害時に在宅勤務で個人情報を扱う可能性が
ある場合には適切な安全管理措置が求められる。
2) 事例
検討会での指摘を踏まえ追加した項目のため、事例はない。
3) 対策
通常、在宅勤務を許容していない場合であっても、災害時を想定し、在宅勤務を実施した場合
のセキュリティポリシーの扱いについて考慮すべきである。また、IT 環境について、ウイルス対策、
ユーザアカウントの設定、外部記録媒体の取り扱い、暗号化、シンクライアント化などの対策を事
前に検討しておくことが望まれる。
2
個人情報保護マネジメントシステム-要求事項
3
http://privacymark.jp/privacy_mark/faq/disaster.html
26
2.3. 情報システムに関する課題と対策
情報システムに関して機密性、完全性、可用性の確保が重要とされるが、災害時においては、
その 3 要素に関して異なるバランスを要求されることが、業務の継続のために必要である場合が
ある。例えば、可用性を優先し、機密性や完全性のレベルを緩和するケースや、プライバシー情
報管理のレベルを緩和するケースもある。
このような場合、可能な限りセキュリティレベルの低下を抑えて対応するためには、以下の点に
ついて留意することが効果的であると考えられる。
2.3.1. 回復力の高い情報システム、ネットワーク構成
(1) 円滑なデータバックアップを前提にした情報システム
1) 課題
災害時にデータを喪失する事態をいかに回避するかという課題は重要である。しかし、平時に
データのバックアップを取得する作業は、現場に大きな負荷を課すことや、コストの増大につな
がることから、本来あるべき頻度や形態では対応できていない状況も考えられる。
2) 事例
・ 各拠点のサーバで共有するファイルは、ある 1 台で管理していたため、計画停電でその 1
台の PC が壊れ、元ファイルにアクセスできずに困った。'教育・学習支援業 A(
・ お客様のデータセンターが浸水して全てのデータが飛んでしまった。'小売業 A(
・ 被災地のデータセンターが火災に見舞われ、6,000 件のデータを全て失ってしまった。復旧
作業のために、2-3 週間の非常時体制が続いた。'建設業 B(
・ 都内の計算センターが計画停電の対象地域になり、サーバのシャットダウンとスタートアッ
プが必要になった。計画停電の間に顧客からの受発注データを一時大阪のセンターをバ
ックアップとして利用したが、データを元環境に戻す際に、いくつかのデータが失われ、復
元するために、3 ヶ月程度を要した。'製造業 B(
3) 対策
大きなコストをかけずに、データのバックアップ処理を合理的・効率的に実施できる、新しい情
報システムの構成を検討することが考えられる。また、バックアップデータを活用する際にも、ト
ラブルの発生可能性を抑え、円滑に切り替えられる仕組みが求められる。そのためには、業務
プロセスとの整合、正確なバックアップや切り替え処理の自動化などを検討する必要がある。
(2) ネットワークの複数経路の確保
1) 課題
27
災害時には、情報システムの死活確認を迅速に行う必要があるが、LAN/WAN や外部ネット
ワークの状況によってはそうした確認も困難である可能性がある。また、停電等により一部の経
路の断絶が全体に影響を及ぼすことも起きている。
2) 事例
・ 災害発生時、コールセンターの通信回線が使えなくなった。受けることはできるが、発する
ことができなくなった。'情報サービス業 A(
・ 製造部門は計画停電エリア外でもルータが計画停電内の本社にあるため、製造部門もネ
ットワークが使えなくなった。'情報サービス業 D(
3) 対策
ネットワークを多経路化し、回線の死活状況に応じて柔軟に接続を維持できるように、ネットワ
ーク構成を設計する。ルータや DNS を高信頼かつ合理的に配置するとともに、複数の通信事業
者を活用する場合に、結節点が単一障害点とならないよう、構成に配慮することが望まれる。
(3) 非常時の運用負荷の抑制
1) 課題
計画停電の影響により、様々な企業で機器のシャットダウンと再起動を繰り返す事態に陥っ
た。また、可用性を高めることで、運用すべきシステムやネットワークは多様化し、運用に係る負
荷は増大する。
2) 事例
・
ターミナルサービス'シンクライアントのターミナルサーバ(が、停電で震災当日 2 万人が使
えなくなった。メール等、コミュニケーションの部分は全て使えなくなった。'製造業 C(
・
計画停電の当初は、100 台近いサーバのシャットダウンとスタートアップを繰り返す必要が
あった。'製造業 D(
・
計画停電の際、各拠点に、機材が壊れないように、停電前に電源を OFF にしてもらうようお
願いした。マニュアルを作って FAX を送ったが、いきなり落ちて、PC が壊れたというケース
もあり、別の PC を提供した。'教育・学習支援業 A(
3) 対策
計画停電への対応として、データセンターに預ける方策もあるが、コスト面の考慮から、例え
ば、仮想化 OS 等を利用してシャットダウンをせずにフリーズしたまま再起動することで効率化を
図り、運用負荷を軽減する方向も考えられる。
また、社内インフラの設計をアウトソーシングしやすい構成にして災害時等の負荷の状況に応
じてアウトソーシングを一時的に活用するなど、柔軟なモデルを実現できる技術が求められる。
28
2.3.2. セキュリティポリシーの緩和を想定したシステム機能
(1) ユーザ負荷の尐ない認証方式
1) 課題
災害時のアクセス権限の管理では、正当なアクセス権を有するユーザであることを認証する
方法が課題となる。ただし、緊急事態により正規の手続きが行えない場合に、アクセス権限の拡
大等も想定する必要がある。
2) 事例
・
施設の図面は、関係者以外にアクセス禁止のデータであるが、情報システム部長の権限で
許可を与えた。'建設業 A(
・
データへのアクセスはフリーにした。会社が回らないのが目に見えたので、早期に判断した。
'建設業 B(
・
認証用 USB メモリがあれば、どこからでもアクセスし、仕事ができる。USB を紛失しても 5
分で再発行できる。'製造業 C(
・
バックアップの復旧作業の際、担当者が出社できない日があり、パスワードを使える人間を
増やした。'情報サービス業 D(
・
顧客情報へのアクセスについて、対象外の社員にも社員コードをパスワードとともに教えて
迅速な対応を行った。'小売業 A(
・
膨大なデータ復旧作業のために他支社やベンダから応援要員を確保したため、データへの
アクセスをフリーにした。'小売業 A(
・
拠点責任者の上長承認の下、拠点責任者でなくとも情報が見られるようアクセス権限を変
更した。現在は、権限は戻している。'教育・学習支援業 A(
3) 対策
災害時とはいえ、機密性のレベルをやみくもに緩和することは適切ではない。必要に応じてア
クセス権の設定を柔軟に変更することが可能で、ユーザに負担を強いることなく認証することが
できる方式が求められる。例えば、製造業 C の事例'USB メモリによる認証方式(のように、アク
セス権限を一元的に管理しつつ、認証子の再発行等にも柔軟に対応できる仕組みが有用であ
る。
(2) 私用端末の活用
1) 課題
災害の影響で在宅勤務を適用する場合、セキュリティの観点から見れば、業務用に用途を限
定し、安全性を高めた社用 PC 等が利用できない場合、私用 PC 等の活用も想定する必要があ
る。
29
2) 事例
検討会での指摘を踏まえ追加した項目のため、事例はない。
3) 対策
シンクライアント技術を活用するなどして、従業員の個人所有の機器をクライアント端末として
使用し、安全な在宅勤務を実現する方向が考えられる。
(3) 情報システムと代替手段の整合
1) 課題
災害により情報システムが失われた状況で、事業を継続するため、紙による手作業で代替す
ることも考えられる。その場合、情報システムを復旧する前に紙に記載した情報を電子化しなけ
ればならない。また、得られた発災後のデータと発災前のデータを正確に統合する作業も慎重
に行う必要がある。
2) 事例
・
被災地の顧客から何か要請があった時に、同じ使い勝手になっていることが重要。アクセ
スを残せないと紙が残るが、保証のために正しい情報が必要となる。データをくみ上げるス
ピードが必要となる。'建設業 B(
・
失った情報は、東京支社に一時的に移し、初めからやり直した。被災された方も顧客にい
て、データ関係はマスターとして別に分けてやり始めた。設計関係は他の部署にもあったり
して難航した。'建設業 B(
3) 対策
情報システムが使えない場合の代替手段として紙等による手作業を検討する場合、手書きの
情報を効率良く電子化するための工夫や、正確に電子化し、発災前のバックアップデータ、発災
前のバックアップから発災までの処理情報'ログ等(、発災後の処理分を適切に統合する仕組み
が求められる。
30
3. リスク・コミュニケーションに関する調査
3.1. 調査方法
情報システムに関わる、災害を前提としたリスク・コミュニケーションの実態を調査した。発災前
後の社内における情報システムのリスクに関わる情報共有と、ステークホルダー'顧客、株主、取
引先等(、一般社会、地域住民等、対外への情報発信の観点から、実態と課題を整理した。
リスク・コミュニケーションについては、ISO 31000:2009 "Risk management - Principles and
guidelines'リスクマネジメント-原則及び指針("に規定されている。基本的な考え方は、『リスクに
関係のあるステークホルダーへの情報伝達・交換など情報の共有化を図り、必要に応じて専門家
からの助言を受けるなど都度実施する 4 』ことにより解決策を模索するというものである。例えば
BCP やセキュリティポリシーを規定する際の部門間や社外ステークホルダーとの調整プロセスな
どを想定している。
しかし、リスク・コミュニケーションを意識して実施している人・組織は現実には多くないと考えら
れるため、災害時に行ったリスク情報の共有についても調査対象とした。リスクに対する認識をど
う情報共有すべきだったのかという観点で、災害時に伝えられないが事前に伝えておくべきこと、
などの整理をした。これは、今後セキュリティポリシーや BCP が策定・更新される際に、現実の災
害を経験した結果どのような議論をしていくことになるかに対する調査であり、今後企業等で行わ
れるリスク・コミュニケーションの実態を把握する上で有用と考えられる。
調査方法は、「1)(a)災害発生時における情報システムの影響と対策についての調査」5と同じ対
象へのヒアリング調査とし、調査項目は 1)(a)と合わせて 34 項目とした。ヒアリング結果を踏まえ、
リスク・コミュニケーションに参加すべき役割及び合意形成のために共有・伝達すべき情報につい
て考察を行った。
4
ISO NETWORK, JQA, 2011,
http://www.jqa.jp/service_list/management/iso_info/iso_network/vol22/pdf/ISO_NETWORK_22_all.pdf
5
0.2 節 調査項目参照
31
3.1.1. 調査項目
リスク・コミュニケーションに関する調査項目'9 項目(を表 3-1 に示す。
表 3-1 リスク・コミュニケーションに関する調査項目(表 1-1 より抜粋)
No
調査項目
26
(1) 災害発生時に'主に情報システムに関して(想定されるリスク
27
(2) 災害発生時に行う'主に情報システムに関わる(リスク・コミュニケーションに参加すべ
き役割
28
(3) 災害発生時に想定している連絡手段
(4) 東日本大震災時の'主に情報システムに関わる(リスク情報の共有方法
29
1) BCP 等発動フェーズにおける社内外関係者との情報共有方法
30
2) 業務再開フェーズにおける社内外関係者との情報共有方法
31
3) 業務回復フェーズにおける社内外関係者との情報共有方法
32
4) 全面復旧フェーズにおける社内外関係者との情報共有方法
33
(5) 東日本大震災時におけるリスク・コミュニケーション上発生した問題点
34
(6) 平時より行っている情報システムに関わるリスク等の情報共有や、災害発生時に円
滑に情報共有・伝達を行うための平時からの取り組み
3.2. ヒアリング結果
企業における災害発生時のリスク・コミュニケーションに関するヒアリング調査結果について、ヒ
アリング項目毎に整理する。
3.2.1. 災害発生時に'主に情報システムに関して(想定されるリスク
物理的破壊'サーバ、データセンター、社屋(、通信遮断、停電、物流遮断について想定してい
る事例が多かった。ただし、計画停電については、東日本大震災を経験するまで想定していなか
ったという声が多く聞かれた。
情報システム関係では、要員の確保をリスクとして挙げる事例があった。これは、お客様先に
常駐してシステムの運用にあたる社員を派遣する企業が、運用の人員を確保できなくなるという
事例と、高速道路無料化など制度変更への対応で開発の人員を確保できなくなるという事例とが
あった。
32
3.2.2. 災害発生時に行う'主に情報システムに関わる(リスク・コミュニケーションに参加すべき役
割
災害発生時に行うリスク情報の共有に参加すべき役割について、社内は、経営層、情報システ
ムの利用者、社員という意見が多かった。社外については、お客様、IT ベンダ・情報システム子会
社、調達関係の業者、官公庁・公的機関、マスコミ、警察・消防という意見が挙げられた。IT ベン
ダ・情報システム子会社については、普段から打ち合わせをしている顔の見える担当者が発災時
のコミュニケーションに参加したという事例が多かった。
また、緊急時指揮支援システム6に発災時のコミュニケーション先まで含めている例や、IT ベン
ダ・キャリアベンダ・電気設備業者とインフラ周りに必要な会社に器具を設置し、有事の際にはそ
れを使ってもらうという取り組みをしている事例もあった。
3.2.3. 災害発生時に想定している連絡手段
固定電話、携帯電話'通話・メール(、PHS、FAX、社内イントラ'メッセージ、掲示板、社内 SNS(
及び直接面談という回答が主であった。固定電話は、IP 電話/INS/アナログの 3 回線を有事に備
えて冗長化のために維持しているという事例もあった。
また、TV 会議システム、音声会議システム、Skype、インスタントメッセンジャーなどを、定常的
に利活用できている企業については、災害時にも便利だったという事例もあった。
このほかには、緊急時指揮支援システム、デジタル無線、衛星携帯、災害時優先電話など、大
企業を中心に設備投資を十分に行っている企業では、災害発生時にこうした通信手段を利用する
という事例があった。
特殊な例として、被災地の草の根ラジオ局'東日本大震災では 20 局ほど(を用いて、自社の運
ぶ支援物資の情報を連絡したという事例もあった。
3.2.4. 東日本大震災時の'主に情報システムに関わる(リスク情報の共有方法
共有した情報として、以下が代表的であった。
•
安否情報'人・施設(
•
災害対策本部による情報収集
•
社員間での情報共有
•
計画停電への対応の指示・確認
•
放射能の影響を考慮した物流
6
『企業や行政が災害・危機の対応を行う際に,必要な事前準備の策定を容易かつ効率的に作成・管理し,実際
の対応の際の意思判断を支援するシステム』(NTT 技術ジャーナル 2005.9, NTT(NTT データ), 2005,
http://www.ntt.co.jp/journal/0509/files/jn200509030.pdf)
(参考) “NoKeos”, fpc, http://www.fpc.be/solutions-products-nokeos-before
33
社員の安否確認は、発災直後から安否確認システム'個人の携帯電話、固定電話等(を利用し、
それでも把握できない場合については、人海戦術で携帯電話、固定電話にかけ続けるという傾向
があった。
被災地の関連施設の被害状況は、発災直後に電話での確認ができなかったために、現地に人
を派遣したという回答があった。
災害対策本部を設置した事例では、発災直後から、テレビ会議や携帯電話を用いて被災地と
の情報共有を実施していた。TV 会議が設定されていない営業所には、TV 会議の内容をストリー
ミング形式にして情報を流して共有する態勢を取ったという事例もあった。
社員のレベルでの情報共有については、外部 Web に社員専用の口を作って情報共有ができる
仕組みを構築した事例や、社内 SNS を用いて、被災地での効率的な移動方法、電源、出張者ス
ペース等の情報交換をしたという事例があった。
発災直後からから復旧段階に入るころには、計画停電への対応のため、拠点のサーバ電源入
/切の連絡を FAX で実施するという事例があった。計画停電の期間は、全社の BBS を使って、停
電の 1 時間前には告知するようにしていたという事例もあった。
また、福島原子力発電所に資材を入れるという業務を請け負った事例では、仕入れ先が例え
ば福島の場合、工場の稼働、他の工場との移動距離、原発との距離等、安全を確認の上、積み
荷を東京電力に渡したという事例があった。
3.2.5. 東日本大震災におけるリスク・コミュニケーション上発生した問題点
まず、安否確認ができなかったという問題を指摘する事例が多かった。電話がつながらないの
で人を派遣したという例や、15% の社員の安否を会社からは確認できなかった例、連絡先が古く
情報の更新に手間取った例が挙げられた。
また、情報共有の問題を指摘する事例も多かったが、内容は以下の 3 種類に大別できる。
(1) 時系列で整理した情報を共有できない
(2) 管理者層にとって必要な情報を抽出しづらい
(3) 普段利用している情報共有方式が局所的だった
(1)は、情報収集の際に、複数経路から現場に照会を異なるタイミングで実施した結果、情報が
錯綜したという例があった。また、安否情報と発生事象の対応が不明瞭になった結果、同様に情
報の整理が付けられなくなったという例もあった。
34
(2)は、情報システム部門としては、情報を共有できていたが、災害対策本部などの管理者層か
ら、情報共有環境に対する要望が出たという事例があった。
(3)は、得意先からの情報収集ツールが地区毎に異なったために集約に苦慮した事例、サプラ
イヤーへ支援に行った社員との情報共有に、ネットワーク環境の違いで苦慮した事例があった。
3.2.6. 平時より行っている情報システムに関わるリスク等の情報共有や、災害発生時に円滑に情
報共有・伝達を行うための平時からの取り組み
一般消費者向けの情報サービスを提供する企業では、サービスの利用者に対して、プライバシ
ーポリシーを通して、『公益が優先される場合に公開を了承してほしい』という趣旨の文言が含ま
れている。場合によっては、公的機関にも提供することになっているが、東日本大震災ではそのよ
うな事態にはならなかった。この事例でも、同意がないものは出さない、取らないという方針という
原則に基づいた運用を実施している。
同様に、一般消費者向けの情報サービスを提供する企業で、サービスの利用者に対して、HP
の「お知らせ」で、大きなサービス変更の前にアナウンスをしているという事例もあった。これは、
全体の同意を得ることが難しいため、説明のタイミング、文章を検討しており、計画的にできること
を、安全な方に、冗長性を確保して提供しているという事例であった。
社員がパソコンを立ち上げる時に、社内ホームページが自動的に立ち上がるようになっており、
情報システム以外の人も共有してもらいたい情報を載せるようになっているという、平時から情報
共有の方法を徹底しようとする例もあった。
3.2.7. 災害発生時に円滑なリスク・コミュニケーションを実施するために平時から実施している取
り組み
取り組みとして、以下の 3 つに大別できる。
(1) 訓練
(2) システム強化
(3) リスク・コミュニケーション
(1)について、平時からできないことは、災害時にもできないという声が多く聞かれた。こうした回
答をした事例では、多くの場合訓練を実施している。訓練の内容としては、次の例が挙げられた。
・
システム関係の訓練
-
データ復旧'例:遠隔地のデータセンターからのバックアップ復旧(
-
災害対応としての仮想環境の活用'例:あるサービス A が停止した際に、サービス B
35
と同じハードウェア上の仮想環境に緊急的に配備する(
・
-
リモートアクセス'社員の遠隔勤務(
-
安否確認'社員や家族も含める(
-
システムの再起動訓練'ディザスタリカバリの位置付けで訓練(
避難等を伴う防災訓練
-
顧客との防災訓練
-
社内の指揮系統の確認を含めた防災訓練
(2)については、全ての支店・営業所に衛星携帯や自家発電装置を用意し、必要な情報システ
ム環境を構築できるようにしているという例、及び平時からリスク対策本部がテロ情報やタイの水
害情報など、あらゆる災害に対して情報集約を実施しているという例があった。
また、災害時の情報共有システムとして、Twitter や SNS のように災害時に情報が一覧表示さ
れる仕様になっており、携帯アプリでできるような軽いシステムを構築・導入したという例もあった。
(3)については、以下の事例があった。
・ 発災時に最低限必要な要員の数をお客様に聞いている。'情報システムの運用にあたる
要員を顧客の情報システムの運用現場に派遣する業務(
・ 事業部に対して、災害時は情報システムが止まることが前提として、最低限継続すべき
業務を定めてもらっている。'情報システム部から事業部への依頼(
・ ベンダとは BCP を作成する過程で、災害時にマシンを調達する手順も確認している。'IT
ベンダとの事前交渉(
3.3. 災害に関するリスク・コミュニケーションの在り方
東日本大震災における情報共有の問題点は、以下の通りであった。
・ 拠点が複数・離れている場合、連絡が取れないことで、情報収集が困難になるケースが
あった。特に、頻繁に情報収集する相手'経営層、情報子会社(が物理的に離れていると
意思決定が遅くなる。
・ 安否確認が難航したケースが多かった。安否確認システムが稼働しないケースも複数見
られた。
・ システムを止めるか否か、細かいケースまで意思決定者が定められていない場合に、特
に、状況が刻々と変化する中で、情報の縦横の流れが混乱した。
一方、情報共有が円滑に行われた事例は、以下の通りであった。
・ 業務の進め方として、インターネットを通常から利用している場合、コミュニケーションはス
ムーズに行えた。'インターネットサービスを提供する企業等(
36
・ 複数拠点との情報共有については、テレビ会議を有効に活用したケースが複数見られた。
'製造業等(
・ システムの仕様変更を円滑に行うために、日頃から IT ベンダとのコミュニケーションを密
に行っていた。
一方で、災害に関わる平時からのリスク・コミュニケーションについては、これまで実施していな
い企業がほとんどであった。東日本大震災を機に、BCP の見直しに着手した企業は多かったが、
一部の企業においては、情報システムが使えなくなることも考慮の上で各業務部門に BCP を検討
するような話し合いを行ったり、業務における情報システムの優先度を明確化した上で、情報シス
テム部門での対応可能なレベルを合意したりという事例も見られた。安否確認システムの利用に
ついては、日頃から訓練を行い、システムの習熟と意識を高めている企業では、比較的スムーズ
に安否確認ができていた。
災害時に情報システムに関わるリスクを踏まえ関係者との適切なリスク・コミュニケーションを実
施し、業務の優先度とそれを実現する情報システムへの影響を踏まえた上で、各社の BCP 等に
反映することで、災害時も円滑な対応が可能になる。
3.3.1. リスク・コミュニケーションに参加すべき役割
情報システム部門が、災害発生時にリスク・コミュニケーションを行う役割としては、経営層、IT
ベンダ、情報システムのユーザ'現業部門、顧客(、所管省庁、マスコミ等があるが、その中でも、
重要な役割を果たすのが、「情報システムのユーザ'現業部門、顧客(」「IT ベンダ」である。
このうち、IT ベンダを活用している企業では、平時から IT ベンダとのコミュニケーションを図るこ
とで、災害発生時のシステム改修に関して円滑な対応ができていた。
また、情報システムのユーザとは、災害発生時、業務継続の観点から頻繁なやり取りを行いな
がら、対応を行っていく必要がある。しかし、その前提として、平時からのコミュニケーションを行い、
BCP に関して連動して対応できることが円滑な災害対応に結び付いている。
3.3.2. 合意形成のために共有・伝達すべき情報
特に、情報システムのユーザとは、平時から災害発生時に優先される業務と IT の関係から、IT
サービスに関して求められる品質について合意を図り、災害発生時においても、優先順位に応じ
た、復旧作業を行うことが、ユーザにとって業務継続を行う上で最も重要である。
37
3.3.3. その他留意事項
平時からの取り組みとして、訓練、システム強化、リスク・コミュニケーションを行うことで、災害
発生時の情報システムの稼働継続に係る円滑な対応が可能になると考えられるが、同時にリス
ク・コミュニケーションをきちんとできないことのリスクについても認識する必要がある。
3.2.1. 小節『災害発生時に(主に情報システムに関して)想定されるリスク』で挙げた事項は、物
理的破壊'サーバ、データセンター、社屋(、通信遮断、停電、物流遮断、要員の確保等であった。
今後、企業等では、同事項を考慮したリスク・コミュニケーションを経て、BCP やセキュリティポリシ
ーの策定・更新が進められると考えられるが、これらの事項を回答する際に、『東日本大震災の
際には BCP が非現実的だった』、『BCP 策定当時の担当者からの引き継ぎが不十分だった』、『緊
急時指揮支援システムの内容で十分なのか不明』、などの声も聞かれた。ISO 31000:2009 でも
PDCA サイクルについて言及しているが、BCP を策定した後のリスク・コミュニケーションも検討を
する必要があると言える。
また、3.2.5. 小節の、東日本大震災におけるリスク情報の共有時に発生した問題点として挙げ
た 3 項目は以下の通りであった。
(1) 時系列で整理した情報を共有できない
(2) 管理者層にとって必要な情報を抽出しづらい
(3) 普段利用している情報共有方式が局所的だった
これらの問題点は、リスク・コミュニケーションを事前に行っていなかったために起きた問題であ
った。これにより、現場も管理者層も混乱し、指揮系統に乱れが生じ、対応が後手に回る事例が
多かった。今後、これらの問題点も考慮したリスク・コミュニケーションが行われるべきと言える。
38
4. 情報セキュリティ人材育成に関する調査
4.1. 災害時に情報セキュリティ対策を担う人材像
災害を念頭に置いた情報セキュリティ対策を担うために望ましい人材像の把握を行った。
4.1.1. 調査方法
災害発生時における情報システムの影響と対策に関する調査と同じ対象にヒアリング調査を実
施した。ヒアリング対象者には、「災害時に情報セキュリティ対策を担う人材像」について問い、回
答結果を基に災害時に情報セキュリティ対策を担う人材像について考察を加えた。
4.1.2. 調査結果
災害時に情報セキュリティ対策を担う人材像として挙げられた主な意見は以下の通りである。
意見は内容から 6 種類に大別した。
(1) 組織的な対応・判断ができる人材

災害時に責任者が必ずいるとは限らないので、判断者がいなくても指揮を執る必要が生じ
る。そのために一定のルールに従って判断できる、権限の委任ができる人材が必要。'建
設業 A(

居合わせた人間で議論をして、対応を判断できる人材が必要。'製造業 A(

情報セキュリティに特化した人材は平時からいないので、それぞれの持ち場の中で状況を
判断できる人材が必要。'製造業 E(
(2) 社外の情報セキュリティ担当者と橋渡しができる人材

ベンダとのやり取りが的確にできる人材が必要。ベンダとの橋渡しができる人がいない。
大きなシステムになるとわかる人間がいない。'建設業 B(

アウトソーシングを進めているため、その位置付けや影響範囲を理解し、ドキュメント化し、
引き継いでいける人材が必要。'物流業 A(

セキュリティ確保に関して、グループから指示がある。自社の情報システムだけで決めら
れることだけでなく、グループ内の情報システム専門の会社から出るマニュアル、指示に
従って実施することもある。グループ会社との受け答えをできる人材が必要。'小売業 A(
(3) リスクを想定できる人材

平時から最悪ケースを想定できる人材が必要。提供するサービスは一般の利用者が多く、
社会的に波風を立てることを避ける必要がある。最悪ケースに対して、ここまですれば問
題ないと考えた上でサービス内容や提供方法を考えることができる人材が必要。'情報サ
ービス業 E(
39
(4) システムの全体的な情報を持つ人材

いざというときに、ハードウェアやネットワークの接続情報など、全体的な情報を持っている
人材が必要。'情報サービス業 D(
(5) 可用性・機密性・完全性のバランス感覚のある人材

相当厳格にセキュリティの運用がなされており、柔軟でなくなっていることを、有事の際に
どこまでの決済で許可できるようにするか。厳格にやり過ぎているため、もう尐し柔軟にで
きればよいとも思う。バランス感覚を持った人材が必要。'製造業 G(
(6) 技術力、コミュニケーション力のある人材

技術、情報が変化している中で、平時・災害時とも、適切に取捨選択する必要がある。押し
付けられたことを実施するのではなく、その時点で適切な行動は何か考え、判断できる人
でなければならない。コミュニケーションも必要である。また、災害時に何を優先するかは
文化や価値観によって異なる。東日本大震災でも、地震や原発を恐れ、帰国した外国人
社員もいた。このような状況下で、クロスカルチャー、多様な価値観を認めて、倫理観を持
って、適切に技術を使える人材が必要。'情報サービス業 B(
一方で、特定の人材よりも組織やシステムを整備するべきという意見も聞かれた。

災害時に人に頼るのではなく、組織として役割の定義と意思決定の仕組みを整備しておく
ことが必要。'製造業 F(

誰でも同じ対応ができるように、ドキュメント作成をすることが重要。手順書に基づいた運
用・更新・定期的な訓練を行える人が必要。'教育・学習支援業 A(

人を使って何かをするのではなく、災害時にワンプッシュでできる仕組みの構築が必要。
'卸売業 A(
ヒアリング調査対象の各社では、災害時に情報セキュリティ対策を担う人材について、情報セ
キュリティの技能・知識等の面で特別であることを求めてはいない。情報セキュリティに詳しい人
がいた方がよいという前提を置いた上で、現実的には組織の業務や情報システムに関する知識
を有し、災害時に業務が滞らないように動くことのできる人材を求めている7。
情報セキュリティの技術・知識に優れた人材を情報システム部門専属とすることを合理的とは
考えない理由の 1 つとして、災害時に専属の人材と連絡を取れなくなる状況を想定している点が
ある。こうした状況でも業務が滞らないように、BCP を策定・更新すること、情報システムを見直す
こと、及び複数の人員で情報セキュリティの業務にあたること等が重要とみなしている。
このように、複数の情報セキュリティ担当者を置き、相補的に稼働できる体制が重要であると認
識されているが、情報セキュリティ担当者に適した人材が現時点では全般に不足している。災害
発生時における情報システムのディペンダビリティ確保のためにも、情報セキュリティ人材の育成
が必要とされている。
7
ヒアリング調査の対象企業に情報セキュリティを専業とする企業は含まれていない。
40
4.2. 企業等が作成している情報セキュリティ人材育成計画
我が国及び諸外国'米国、韓国、英国(の企業・政府機関等の情報セキュリティ人材育成計画
の内容、対象となる人材、育成内容等について調査を行った。
4.2.1. 調査方法
企業・政府機関等が作成している情報セキュリティ人材育成計画について、文献・ヒアリング・ア
ンケート調査により整理を行った。
4.2.2. 国内事例に関する調査結果
4.2.2.1. IT ベンダ'事例 1(
グループ企業が多数存在しているため、グループの人材開発施策は、本社のビジネス方針に
沿って本社の人材開発会議が決定している。人材育成計画は本社の人材開発部が作成している。
また、基礎教育は人材開発部で検討され、各プロフェショナル領域の教育は、各社内認定プロフ
ェショナルのコミュニティで検討される。社内認定プロフェショナルは同社の独自資格であり、3 段
階に分かれる。
IT ビジネスを展開するグループ企業であるため、グループ企業の人材のプロフェショナル領域
は統一的な分類を行っており、「営業系」「技術系」「スタッフ系'人事、法務、購買など(」の 3 分野
に分類している。
技術系は、「プロジェクト管理'PM(」「ITアーキテクチャ」「プロダクトアーキテクチャ」「品質管理」
「コンサルティング」「IPマネジメント」等に分類されている。このうち「ITアーキテクチャ」は「情報セ
キュリティ」「DB」「ネットワーク」「アプリケーション」「システムマネジメント」「情報システム全体」に
分類され、「情報セキュリティ」として、情報セキュリティ人材が位置付けられている。また、「情報セ
キュリティ」では「セキュリティアーキテクト」「セキュリティアドミニストレータ」「ISMS コンサルタント・
監査」「セキュリティゼネラリスト」が情報セキュリティ人材像として設定されており、各々に求めら
れる要件は非公開としている。
また、目指すべき人物像/持つべきスキルは、ラインマネージャ、プロフェショナルの両方で定義
されており、例えば、ラインマネージャは戦略性・組織マネジメント力、プロフェショナルは専門性・
問題解決力・インテグレート力等の定義がなされている。
4.2.2.2. セキュリティ専門企業'事例 2(
全事業がセキュリティ事業であり、人材育成計画は全社員が対象となっている。人材育成計画
は、人事担当の部門が作成している。求められる人物像については明確にはされていないが、ス
41
キル、資格、推奨研修について記載されている。
コンサルティング、ソフトウェアプロダクツ、ネットワークの各々で求められるスキルが異なるた
め、「コンサルティングのできるエンジニア」といった V 字型ナレッジを獲得する形で人材を育成す
る計画となっている。
情報セキュリティ分野でも様々な業務があるが、その中でも多能工的に活躍することが期待さ
れており、1 つの専門分野を軸に、会社の方針に従いながら専門性を広げていくことにより人材を
育成している。新人で入社後約 5 年間は、全社員に求められる基礎的スキルを身に付けるため、
会社が求めている人材像に向けた育成ストーリーに従い、目標管理制度に沿って育成が進めら
れている。その後は、社員の適正などを考慮し、1 つの専門分野を軸に他の分野に専門性を広げ
るため、社内の人事ローテーションを工夫し、様々な業務を経験させている。上位に行けば、マネ
ジメントや新規顧客獲得の能力も求めている。
4.2.2.3. セキュリティ専門企業'事例 3(
人材育成計画というものは明確に定められていないが、人材育成を重要な課題ととらえ、暗黙
の方針に従い経営者主導で、セミナーコースと OJT によって人材育成を進めている。
人材育成のステージは、ジュニアエンジニア'ある分野の技術を保有するが、幅と深さはまだ十
分ではない(、ミドルエンジニア'研究開発を実施する上で、概ね全ての分野をカバーできる幅と深
さを持つ(、シニアエンジニア'国際的にも認められる新しい研究開発成果を出しつつ、コアテクノ
ロジーをベースとした対外折衝力やマネジメントスキルを持つ(の 3 段階で定義されている。
この企業は情報セキュリティに関する基礎的な技術を国内で開発している珍しい存在であり、
グローバル市場において高い競争力を有する高度な技術を用いる製品の研究開発に携わる中で、
高度人材の育成に取り組んでいる。この企業は、既存の技術をそのまま使用するのではなく、将
来、国際的に認められる強い技術を獲得することを目指して研究開発に取り組んでおり、優れた
研究開発成果を生み出す人材を育成するため、個人の自主的な研究意欲を尊重し、クリエイティ
ブな仕事を行うための勤務環境、勤務体系を用意している。
4.2.2.4. 外資系 IT ベンダ'事例 4(
人材育成計画は事業計画と結び付いた形で策定され、必要な人材が育成される。
人材の調達は、米国本社と同様、セキュリティに限らず全ての職務がロール化され、都度社内
外から募集する仕組みとなっている。情報セキュリティが関連する領域は、概ね図 4-1 で示され
る。米国ではロール毎に雇用されるので、例えば、一旦プログラマで雇われると、業務領域がプロ
グラマの枠を越えることはあまりない。そのため、情報セキュリティ人材は、個人のキャリアアップ
のためには、企業を問わず、レベルアップを図った転職を頻繁に行う傾向にある。
各ロールに対してはジョブレベルが定められており、ポジションが上がれば金銭的なレベルも上
がる。個人のレベルを上げるために、今後のキャリアについて上司との話し合いで提案を受ける
42
機会を設け、社内の人材育成を図っている。
図 4-1 情報セキュリティの関連領域8
4.2.2.5. IT サービス企業'事例 5(
情報セキュリティ人材に特化した人材育成計画は策定していないが、IT 人材については、社内
有志による勉強会が頻繁に行われるなど、自主的なスキルアップは活発に行われる風土がある。
また、業務の性質上、個人情報の取り扱い、基本的な情報セキュリティ及びインターネットリテラシ
ーについての教育は、技術者・総合職問わず全体に対して定期的に行っており、個々が情報セキ
ュリティ人材の一端として行動できるだけの知識は有している。
4.2.2.6. 1・2 章のヒアリング調査対象とした企業の状況9
1・2 章のヒアリング調査対象とした企業では、情報セキュリティ人材育成計画を策定している企
業は、回答を得られた 13 社中 1 社であった。この企業'製造業 C(では、IT 人材の育成計画があ
り、スキルチェックを定期的に行い、育成すべき能力について上司と相談する機会が設けられて
いる。情報セキュリティについては、入社年次に応じて学ぶべき事項が定められていたが、近年
は顧客・業界の特性に合わせて柔軟に対応できるよう、ポリシーが変わっているということだっ
た。
それ以外の企業では、人材育成計画は特に定められていないという回答であった。
8
ヒアリング対象者提供資料
9
1・2 章のヒアリング調査対象は 20 社だが、うち 1 社は「IT サービス企業'事例 5(」として別に掲載しているため、
本節で対象とする企業数は 19 社である。
43
4.2.3. 海外事例に関する調査結果
4.2.3.1. DoD
米国国防総省'The U.S. Department of Defense: DoD(では IT を利用したシステムやシステム
上で取り扱われる機密データのセキュリティを強固にすることを目的に、情報保証'Information
Assurance(に関わる人材に対して「DoD Directive 8570.1M '米国国防総省指令 8570.1M(10」の遵
守を求めている。
DoD Directive 8570.1M は情報保証に関わる人材育成プログラムであり、情報システムにアクセ
スできる DoD の全スタッフ約 10 万人'管理者、技術者、構築担当者、特権的なユーザ等(が対象
となっている。技術及びマネジメントに関する能力の習得を義務化しており、十分な訓練と資格取
得を要求している。
DoD Directive 8570.1M では、全ユーザが最低限、情報保証に関して注意喚起すべき事項につ
いての要件'Authorized User Minimum IA Awareness Requirements(が示されており、これを遵守
するよう示している。また、情報保証に携わるスキルを担保するための必須認定資格として、役割
と勤続年数に応じて、CompTIA A+、Network+、(ISC)²® Secure Systems Certified Practitioner
(SSCP)、Systems Security Professional (CISSP)等の取得が義務付けられている。
DoD Directive 8570.1M に則った人材を揃えた体制への移行計画に関しては、次のような項目
の早期実施が提示されている。
・ 対象となる職位の確認
・ 職位への DoD Directive8570.1M に示されたカテゴリー/専門/レベルの対応付け
・ 情報保証に関する訓練、認定、人材管理に必要となる予算の確保
また、計画は年次で区切られてマイルストーンが設定されており、これは質的な目標項目と認
定資格取得者の割合で示されている。以下にその詳細を示す。
・ 1 年目'CY07(: 情報保証に関する人材の職位を確認する。情報保証に関する職位のうち
10%に認定された人材を配置する。以後必要となる予算を確保する。
・ 2 年目'CY08(: 情報保証に関する職位のうち 40%に認定された人材を配置する。
・ 3 年目'CY09(: 情報保証に関する職位のうち 70%に認定された人材を配置する。
・ 4 年目'CY10(: 全ての情報保証要員・技術担当'IA Technical, IAT(と情報保証要員・管
理担当'IA Management, IAM(について認定された人材の配置が完了する。
・ 5 年目'CY11(: 全てのコンピュータネットワーク防衛サービス提供者'Computer Network
Defense Service Providers, CND-SPs(及び情報保証システムアーキテクト及びエンジニア
'IA System Architects and Engineers, IASAE(について認定された人材の配置が完了す
る。
10
http://www.dtic.mil/whs/directives/corres/pdf/857001m.pdf
44
・ それ以後: 全ての現職と新たに雇用された者が訓練され認定を受け、規則に則って再認
定を受ける。
4.2.3.2. NICE
「 サ イ バ ー セ キ ュ リ テ ィ に 関 す る 国 家 イ ニ シ ア チ ブ ' National Initiative for Cybersecurity
Education、NICE(11」に基づき、米国全体のサイバーセキュリティ体制の強化を目指す取り組みが
進められている。NICE は米国連邦政府機関によるサイバーセキュリティ専門家育成だけでなく、
一般国民に対しても多角的なサイバーセキュリティ教育を行い、サイバー空間におけるベストプラ
クティス遂行を奨励する啓発活動を行っている。
NICE は、2009 年 5 月発表のサイバーセキュリティ政策レビューに挙げられた「サイバーセキュリ
ティの向上に向け世論の意識を高めるための PR 活動や、教育プログラムの実施」を実現する方
策として策定されたものであり、米国標準技術局'National Institute of Standards and Technology、
NIST(が統括している。
サイバーセキュリティに関する国民の意識向上、公的なサイバーセキュリティ教育プログラムの
推進、連邦政府機関によるサイバーセキュリティ専門家雇用の促進、連邦政府機関内での職員
へのサイバーセキュリティ教育、という包括的な教育体制の構築を目指している。
(1) サイバーセキュリティに関する国民の意識向上
一般国民に対する PR 活動を行い、サイバーセキュリティと責任感のあるインターネットの
使用推進への意識向上を図っている。このキャンペーンは「Stop. Think. Connect」12と呼ばれ
るもので、アメリカ国民のサイバー空間における自衛意識を高め、それぞれが責任ある行動
を取ることでオンラインの安全性とセキュリティを高めることを強調している。DHS が推進して
いる。
(2) 公的なサイバーセキュリティ教育プログラムの推進
幼稚園・保育園レベルから大学・大学院・職業訓練学校のレベルまでにおいて包括的なサ
イバーセキュリティ教育を行うためのカリキュラム作成が計画されている。科学'Science(、技
術'Technology(、工学'Engineering(、数学'Mathematics('= STEM(教育を改革して、サイバ
ー セキ ュ リ テ ィ人 材 を恒 久 的 に 育 成 す る こ と を目 指 し ている 。 教 育 省 ' Department of
Education ED(及び NSF'National Science Foundation(が推進している。
(3) 連邦政府機関におけるサイバーセキュリティ専門家雇用の促進
サイバーセキュリティ関連の職種や、人材に求められる資質・資格、採用方法、キャリアパ
ス等を明確化し、有能な人材の採用につなぐことを期待している。DHS が推進しており、次の
3 つの領域に分けて取り組みが進められている。
・ 連邦の職員: the Office of Personnel Management (OPM)が担当
11
http://csrc.nist.gov/nice/index.htm
12
http://www.dhs.gov/files/events/stop-think-connect.shtm
45
・ 政府'非連邦(の職員: DHS が担当
・ 私企業の従業員: DoL'Department of Labor(及び NIST が担当
(4) 連邦政府機関内での職員へのサイバーセキュリティ教育
より専門的な知識を修得させることを目的として、在職中の連邦職員を対象にサイバーセ
キュリティに関する訓練を実施している。DoD、Office of the Director of National Intelligence、
DHS が推進しており、次の 4 つの領域に分けて取り組みが進められている。
・ 一般的な IT 利活用: DHS、Federal CIO Council が担当
・ IT インフラ、運用、メンテナンス及び情報保証: DoD、DHS が担当
・ 治安維持及び防衛: DoD/DC3、NCIX、DHS/USSS、DoJ が担当
・ 特殊サイバーセキュリティ活動: NSA が担当
また、NICE はその活動の一環として、NICE Cybersecurity Workforce Framework
13
という文書
を公表している。これはセキュリティ人材の分類の基本的定義を示すものであり、人材を扱う上で
の共通言語として米国政府及び民間での活用を想定したものである。このフレームワークではサ
イバーセキュリティに関連する業務を 7 つのカテゴリーに分類し、それぞれについて複数の専門領
域を定義している'これらは全部で 31 領域ある(。各専門領域については、どのような業務を行う
かを示すタスクが詳細に定義されており、実際の職位や職称も例示されている。7 つのカテゴリー
とそれらに含まれる専門領域は以下の通りである。
・ セキュアな開発: 情報保証コンプライアンス、ソフトウェア・エンジニアリング、エンタ
ープライズ・アーキテクチャ、技術デモンストレーション、システム要件計画、試験と評
価、システム開発
・ 運用・保守: データ・アドミニストレーション、情報システムセキュリティ管理、ナレッジ
マネジメント、カスタマーサービスと技術サポート、ネットワークサービス、システム・
アドミニストレーション、システムセキュリティ分析
・ 守備・防御: 計算機ネットワーク防御、インシデントレスポンス、毛員先ネットワーク
防御インフラ支援、セキュリティプログラム管理、脆弱性アセスメント・管理
・ 捜査: 捜査、デジタル・フォレンジック
・ 運用・情報収集: 情報収集オペレーション、自動化オペレーション、オペレーション計
画
・ 分析: サイバー脅威分析、エクスプロイト手法分析、全ての情報源からのインテリジ
ェンス、目標の絞り込み
・ 支援:法的助言と弁護、戦略策定とポリシー開発、教育と訓練
同文書は 2012 年 3 月時点ではパブリックコメントの反映が行われている段階である。
13
http://csrc.nist.gov/nice/framework/
46
4.2.3.3. KISA
韓国では、国内セキュリティベンダ育成に取り組んでおり、その取り組みの中でセキュリティベ
ンダにおける人材が育成されている。また、近年、高等教育機関や資格制度の整備が進められて
いる。例えば、専門的で体系化された教育を通じて国内のインターネット・情報セキュリティ専門家
の育成を促進するため、韓国インターネット振興院'Korea Internet & Security Agency, KISA(は
2009 年に KISA アカデミーを設立し、情報セキュリティ教育を推進している。KISA が 2011 年度に
提供した情報セキュリティ関連教育プログラムを下表に示す。
表 4-1 KISA が 2011 年度に提供した情報セキュリティ関連教育プログラム14
プログラム名
対象者
レベル
電子署名認証管理専門家教育課程
認証機関関係者、専門セキュ
中級
リティ事業者、学生など
情報セキュリティコア人材育成課程'情報セ
セキュリティ関連従事者'勤
中級
キュリティジュニアコンサルタント(
務経験 2 年以下(
情報セキュリティコア人材育成課程'情報セ
セキュリティ関連従事者'勤
キュリティシニアコンサルタント(
務経験 3 年以上(
情報セキュリティコア人材育成課程'デジタ
セキュリティ関連従事者
上級
セキュリティ関連従事者
中級
オンライン情報保護基礎課程
一般、初級
初級
情報セキュリティ巡回セミナー
企業組織の職員及び一般
中級
CISO/CPO 育成
企業の CEO/役員
中級
最新セキュリティ技術
一般
中級
ネットワークセキュリティ教育
国防部セキュリティ担当者
上級
情報保護実習教育'Windows セキュリティ基
一般
中級
情報システム担当者
上級
情報保護実習教育'Linux セキュリティ基礎(
一般
中級
情報保護実習教育'Linux セキュリティ基礎(
情報システム担当者
上級
リバースエンジニアリング
企業のセキュリティ担当者、
中級
上級
ルフォレンジクス(
情報セキュリティコア人材育成課程'セキュ
リティ分析(
礎(
情報保護実習教育'Windows セキュリティ応
用(
14
http://www.kisa.kr/business/promotion/promotion_sub1.jsp を基に作成
47
情報システム担当者
DDoS 対応
企業のセキュリティ担当者、
中級
情報システム担当者
電子政府情報セキュリティ管理体系
KISA 職員、一般
上級
セキュリティ製品開発者、評
上級
(G-ISMS)認証審査員教育課程
情報セキュリティ製品評価提出物作成
価申請者
48
4.2.3.4. CREST
英国のセキュリティテストに特化した NPO である The Council of Registered Ethical Security
Testers (CREST)は、セキュリティテスト'ペネトレーションテスト等(のサービスを提供する個人や
組織を認証するプログラムを実施している。セキュリティテストを実施する際に、標準がなく結果に
ばらつきがあったこと等を踏まえ、2008 年に、EDS、Ernst & Young、Deloitte & Touche、KPMG な
どの情報セキュリティ監査を実施する企業を中心とした 15 団体を会員として CREST が設立され
た。
CREST が定める資格は、セキュリティコンサルタント会社やペネトレーションテストを行う会社に
採用される際にスキルを評価するための指標として活用されている。
例えば、英国政府機関の CESG(Communications-Electronics Security Group)が管理する IT の
安全性の検査サービス「CHECK」の実施を担当する事業者は、チームリーダー、チームメンバー
になるための要件として CREST の資格を求めている。このように、スキルを評価するための指標
として活用できるため、CREST はリクルートエージェントとの連携もしている15。
CREST の人材育成計画としては、CESG のチームメンバーからチームリーダーになれるセキュ
リティテスター、セキュリティコンサルタントの育成が挙げられ、最終的にセキュリティテストの結果
にばらつきを出さない人材、組織の育成を目標としている。
15
CREST | Specialist Recruitment Agencies http://www.crest-approved.org/recruitment_agencies.html
49
表 4-2 CESG の CHECK における CREST の位置付け16
CHECK Team Leader
CHECK Team Leader
CREST Infrastructure Certification Examination
(Infrastructure)
CHECK Team Leader (Web
CREST Web applications Certification
applications)
Examination
CHECK Team Member
CHECK Team Member
CREST Registered Tester Examination
4.2.3.5. ENISA
欧州におけるネットワークセキュリティ及び情報セキュリティに関する予防・対応能力の促進を
任務とする組織である ENISA'European Network and Information Security Agency(17は、EU 加盟
国及び欧州諸機関にアドバイスや提言を行うとともに、欧州諸機関、EU 加盟国ならびに民間の企
業・産業関係者との連携を促進している。
ENISA における情報セキュリティ分野における人材育成計画としては、特にインシデントレスポ
ンスに携わる専門的人材を育成するために、CSIRT 活動を行う上で必要となる様々な実践的なト
レーニングを提供している。ENISA では、インシデントハンドリングに関する好取組事例に関する
ガイド'Good Practice guide(や、CSIRT の立ち上げや運営、実践的な活動のための CSIRT 間の
連携強化するためのツールの提供等を行っている。国や政府機関の CSIRT の能力については
「Baseline capabilities for national / governmental CERTs
18
」として調査結果を公開している。
ENISA は、National CERTs 関係者を主対象として CSIRT に関する国際ワークショップを毎年主
催しており、プレゼンテーションとディスカッションを通じて CSIRT 活動に関するベストプラクティス
を共有し、出席者の知識・技能向上と、欧州各国の CSIRT 間の連携強化を図っている。
また、ENISA は 2012 年 2 月に「Cooperation between CERTs and Law Enforcement Agencies in
the fight against cybercrime
19
」と題して、欧州におけるサイバー犯罪に対する取り組みについて
現状を整理したレポートを公表している。この報告書で ENISA は CSIRT と捜査機関とが協同し情
16
http://www.cesg.gov.uk/servicecatalogue/CHECK/Pages/WhatisCHECK.aspx
17
http://www.enisa.europa.eu/
18
http://www.enisa.europa.eu/activities/cert/support/baseline-capabilities
19
http://www.enisa.europa.eu/activities/cert/support/supporting-fight-against-cybercrime/cooperation-betweencerts-and-law-enforcement-agencies-in-the-fight-against-cybercrime-a-first-collection-of-practices
50
報共有を行うことの重要性を強調しており、捜査機関のサイバー犯罪専門家へのトレーニングの
ためにユーロポールと ENISA とで協力関係をより推進することを推奨している。
このほかに、専門家向けの人材育成に関しては、ENISA では情報セキュリティに関する調査研
究活動等に対して賞を設けて研究活動を奨励し、セキュリティ人材の育成を行っている。
一般的なユーザを対象とした人材育成計画に関しては、初等教育を受ける児童を保護するた
めに、保護者、教育機関関係者、教育を推進する政府機関職員等に向けの「Network Information
Security in Education
20
」を 2011 年 12 月に発行し、初等教育における情報セキュリティに関する
意識向上と推進すべき具体的対策の要点を示している。Network Information Security in
Education に記載されている内容は以下の通りである:
・ ネット上でのいじめ'Cyber-bullying and Online-grooming(と対処方策
・ 児童のネット利用に際して両親が知るべきこと
・ 意識啓発のためのクイズ
・ 両親、保護者、教育者向けガイドラインの紹介
・ SNS のセキュリティに関する問題点と推奨策
・ ウェブサイトでの Cookie 使用の推奨
・ 仮想世界での具体的リスク
・ セキュアプリンティング
20
http://www.enisa.europa.eu/media/news-items/network-information-security-in-education
51
4.3. 企業等の情報セキュリティ関連部署の組織体制、セキュリティ関連業務で求めら
れている知識・能力、推奨される資格・教育プログラムの関係
我が国及び諸外国'米国、韓国、英国(の企業・政府機関等における情報セキュリティ関連組織、
求められる知識・能力、推奨される資格・教育プログラムの関係について調査を行った。
4.3.1. 調査方法
企業・政府機関等が作成している情報セキュリティ関連部署の組織体制、セキュリティ関連業
務で求められている知識・能力、推奨される資格・教育プログラムの関係について、文献調査及
びヒアリング・アンケート調査により整理を行った。
4.3.2. 国内事例に関する調査結果
4.3.2.1. IT ベンダ'事例 1(
(1) 組織体制
コーポレートガバナンス体制の下、リスクマネジメントの一環として、会社の情報セキュリティ体
制を構築している。幅広い産業・社会を対象にビジネスを展開しており、ビジネスの特性によって
情報セキュリティ上の課題が異なることから、4 つのビジネスの推進部門毎に、セキュリティ管理
体制を構築している。また、情報管理の徹底と、情報セキュリティ強化を図るために、全社共通の
IT インフラをコーポレート部門の担当で構築している。
CSIRT は、クラウドサービスを対象として、不正侵入やウイルス感染等のセキュリティ事象が発
生した場合に備えた、独立したセキュリティ緊急対応体制として設置している。
【情報セキュリティ管理体制】
【セキュリティ委員会体制】
代表取締役社長
取締役副社長
事務局
経営会議
A
部
門
B
部
門
C
部
門
委員
D
部
門
'グループ各社(
委員
'各本部)
サービス
クラウドサービス向け
セキュリティ緊急対応
コーポレート部門'ITインフラ(
営業・SE
技術検証
図 4-2 事例 1 における情報セキュリティ体制
52
(2) 求められる知識・能力等
4.2.2.1. で示した 4 つのセキュリティ人材においては、まず、システム開発経験、運用経験、ITマ
ネジメント経験などの幅広い知識と経験が求められる。特にデータセンターの場合は、ITILベース
で運用されているため、その知識が前提となる。システムエンジニアの場合は、システムのリスク
分析と対策立案、運用立案能力が必要となる。また、各種管理基準や法律への見識も要求され
まる。しかし、最も重要なのは、設計・開発・運用部隊を統制できるコミュニケーション能力である。
(3) 取得すべき資格、推奨資格
以下から、複数個の資格取得と社内論文審査が社内認定プロフェショナル'4.2.2.1. 参照(に上
がるための要件となっている。
・情報セキュリティスペシャリスト
・CISSP
・ISMS 審査員/審査員補
・CIW セキュリティプロフェッショナル
・公認情報セキュリティ監査人/監査人補
・コモンクライテリア プロフェッショナル
・ISACA 認定 公認情報セキュリティマネージャー
・IT ストラテジスト
・コモンクライテリア アセッサ
・プロジェクトマネージャ
・ネットワークスペシャリスト
・システム監査技術者
・システムアーキテクト
・中小企業診断士
・ITコーディネータ
・PMP
・技術士
・ITILマネージャ
・CCIE
1 つの資格だけではなく、複数の資格及び異なる分野の資格の取得を推奨している。また、IT
技術の継続的なスキル強化を推進し、若いうちから監査系やマネジメント系に逃げないことを推
奨している。
(4) 教育の実施状況
個人情報保護、知財、情報漏えい対策などは全社員に必須の教育とされている。
また、ソリューションサービス部門は、「IT アーキテクト概論」「システム基盤」「要件定義」「アプリ
ケーション設計」教育の受講を全員に義務付けている。ソリューションサービス部門の情報セキュ
リティ人材は、これらの教育を受けた後、同社の専門プロフェッショナルで構成される、専門教育
の受講が義務付けられている。
ソリューションサービス部門では、システムライフサイクル上で必要な研修の受講を求めている。
他のベンダから提供される製品の研修を受講することもあるが、横串となるような要件定義、シス
テム全体のアーキテクチャなどについては、既存の教育がないため、部門内で教育プログラムを
53
作成している。
社内教育費用は会社の教育費用の中で確保されており、月 160 時間の勤務時間のうち 5%程度
が教育に充てられている。その他、e-learning、通信教育等、個人毎に教育計画を立案した研修・
教育等については、部門内の教育費用で実施している。
4.3.2.2. セキュリティ専門企業'事例 2(
(1) 組織体制
事業としてインシデントレスポンスも実施していることから、CSIRT を構築しており、24 時間態勢
でセキュリティモニタリングやインシデントハンドリング、セキュリティ情報の収集発信を行っている。
複雑化・高度化するサイバー攻撃への脅威に対応するため、特に海外機関との連携が必要であ
るとの認識から、窓口として CSIRT を構築した。2007 年に FIRST に、2008 年 6 月に NCA に加盟
している。
CSIRT は顧客に発生したインシデントについて技術的な対応やアドバイスを行っており、社内で
はセキュリティ監視や防御を行う事業部の下に設置されている。
経営層
事業本部
事業本部
事業本部
・・・
'セキュリティ監視・
防護(
・・・
CSIRT
図 4-3 CSIRT の位置付け'事例 2(
(2) 求められる知識・能力等
高度な専門性を有する人材に対し、SI を行うグループ会社で独自の認定制度を設けている。
対象は、ビジネスデベロッパー、システムアナリスト、プロジェクトマネージャ、ITアーキテクト、ITサ
ービスマネージャ等である。
(3) 取得すべき資格、推奨資格
会社で推奨資格とされているのは、SANS、高度情報処理技術者試験、監査人等であり、受験
料が補助されている。資格は勉強する契機に過ぎないが、資格取得により、ジョブアサインが変
わり、マネージャ等に昇格し、業績を残す契機となり、結果として待遇が上がる。また、ハイレベル
で密度の高い業務を担当することにより、新たな資格を取得する契機にもなっている。
(4) 教育の実施状況
研修では、海外語学研修、ビジネス研修、SANS トレーニング等の先進的なプログラムを積極
54
的に取り入れている。
新入社員の場合、IT 企業グループの新入社員として採用され、システム系の社員はグループ
のカリキュラムに沿って教育される。6 月中旪まで、基礎研修、セキュリティ事業に関わる実機を交
えた研修、SANS 初級研修をほぼ全員受講する。OJT やシステム系の研修を受けつつ、セキュリ
ティについても学んでいる。
4.3.2.3. セキュリティ専門企業'事例 3(
(1) 組織体制
セキュリティ関連事業として、セキュリティ関連製品の基礎技術研究・開発・販売、及びマルウェ
ア解析や製品セキュリティの脆弱性検査等の調査分析サービスを行っており、これらの事業を支
えるソフトウェアエンジニアとリサーチエンジニアは、全て R&D センターの所属となっている。
(2) 求められる知識・能力等
ソフトウェアの基礎をしっかり抑えソフトウェアの分野で能力が高い人材を採用し、会社の業務
に携わる中で、業務に関連する高度に特化した領域において実践で鍛え上げているため、求めら
れる知識・能力体系は明確に設定していないが、実践で鍛え上げて戦力となりうる能力を有して
いることが必要である。
(3) 取得すべき資格、推奨資格
社内的な資格制度は設けておらず、推奨する資格も特に設定していない。
(4) 教育の実施状況
新卒でも既卒でもコンピュータの基礎能力が高い人材を採用し、自社の高度な開発案件プロジ
ェクトの中で鍛え上げることにより、人材を育成している。
コンピュータサイエンスの基礎能力を重要視して、採用・育成を行っている。OS、プログラミング
に関して学部レベルの内容が深くわかっている人材は、セキュリティの知識の学習も理解も早い。
OJT での成長が早く、3 ヶ月でセキュリティエキスパート、1 年で国際的に競争力を持てる人材と
なる。1~2 年で業界に認知され、Black Hat 等カンファレンスで発表できるレベルになる。外部の
専門家向けに提供しているエキスパートセミナーを社員にも受講させ、また、他の国内企業には
真似できないような高度な技術を求められる開発案件に社員を携わらせ、実践の中で人材を鍛え
ている。このため、社員の研究開発能力の上がらない簡単なペネトレーションテスト等は行わない
ようにしている。
4.3.2.4. 外資系 IT ベンダ'事例 4(
(1) 組織体制
55
人材は全てがロール化され、都度社内外から募集する仕組みとなっているが、情報セキュリテ
ィ人材を含め、ロールの構成については非公開とされている。
ユーザに対して企業哲学としてセキュリティに関わる情報を伝達し、フィールドからフィードバッ
クを得る立場として、トラスティッドアドバイザーを設置していることが特徴的である。
(2) 求められる知識・能力等
主要なセキュリティ関係の求められるロールとリクワイヤメントについて明確化されている。ロー
ルは、ビジネスプランに応じて動的に変化する。例えば、「セキュリティプログラムマネージャ」であ
れば、「顧客からの問い合わせに迅速かつ効果的な方法で応答する」「管理者やステークホルダ
ー向けにビジネスレビューを行う」「管理者やステークホルダーにプログラムの状況を定期的に連
絡」といったロールの内容と、ソフトウェアライフサイクルに関する技術的知識や CISSP 等の資格、
日本語・英語のコミュニケーションスキルなど、必要となる能力について具体的な要求レベルが規
定される。
(3) 取得すべき資格、推奨資格
資格、試験については社内では重要視されていない。採用時に、推奨資格として、CISSP、
ISSAP、GIAC 等が挙げられていることもあるが、資格だけで採用が有利になるのではなく、実務
的な経験やスキルとともに評価される。
(4) 教育の実施状況
非常に豊富な社内研修、オンライントレーニングを用意しており、社員は自主的に受講すること
ができる。内容は、技術的なものから、マネジメントに関わるものまで多岐に渡る。
4.3.2.5. IT サービス企業'事例 5(
(1) 組織体制
企業の情報セキュリティの中心的な役割は CSIRT が担っている。CSIRT は社長直下に位置付け
られており、インシデント対応に関する強い権限を有している。必要に応じて、社内の情報収集・
分析を行い、社長に直接エスカレーションする。CSIRT の常駐メンバーはいるが、発生した事象に
応じてヴァーチャルに対応体制が構築されるため、社内のコーディネーションセンター的な位置付
けが強い。
(2) 求められる知識・能力等
各 IT 人材が情報セキュリティ技術についても精通している必要があり、社内外の研修受講や資
格取得が推奨されている。最近では、企業内 CTF の実施により、エンジニアのセキュリティスキル
の底上げを図っている。
IT 人材は、下流工程にて経験を積みつつ、徐々に上流工程に携わることのできる能力を身に
56
付けるという流れである。一方、情報セキュリティ人材については、近年の脅威の多様化、高度化
に対して柔軟に対応できる人材が十分でないことから、直面するリスクに対して、その対応ができ
る人物に対し、適切な権限やポストを与えるという形になっている。
(3) 取得すべき資格、推奨資格
資格の取得や教育の受講を希望する社員の支援を行っている。例えば、CISSP の取得、SANS
教育などは、審査をして、キャリアプランとして俯瞰的な目でセキュリティをやりたい意思が認めら
れれば、受験料や受講料の負担などの支援を行っている。
採用にあたって、CISSP 等の資格は考慮されるが、資格だけで採用される訳ではなく、採用時
に必須となる資格は特に設定していない。
(4) 教育の実施状況
採用する人材は、中途採用が多い。アプリケーション系の人材は、プログラマの経験が長く、セ
キュリティにも詳しい人材を採用している。アプリケーションのセキュリティ上の問題がすぐにわか
る人材を採用している。マネジメント系では、コンサルタント、企業法務に通じている人、ISO27000
系に詳しい人、監査人等を採用している。
教育は、マネージャに一通りのインシデントハンドリングの教育、内部研修をしている。また、年
1 回、全社員に対してプライバシー、個人情報系の教育を行っている。アプリケーション開発時に
セキュリティを使う人材は、元々経験豊富な人材が多く、内部研修は実施していない。
4.3.2.6. 1・2 章のヒアリング調査対象とした企業の状況21
(1) 組織体制
1・2 章のヒアリング調査対象とした企業のうち、情報セキュリティを専門で担当する人材を有す
る企業は回答を得られた 18 社のうち 4 社であり、それ以外は、情報システム部門または総務部門
の人材が兼任で担当していた。
CIO が存在するのは、回答を得られた 16 社のうち 6 社であった。CIO が存在しないのは 10 社
であったが、担当役員がいるのが 7 社であった。
情報セキュリティに対する経営層の関心については、回答を得られた 13 社全てが高いとしたが、
うち 2 社は、経営層は情報セキュリティに対して詳しくないという回答だった。
CSIRT が存在するのは、19 社中 2 社であった。
(2) 求められる知識・能力等
情報セキュリティを担当する人材に対して求められる知識・能力等について、企業として明確化
21
1・2 章のヒアリング調査対象は 20 社だが、うち 1 社は「IT サービス企業'事例 5(」として別に掲載しているため、
本節で対象とする企業数は 19 社である。
57
されていると回答した企業はなかったが、ヒアリング回答者からは、情報セキュリティ人材に関して、
以下の知識・能力が求められるとの回答が得られた。
・ ベンダとの橋渡しになる人材が必要である。'建設業 A(
・ 情報セキュリティ技術者は外部から調達すればよいが、ビジネスとリンクして情報セキュリ
ティを考える人材が必要である。'製造業 F(
・ 各部門に 2 名ずつ設置される ISMS 担当は、情報セキュリティについて知っている必要が
ある。'情報サービス業 D(
・ ユーザ企業の情報システム部門ではアウトソーシングが進み、社内に残されるのは、IT ガ
バナンス、規格、統制、セキュリティ確保、業務等が中心になると考える。その意味では、
技術的な専門性よりも、業務的に詳しい人材が必要である。'物流業 A(
・ トップにもう尐し情報セキュリティに詳しい人がいるとよい。情報システムや事業部門、各社
員がそれぞれの立場で、情報セキュリティを意識し、考え、実際の行動に移す必要がある。
(教育・学習支援業 A)
(3) 取得すべき資格、推奨資格
取得すべき資格については、回答が得られた 14 社のうち、1 社が、情報セキュリティに特化した
社内資格認定制度の取得が IT 人材に対して必須となっており、講習も行っている。'情報サービ
ス業 B(との回答であった。その他、情報セキュリティ関連の外部資格を推奨されているのは、1 社
'情報処理技術者試験のほか情報セキュリティ管理士・個人情報保護士、情報サービス業 C(で
あった。また、情報システム部門で「基本情報処理技術者」の取得が義務付けられている企業が 1
社あった'製造業 D(。その他 5 社において、全社的にあるいは事業部によって、資格取得を推奨
されているとの回答があった。
資格取得によって処遇に結び付くのは、回答が得られた 13 社のうち 1 社もなかった。ただし、
一時金が出るのが 2 社'製造業 C、情報サービス業 C(、受験料が出るのが 2 社'製造業 D、情報
サービス業 C(、スクール代が出るのが 1 社'情報サービス業 D(であった。
(4) 教育の実施状況
情報セキュリティ関連教育の実施については、CSIRT 主体で教育を実施している企業が 1 社
'情報サービス業 B(、CSIRT での業務経験を活かして事業部門の CSIRT 窓口になっている企業
が 1 社'製造業 C(等、組織内 CSIRT が情報セキュリティ人材育成機能を持つ会社が 2 社あった。
その他は、回答が得られた 19 社のうち 7 社が基本的には OJT で学ぶという回答であった。情
報セキュリティを含めた情報システム分野の教育としては、社内研修やベンダによる研修を受講
する場合もある。
58
4.3.3. 海外事例に関する調査結果
4.3.3.1. DoD
DoD Directive 8570.1M '米国国防総省指令 8570.1M( 22 は米国の国防分野の情報保証
(Information Assurance)に関わる人材育成プログラムである。このプログラムにより、情報保証に
関わる人材は情報セキュリティに関する資格の取得が要求されているが、選定されている資格は、
ANSI/ISO/IEC17024 標準に基づき、ANSI あるいは同等の認定機関によって認められた情報セキ
ュリティ関連の資格となっている。
DoD Directive 8570.1M に示された情報保証に関わる人材の基本的な組織体制'アーキテクチ
ャ(は以下のようになっている。
図 4-4 DoD 8570.1M に示される情報保証に関わる人材の組織体制'アーキテクチャ(23
情報保証に係る人材は、図に示すように 2 つのカテゴリーと 3 レベルに大きく分けられる。カテ
ゴリーは、情報保証人材・技術'IA Technical、IAT(と情報保証人材・管理'IA Management、IAM(
に分けられている。レベルについては、レベル 1 は一般的な計算機を利用する勤務に携わる者、
レベル 2 はネットワーク環境を用いた勤務に携わる者、レベル 3 はより厳重に隔離された環境や
先進的な計算機・ネットワーク環境を用いた勤務に携わる者に分けられている。
これらのカテゴリーに分類される職員及び専門家については、備えておかなければならない技
能と関与するシステム環境を考慮して区分されており、この区分に従って、対応する資格の取得
を義務付けられている。
この対応関係と職種の概要、資格について以下の図表に示す。
22
http://www.dtic.mil/whs/directives/corres/pdf/857001m.pdf
23
http://www.dtic.mil/whs/directives/corres/pdf/857001m.pdf
59
図 4-5 DoD 8570.1M における人材カテゴリーと取得が必要な資格の対応付け24
表 4-3 DoD 8570.1M における職種
職種
概要
情報保証人材・技術'IA Technical,
技術担当者。レベル 2 には 3 年以上、レベル 3 には 7
IAT(
年以上の情報保証領域の勤務経験が必要。
情報保証人材・管理'IA Management,
管理担当者。レベル 2 には 5 年以上、レベル 3 には 10
IAM(
年以上の情報保証領域の勤務経験が必要。より高位
の管理担当者として、指定認定権者'Designated
Accrediting Authority, DAA(が指定される。
コンピュータネットワーク防衛サービス
セキュリティアナリスト'CNDSP Analyst(、情報システ
提供者'Computer Network Defense
ムインフラ支援担当者'CNDSP Infrastructure
Service Providers, CND-SPs(
Support(、インシデント対応担当者'CNDSP Incident
Reporter(、セキュリティ監査人'CNDSP Auditor(、情
報セキュリティ管理者'CNDSP Manager(が含まれる。
情報保証システムアーキテクト及びエ
情報保証システムの設計・開発・構築担当者などが含
ンジニア'IA System Architects and
まれる。
Engineers, IASAE(
24
http://iase.disa.mil/eta/iawip/content_pages/iabaseline.html
60
表 4-4 DoD 8570.1M 認定資格の提供者及び資格名25
資格の提供者
資格名 及び 略称
Carnegie Mellon
Computer Security Incident Handler (CSIH)
Software Engineering
Institute CERT®
CompTIA
A+ Continuing Education (CE)
CompTIA
Security+ Continuing Education (CE)
CompTIA
Network+ Continuing Education (CE)
EC-Council
Certified Ethical Hacker (CEH)
(ISC)2
CISSP (or Associate)
(ISC)2
Certification Authorization Professional (CAP)
(ISC)2
Information Systems Security Architecture Professional (ISSAP)
(ISC)2
Information Systems Security Engineering Professional (ISSEP)
(ISC)2
Information Systems Security Management Professional (ISSMP)
(ISC)2
SSCP
ISACA
Certified Information Security Manager (CISM)
ISACA
Certified Information Security Auditor (CISA)
SANS Institute
GIAC Certified Intrusion Analyst (GCIA)
SANS Institute
GIAC Certified Incident Handler (GCIH)
SANS Institute
GIAC Security Expert (GSE)
SANS Institute
GIAC Security Essentials Certification (GSEC)
SANS Institute
GIAC Security Leadership Certificate (GSLC)
SANS Institute
GIAC Systems and Network Auditor (GSNA)
SANS Institute
GIAC Information Security Fundamentals (GISF)
4.3.3.2. KISA 及び KISIA
韓国の情報セキュリティ政策においては、韓国インターネット振興院'Korea Internet & Security
Agency, KISA(及び知識情報セキュリティ産業協会'The Korea Information Security Industry
Association, KISIA(が推進しており、情報セキュリティ人材育成については主に KISA が担当して
いる。韓国の情報セキュリティ関連組織・団体について示す。韓国では、国内セキュリティベンダ
育成に取り組んでおり、その取り組みの中でセキュリティベンダにおける人材が育成されている。
また、近年、高等教育機関や資格制度の整備が進められている。
25
http://iase.disa.mil/eta/iawip/content_pages/iabaseline.html を基に作成
61
図 4-6 韓国の情報セキュリティ関連組織・団体26
また、KISA では、情報保護の専門家資格制度 SIS'Specialist for Information Security(を実施し
ている。SIS は国家公認の資格制度で、情報セキュリティの専門知識と実務能力を評価する。試
験は、筆記試験と実技試験から成り、筆記試験科目の内容は以下の通りである。
表 4-5 SIS 筆記試験科目27
科目
システムセキュリティ
ネットワークセキュリティ
アプリケーションセキュリティ
情報保護
分野
オペレーティングシステム
クライアントセキュリティ
サーバセキュリティ
ネットワーク、一般
ネットワーク活用
ネットワークベースの攻撃
各種ネットワーク機器を用いたセキュリティ技術
最近の脅威の傾向
インターネットアプリケーションセキュリティ
電子商取引のセキュリティ
その他のアプリケーションセキュリティ
暗号
情報セキュリティマネジメント
関連法規
26
http://www.jnsa.org/seminar/nsf/2011/data/S3-1.pdf
27
http://www.kisa.or.kr/business/protect/protect1_sub2.jsp を基に作成
62
4.3.3.3. CREST
CREST は、英国の国家安全機関である CESG'Communications Electronics Security Group(
のような政府組織と連携しながら、試験の提供を行っている。また、最近の情報セキュリティに関
する動向とエンドユーザからのセキュリティ技術要件について議論し、情報を CREST メンバーへ
提供するために、Industry Advisory Panel'IAP(を設置している。
CREST のメンバー企業'表 4-6(は、厳しい評価と、認証されたプロセス'従業員審査、データ
処理等(を受けている。
表 4-6 CREST のメンバー企業28
Ambersail Limited
Activity Information Management Ltd
BT Group PLC
Commissum
Context Information Security Limited
Deloitte & Touche LLP
Dionach Ltd
Global Secure Systems
Gotham Digital Science
HP Information Security
Information Risk Management Plc
Inner Security
KPMG
MWR InfoSecurity Limited
Nettitude Limited
NGS Secure
NTA Monitor Limited
Pen Test Partners
Perspective Risk
Portcullis Computer Security Limited
PriceWaterhouseCoopers
ProCheckUp
QinetiQ
Sec-1 Ltd
SECFORCE Ltd
Security Alliance - Paladion / Plynt
7Safe Limited
Trustwave
Verizon Business Security Solutions
CREST が実施する個人向けの認定試験については、Registered Tester と Certified Tester に
分かれており(図 4-7)、前者はエントリレベルを対象としている。後者は、中級者以上を対象とし
28
http://www.crest-approved.org/member_companies.php を基に作成
63
ており、Certified Web Application Tester、Certified Infrastructure Tester に分かれている。侵入テ
ストを行う人材'ペネトレーションテスター(のキャリアパスに深く関連する資格として実施されてい
る。
図 4-7 CREST の資格制度の枠組み29
29
http://www.crest-approved.org
64
4.4. 企業等におけるセキュリティ人材の不足感・育成方針・キャリアパス
我が国の企業等におけるセキュリティ人材の不足感・育成方針・キャリアパス等について調査
を行った。
4.4.1. 調査方法
企業等が作成しているセキュリティ人材の不足感・育成方針・キャリアパス等について、文献調
査及びヒアリング・アンケート調査によって整理を行った。
4.4.2. 企業ヒアリング調査結果
4.4.2.1. IT ベンダ'事例 1(
(1) 不足感、育成方針
付加価値の高い IT サービスを提供するためには、業務ノウハウを有する、上位アプリケーショ
ンスキルを有するエンジニアや、アプリケーションの生産性を高まるための高級言語'Perl、Ruby、
Java(のスキルを有する人材が増加した反面、IA32 アセンブラなどの基盤知識を持ち、マルウェア
解析やクラッキングの分析などができるエンジニアが不足してきている。
マネジメント系のスタッフは結構育ってきた。セキュリティマネジメントは ISO などが関係し、カテ
ゴリーの品質の部分と関連することが多いため、品質マネジメントから上がった人材がセキュリテ
ィマネジメントにも応用を利かせることで、監査も含め量的には育っている。
技術系人材の共通のパスとして、社内プロ認定まで 3 段階があり、さらに、プロスキル認定には、
上位の社内認定プロフェショナル'4.2.2.1. 参照(へのキャリアフレームが定められている。
各人の経験は社内 DB に蓄積されており、業務経験(プロジェクト名、内容、人月工数、期間、管
理、損益)、資格、論文等が記録されている。スキルは、半年毎に教育スケジュールがあり、上長
と話し合い、業績目標、人材キャリアプラン'今後受けていく教育内容、経験、希望(を決める。不
足分は教育を受けることが可能。教育費用は部門費から支出している。
近年の人材育成の反省として、専門領域が細か過ぎた点が上げられており、今後は複数領域
の専門を持っていなければならないとして、人材育成のカリキュラムも見直している。
人材像'4.2.2.1. 参照(でも示されているように、情報セキュリティ人材では、システム開発経験、
運用経験、ITマネジメント経験などの幅広い知識と経験が求められている。特にデータセンターの
場合は、ITIL30に基づいた運用がなされているので、その知識が前提となる。また、SE の場合は、
システムのリスク分析と対策立案、運用立案能力が必要となる。各種管理基準や法律への見識
30
Information Technology Infrastructure Library。IT サービスマネジメントのベストプラクティスをまとめたフレーム
ワーク。
65
も要求されるが、一番重要なのは、設計・開発・運用部隊を統制できるコミュニケーション能力であ
る。
(2) キャリアパス・中長期的処遇見通し
情報セキュリティ人材のキャリアパスとして、CISO/CIO には、知財・法務から来る場合と、IT か
ら来る場合の 2 つのパターンがある。企業では、ビジネスに付加価値を与えることができる人材が
上に行くので、セキュリティをブランド価値に結び付け、品質向上、セキュリティリスクの低減に貢
献できる人材となることが必要である。
情報セキュリティ人材が年を経た場合、一般に監査や ISO 等の認証取得支援に行く傾向があ
るが、企業としては、セキュリティ監査だけでなく、プロジェクト監査、品質監査、業務監査等の総
合監査力を求めている。また、最近は、プロフェショナル人材にもマネジメント力を求められる傾向
が強くなっているため、40 歳代でマネジメント力のある人は、マネージャとしてキャリアアップを行
っている。逆に、ラインマネージャとして頭打ちになった場合、専門性を磨き、シニアプロを目指し
ていくが、情報セキュリティ分野のみでプロは難しいのが現状である。
今後、グローバルな人材雇用の中で各国との処遇やレベルを合わせていく必要があるが、具
体的な取り組みについては検討中である。また、情報セキュリティだけでなく複数のプロフェショナ
ルスキルを持つことを奨励しており、そういった人材の処遇を検討中している。
4.4.2.2. セキュリティ専門企業'事例 2(
(1) 不足感、育成方針
情報セキュリティ人材は不足しており、特に、攻撃の解析など高度なスキルを持つ人材につい
ては、絶対数が日本に尐ないと考えられる。
個人のキャリアパスという点では、経営層と社員がコミュニケーションできる企業規模なので、
対話しながらキャリアパスを作り上げている。各ステージの人物像、持つべき要素(スキル)を定め
ているが、パーソナルな資質や、事業を創っていく能力の方が重要視されており、上に上がる試
験がある訳でもない。セキュリティに詳しい人ばかりが昇進していく訳ではない。専門性を図るた
めのグループ独自の認定制度では、例えば SI であれば、プロジェクトマネジメントのプロとして、大
規模プロジェクトを成功に導いていること、プロジェクトマネジメント系の資格を有している等、条件
が定められている。組織管理上の役職とは連動しないが、専門性を念頭に置いたジョブアサイン
を行っている。
求められる人材像は、将来的に自立性が求められるため、自立的に動けること、コミュニケーシ
ョン・チームワークがよいことである。新卒の場合は、大学においてセキュリティを専門に学んでい
なくとも、IT の知識とセキュリティへの興味があれば採用している。また、専門領域に尖がっていて
も、扱いづらい人材や、セキュリティは変わっていく技術なので、変化に対応できない人材も望まし
くない。
66
(2) キャリアパス・中長期的処遇見通し
セキュリティ人材のキャリアパス及び中長期的処遇見通しは、今後も検討していかなければな
らないテーマと考えている。情報セキュリティ人材が年を経た際には、専門家、マネジメントの双方
のキャリアパスがある。
なお、社内の認定制度で認定を受けてもタイトルフィーが尐し上がるだけなので、高い処遇を目
指すというものではない。しかし、認定されることにより能力が認められ、プロジェクトのアサインが
変わり、結果的に処遇が上がることは期待される。
4.4.2.3. セキュリティ専門企業'事例 3(
(1) 不足感、育成方針
情報セキュリティ人材は概ね足りている。元々、情報セキュリティ人材を採用しておらず、中途
採用の場合は、日本に比較的多いソフトウェアエンジニアを採用しているため、候補となるエンジ
ニアの母数は多いと考えている。
米国では、IT 全般において、基礎技術研究開発から大きく利益を生み出すビジネスモデルが成
立している。日本は応用技術に走りがちであるが、ワールドワイドでの競争力を高めるためには
基礎技術で競い合うことになるため、原理を作れる人たちを育成することを目指している。
業績に応じたエンジニアのクラス、ジュニア、ミドル、シニアレベルを設定しており、スキルを活
かして結果を出すことが重要として、業績で評価を行う。サービス/プロダクト共通の評価軸として、
ブレークスルーの達成、ブラックボックスのクリア等が定められている。プロダクトの場合は、ブレ
ークスルーができなかったとしても、次にチャレンジすることで評価する。スキルも評価の対象とな
るが、事業が特化しているので、細かい技術領域をどこまで知っているかが必要となる。
一定期間で行った結果を上が評価して、今後何をするかを決めていく。社員の志向として、深く
広く知識を付けたい人が多く、応用技術を使いこなすことに喜びを見出す人は尐ない。
ジュニアクラスは専門に特化した人が入ってくるが、ミドルでは知識は一通り揃う。シニアは、新
しい技術、マネジメント、対外折衝(コアテクノロジーをベースとした)が必要。シニアクラスは海外で
も世界初の研究成果を出していたり、ワールドワイドで活躍できる力があるため、他社に引き抜か
れることもある。
(2) キャリアパス・中長期的処遇見通し
日本には情報セキュリティ人材のキャリアパスがないため、夢があり、待遇面で不安のないキ
ャリアパスを描くことが必要であると考える。個人で研究成果に関する対外活動を行うことを推奨
しており、グローバルに名前が知れるようになることで、後に続くセキュリティ人材に対して夢が与
えられると考える。しかし、同じようなスキルを持った人材が、米国では日本の 3~4 倍の給料をも
らえており、そのような環境の中で日本企業を選んでもらうことも必要となる。
情報セキュリティ人材が年を経た時には、マネジメントパスに進む。高い技術力を持つチームメ
ンバーと困難なプロジェクトを多数まとめ上げるためには、専門的かつ最新の技術知識が必要で
67
あり、スペシャリストとして非常に高度化した人材こそ、新しいチャレンジとしてゼネラリストとして
のスキルを付けてもらい、次の人材育成につなげていくことを実施している。
4.4.2.4. 外資系 IT ベンダ'事例 4(
(1) 不足感、育成方針
ロールは毎年レビューをする。企業のビジネスプランに応じて、ロールができ、そこに人をアサ
インするため、過不足ということはない。ビジネスプラン抜きにロールを語るのは意味がない。
セキュリティを基本的な道具として、IT インフラを考えられる人を増やす必要があると認識して
いる。エントリレベルでは理解するところから始まり、ミドルレベルでは深い知識とベーシックなマ
ネジメントスキルが必要、シニアレベルでは複数の分野の知識と高度なマネジメントスキルが必要
である。セキュリティの専門知識に加え、ベーシックなビジネススキルを持っていないと、上に上が
った時に経営陣と議論することができないため、ビジネスの観点からものが見られる情報セキュリ
ティ人材が必要である。
(2) キャリアパス・中長期的処遇見通し
キャリアパスとしては、専門職かマネージャのパスを選択し、さらに奥深さか幅広さを追求する
かのパスを決める。専門職、マネジメント職各々にジョブレベルが設定され、ジョブレベルを上げる
ことで給与も上がる。
グローバル企業では、文化の違いのため、仕組みを明確化することが求められ、各ロールに対
する要件と給料は明確に示されている。また、表彰制度(アワード)があり、表彰されるとキャッシュ
を得られる仕組みとなっている。
4.4.2.5. IT サービス企業'事例 5(
(1) 不足感、育成方針
技術的に専門的な分野がわかる人材は揃っているが、俯瞰的にものを見られる人材が不足し
ている。例えば、技術的にはプロであっても、法律の内容を理解していないので、説明しないと技
術的に落としこめないという場合があり、このような人材は社外から採用するしかない。
会社に設置している CSIRT のメンバーは、ヴァーチャルな形で構成しており、必要な人材を主
に中途で採用しているため、現段階では特に不足しているとは感じていない。
キャリアパスをどう考えるか本人次第であり、資格でプロモートすることはない。
(2) キャリアパス・中長期的処遇見通し
資格によって処遇が増えるようにはなっていない。キャリアパスをどう考えるか次第なので、
様々な経験を積んでそれ相応のポストに就き、報酬を受けるようになるという考え方をしている。
歴史の浅い会社であり、社員の平均年齢も低いことから、年を重ねた際の処遇についてはあま
68
り議論がなされていない。しかし、IT 人材については、過去の経験を活かし、後進の育成に携わる
者、経営に参画する者、一生現場を貫く者と、その処遇は様々ありうると考えている。一方、情報
セキュリティ人材については、過去のセキュリティ対策経験が、将来役に立つか答えにくい点が難
しい。個々の人材が、専門能力をどのように活かすかという要望に則り、専門職としての道を追求
する、あるいは管理職や監査役あたりに収まるのではないかと考えている。
4.4.2.6. 1・2 章のヒアリング調査対象とした企業31
1・2 章でヒアリング調査対象とした企業のうち、過不足感について回答があった 13 社のうち、不
足しているという企業は 6 社であった。情報セキュリティ人材が忙しいという点で不足している、緊
急時に不足するという回答のほか、ビジネスや業務を理解した情報セキュリティ人材がほしい等
の要望が挙げられた。トップにもう尐し詳しい人がいることが望ましいという回答もあった。また、
一般的なユーザ企業においては、情報セキュリティは情報システム部門の人材が担当しており、
専門職として育成されるケースは尐ない。外部ベンダの活用も多いため、専門的な部分は外部ベ
ンダに任せ、社内のことを理解しベンダとの橋渡しができる人材も求められていた。
一方、情報サービス企業等では、専門的な技術だけではなく情報セキュリティに関わる法律や
ビジネス、倫理観を知った上での人材が不足しているという意見であった'情報サービス業 B、E(。
情報サービス企業では、専門技術を持った人材が集まるため、専門技術をどのような環境でビジ
ネスとして活かすか考えられる人材が求められていた。
キャリアパスを見ると、回答のあった 19 社のうち 5 社が、情報システム部門の人材は、業務部
門等とローテーションしながら育成されており、情報セキュリティに特化した育成を行っている企業
はなかった。
4.4.3. 有識者ヒアリング結果
情報セキュリティに関わる脅威が増しているが、セキュリティ対策を支える人材の必要性を認識
している者が尐ないため、我が国で求められているセキュリティ人材の数は、世間で言われてい
る以上に全く足りていないはずであると指摘している。例えば、マルウェアに感染し、機密情報が
社外に漏れた事故を経験した企業等は、それを契機にセキュリティ専門家の支援の必要性を改
めて認識していると言われている。
情報セキュリティ専門家については、変化し高度化する情報セキュリティ技術を確実にキャッチ
アップしている専門技術が必要であるとの意見があった。また、昨今猛威を振るっている標的型
攻撃等については、新たな攻撃手法が次々に開発され、日々発生する攻撃に対応できるだけの
十分な人材がいないという意見もあった。情報セキュリティ専門家については、システムの基本的
な技術を理解しシステムに問題が発生した場合にリバースエンジニアリングできる技術を備え、プ
31
1・2 章のヒアリング調査対象は 20 社だが、うち 1 社は「IT サービス企業'事例 5(」として別に掲載しているため、
本節で対象とする企業数は 19 社である。
69
ログラミングやコンピュータに関わる高い基礎技術を有していなければ、高度なセキュリティ技術
を習得することが困難であるという意見もあった。また、情報セキュリティ技術は常に変化している
ため、ある技術に固執するのではなく、柔軟に専門領域を広げていく能力も必要であるという意見
があった。
IT ユーザ企業における情報セキュリティ人材については、企業経営に対するこれらの人材の貢
献が見えにくいため、セキュリティ人材を経営者が適切に評価することは困難であり、また、外部
の評価制度もないため、中長期的に見て、情報セキュリティ人材の処遇は上がりにくい可能性が
あると指摘している。日本は欧米に比べ企業内における情報セキュリティ人材の評価が成熟して
おらず、セキュリティ担当が経営層等へ昇進した例や、IT ユーザ企業において CISO が設置される
例もまだ尐ない。そのため、我が国においては、情報セキュリティ人材のキャリアパスが描けてい
ないという指摘があった。また、情報セキュリティ人材は、セキュリティだけでキャリアパスを考え
ず、企業において上に行けるような経営・マネジメントスキルも磨き、自らセキュリティ対策及びセ
キュリティ人材の必要性を経営層に認識させ、キャリアパスを作り上げていくことが重要ではない
かと指摘する有識者もいた。現在、IPA において、情報セキュリティ人材のキャリアパスモデルが
検討されているところであり、その普及等により、情報セキュリティ人材のキャリアパスが形成され
ていくことが期待される。
4.4.4. 文献調査結果
日本における、情報セキュリティ人材の不足感については、国内情報セキュリティ産業対象の
アンケート調査において、人材の数、専門性、育成手段のいずれについても、不足感が多く回答
されている。特に、研究開発を担う人材の専門性について 73%の企業が課題として挙げている
32
。
また、ユーザ企業においても、今後自社の IT 人材にとって重要となるスキルについては、「セキ
ュリティに関する技術力」との回答が 44.1%に達しており、「ネットワークに関する技術力」'44.7%(に
ついて 2 番目に高い33。
32
「情報セキュリティ産業の構造と活性化に関する調査概要報告書」 IPA 2011 年 6 月
33
「人材育成白書」 IPA 2011 年
70
4.5. 情報セキュリティ関連の資格制度の概要
我が国の情報セキュリティ関連の資格制度について調査を行った。
4.5.1. 調査方法
情報セキュリティ関連の資格制度について、文献及びインタビューにより調査を行った。
4.5.2. 調査結果
調査対象を表 4-7 に示す。
これらの調査結果の詳細は付録 A に記載する。
表 4-7 調査対象とした情報セキュリティ関連の資格制度
ID
略称
正式名称
主催者
1
情報セキュリティス
ペシャリスト
情報処理技術者試験 情報セキ
ュリティスペシャリスト試験
独立行政法人情報処理推
進機構'IPA(
2
CAIS
公認情報セキュリティ監査人
3
CSA
公認システム監査人
4
ASA
システム監査人補
5
CSBM
Certified Security Basic Master
6
CSPM of Technical
Certified Security Professional
Master(CSPM) of Technical
特定非営利活動法人 日本
セキュリティ監査協会
'JASA(
特定非営利活動法人 日本
システム監査人協会
'SAAJ(
特定非営利活動法人 日本
システム監査人協会
'SAAJ(
SEA/J 'Security Education
Alliance/Japan(
SEA/J 'Security Education
Alliance/Japan(
7
8
CSPM of
Management
CISSP
9
SSCP
10
JGISP
11
CSIM
Certified Security Professional
Master(CSPM) of Management
International Information
Systems Security Certification
Consortium
Systems Security Certified
Practitioner
日本行政情報セキュリティプロ
フェッショナル
公認情報セキュリティマネージャ
ー 、Certified Information
71
SEA/J 'Security Education
Alliance/Japan(
(ISC)2 Japan
(ISC)2 Japan
(ISC)2 Japan
ISACA 東京支部
ID
略称
正式名称
主催者
12
GIAC
Security Manager
Global Information Assurance
Certification
SANS Institute
13
14
Security+
ISMES
15
ISMAS
16
ISFS
CompTIA Security+
Information Security
Management Expert based on
ISO/IEC 27002
Information Security
Management Advanced based
on ISO/IEC 27002
Information Security Foundation
based on ISO/IEC 27002
72
CompTIA Japan
EXIN
EXIN
EXIN
4.6. 情報セキュリティ関連資格制度、キャリアパス、処遇等の関係
4.6.1. 調査方法
4.5. で対象とした資格を対象として、キャリアパス、処遇の関係について、文献調査及びインタ
ビュー調査を行った。
4.6.2. 調査結果
4.6.2.1. IPA
(1) 資格制度について
独立行政法人情報処理推進機構'IPA(では情報処理技術者試験の中の一試験として、情報セ
キュリティスペシャリスト試験を行い、合格者の認定を行っている。
情報処理技術者試験は 1969 年にプログラマを対象とした「情報処理技術者認定試験」を当時
の通商産業省告示に基づき発足させ、1970 年に試験制度を法制化したものである。2009 年に産
業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会「人材育成ワーキンググルー
プ」の提言を踏まえた見直し・制度改定が行われ、従来は「テクニカルエンジニア'情報セキュリテ
ィ(試験」及び「情報セキュリティアドミニストレータ試験」であった情報セキュリティに関する試験は
「情報セキュリティスペシャリスト試験」に統合された。以下では 2009 年度春期以後の情報処理技
術者試験制度と情報セキュリティスペシャリスト試験の位置付けについて述べる。
2011 年度の情報処理技術者試験応募者アンケート結果34によると、2011 年度の試験までで、
情報セキュリティスペシャリスト試験の新制度になってからの累計受験者数は 110,614 人、合格率
は 15.2%'合格者数 16,820 人(となっている。
(2) 資格所得者のキャリアパス、処遇等との関係
情報処理技術者試験制度は人材育成ワーキンググループが提示した高度 IT 人材像に即した
キャリアと求められるスキルを示した共通キャリア・スキルフレームワークに基づいており、人材の
知識・技能に基づく 7 段階のレベルのうち、同試験は下位の 4 レベルに対応付けられている。レベ
ル 1 から 3 までは基本的に情報処理技術者試験の合格をもってレベルを判定し、レベル 4 は,情
報処理技術者試験の合格に加えて業務経験等で判定している。
34
http://www.jitec.jp/1_07toukei/toukei_h23.pdf
73
図 4-8 共通キャリア・スキルフレームワークの全体像35
共通キャリア・スキルフレームワークでは 3 つの人材類型と 7 つの人材像を想定している。情報
処理技術者試験は基本戦略系人材及びソリューション系人材の 5 つの人材像を対象としている。
図 4-9 高度 IT 人材の類型36
この人材類型に基づいて、情報セキュリティスペシャリスト試験は、テクニカルスペシャリストの
レベル 4 に位置付けられている。
35
http://www.jitec.jp/1_00topic/topic_20071225_shinseido_1.pdf
36
http://www.jitec.jp/1_00topic/topic_20071225_shinseido_1.pdf
74
図 4-10 情報処理技術者試験の体系37
情報セキュリティスペシャリストの役割と業務は次のように想定されている。
セキュリティ機能の企画・要件定義・開発・運用・保守を推進または支援する業務、もしくはセキ
ュアな情報システム基盤を整備する業務に従事し、次の役割を主導的に果たすとともに、下位者
を指導する。
(1) 情報システムの脅威・脆弱性を分析、評価し、これらを適切に回避、防止するセキュリティ
機能の企画・要件定義・開発を推進または支援する。
(2) 情報システムまたはセキュリティ機能の開発プロジェクトにおいて、情報システムへの脅
威を分析し、プロジェクト管理を適切に支援する。
(3) セキュリティ侵犯への対処やセキュリティパッチの適用作業など情報システム運用プロセ
スにおけるセキュリティ管理作業を技術的な側面から支援する。
(4) 情報セキュリティポリシーの作成、利用者教育などに関して、情報セキュリティ管理部門を
支援する。
2011 年度の情報処理技術者試験応募者アンケート結果38によると、2011 年度試験については、
情報セキュリティスペシャリスト試験の受験者のほとんど'有効回答の 97%(は社会人に占められ
37
http://www.jitec.jp/1_00topic/topic_20071225_shinseido_1.pdf
38
http://www.jitec.jp/1_07toukei/toukei_h23.pdf
75
ており、職種ではソフトウェア業'受験者全体の 41%(、情報処理・提供サービス業'23%(が多い。
受験者の従事する業務については、システム設計、'受験者全体の 19%(、プログラム開発'受験
者全体の 16%(、IT サービスマネジメント'システム管理・運用('受験者全体の 12%(の順に多い。
最終学歴については大卒者が最も多い'受験者全体の 59%(。
4.6.2.2. 'ISC(2
(1) 資格制度について
(ISC)2 全体では、CISSP、SSCP、JGIP 等約 10 の資格試験を実施している。代表的な資格は、
CISSP であり、米国の雑誌 Certification Magazine によれば数年前の時点で欧米系企業の CISO
の 80~85%が CISSP を取得していた。また、'ISC(2 によると、現在の日本人の CISSP 取得者は
1,300 人強である。
(2) 資格所得者のキャリアパス、処遇等との関係
2010 年末に、'ISC(2 が日本国内の CISSP 全会員に対して実施したアンケート'約 700 人が回
答(から、キャリアパス、処遇等について以下が読み取れることが、'ISC(2 へのインタビュー調査
によって判明した。
・ 取得者のほとんどがセキュリティビジネスの提供側である。
-
提供側取得者の業種は、情報サービス業(半数)、通信、情報通信機器ベンダ、金
融でほぼ 90%を占める。提供側:ユーザ側=8.5:1.5 位である。
・ 取得者は中堅クラスが多く、ある程度の実務を経た後に、セキュリティに関わる知識を幅
広く身に付けて、一段上を目指そうとする人が多い。
-
役職、経験年数は、7~8 年の係長、主任、または一歩手前のクラスである。回答
者のうち、部長クラスは 8%、経営層・役員は 2%であった。
・ 資格取得にあたり、直接的に処遇が上がる訳ではないが、資格によってスキルが上がる
ことで、よいポジションにつき、処遇が上がるケースもある。
-
資格取得にあたり、一次金を出しているベンダもあるが、給料が上がる訳ではな
い。ベンダ等では、社内のプロフェッショナル認定があり、その条件として CISSP も
含まれているため、CISSP を取得してプロフェッショナル認定を受けることで給与
が上がるケースはある。
-
資格が役に立ったという回答は、「社内の評価が上がった」「自信がついた」「実務
に役に立った」「お客様からの信頼が得られた」「相手の立場に合わせてセキュリ
ティの話ができるようになった」等であり、これらが正のスパイラルとして働くことで、
よりよい仕事ができ、ポジションが上がることで、給与が上がるということはある。
また、有識者に対するヒアリングにおいて、資格所得者のキャリアパス、処遇等について、以下
のコメントがあった。
76
・ セキュリティ分野自体が新しいため、情報セキュリティ分野で活躍している人材のキ
ャリアプランはまちまちであり、将来の絵が描きづらいのが実情である。
・ 米国では、日本よりセキュリティ市場が成熟しており、ユーザ企業の CISO は、CISSP
保有者が比較的多い。米国企業には、セキュリティに詳しい幹部を設置する文化が
ある。
・ 日本においても、ユーザ企業がセキュリティをトップダウンで考え、社内における情報
セキュリティ人材の位置付けを高めることが必要ではないか。専門家を置くことに意
義がある。日本においても、ユーザ企業の方に CISSP をもっと取得してもらいたい。
・ CISSP を今後さらに普及させていくため、資格保有者同士の横のつながりを大事に
しており、ネットワーキングの場として、SNS やメンバーを限定したセミナー等により
情報交換の場を活性化させる取り組みを行っている。資格提供側から、社会的に影
響力を持つ専門家グループ・コミュニティを形成することにより、さらに知名度を上げ、
資格取得者を増やしていきたいと考えている。
4.6.2.3. SANS Japan
(1) 資格制度について
SANS は、高度なテクニカル分野のスキルを有していることを証明するため、GIAC を実施してい
る。GIAC は、情報セキュリティの専門業務分野毎に 19 の認定に区分されており、知識だけではな
く、実務能力の有無を判定するものとなっている。
GIAC のカテゴリーと SANS の各トレーニングコースの対応を表 4-8 に示す。SANS コースの 500
レベルは Professional、400 レベルは Intermediate、300 レベルは Beginning と定義されている。各
トレーニングは、5~6 日の主要コースが 27 コース、1~4 日コースが 57 コース提供されている。
GIAC 取得のためにトレーニングは必須ではないが、一般的には、トレーニング受講期間'42 時
間(に加えて、平均 55 時間のレビューが必要'GSEC=SEC401 の場合、70 時間のレビューが必
要(である。
77
表 4-8 GIAC のカテゴリーと SANS トレーニングの対応表39
(2) 資格所得者のキャリアパス、処遇等との関係
GIAC は、企業において、採用時の能力把握やキャリアアップツールとして利用されている。
2008 年に SANS が実施した「Salary Survey」'数千人対象(によると、情報セキュリティに関わる
実務が 20 年以上の回答者の 40%以上が「とても重要」と答えた上位資格に、GIAC のフォレンジッ
クアナリスト'GCFA(、インシンデントハンドラー'GCIH(、ペネトレーション'GPEN(、イントリュージ
ョンアナリスト'GCIA(が含まれており、GIAC は経験を積んだ技術者に評価されている資格である
と言える。
また、Foote Partners「Quarterly IT Pay Update」によると、2008 年のリーマンショックの際、IT
関連資格保有者全体の報酬が 4%低下した中、情報セキュリティ関連の資格においては 2%上昇し
ており、特に、インシデントハンドラー'GCIH(保有者の需要が高かった。
SANS は、セキュリティキャリアをロードマップとして整理している'図 4-11(。
39
「SANS トレーニング・GIAC 認定資格のご紹介」 NRI セキュアテクノロジーズ株式会社、2012 年 3 月
78
図 4-11 SANS のセキュリティキャリアロードマップ40
また、有識者に対するヒアリングにおいて、資格所得者のキャリアパス、処遇等について、以下
のコメントがあった。
・ 「DoD Directive 8570.1M」に基づく人材育成でも、指令作成当初は CISSP 等の分野
横断的に基礎知識に関わる資格取得を求めていたが、改訂を重ね、現在では GIAC、
CISA 等の資格取得も求めるようになっている。このような背景の下、日本においても、
今後、専門領域に関する高度な資格が求められるようになると考えられる。
4.6.2.4. CompTIA
(1) 資格制度について
Security+は、セキュリティにおける構築、設計、運用、管理に関して保証するスキルであり、
CompTIA 全体の資格体系の中で基礎的に位置付けられる A+、Network+とともに、American
National Standards Institute(ANSI:米国規格協会) より受けている。CompTIA 認定資格は、ニー
40
http://sans-japan.jp/training/curriculum.html
79
ズの高い業務において共通して必要とされる実務能力を評価するために、試験作成委員会が中
心となり、ニーズ調査・職務分析・リサーチを経て、現場関係者の手で作成され、常に最新の状況
を反映するために定期的に更新されることが特徴的である。
(2) 資格所得者のキャリアパス、処遇等との関係
Security+の受験者は、ほとんどが企業に属しており、提供側:ユーザ企業=8:2 程度の割合
と推測される。提供側では、システムサービス部、IT サービス部、ソリューション部門等が中心で
あり、ユーザ企業ではほとんどが IT 部門に属していると見られる。年次は 30 代前半が多い。
受験者の 8 割程度に対して調査した結果によると、Security+取得のきっかけは、所属企業で取
得必須または奨励されているのが 54%、自己啓発が 39%、イベント・キャンペーンが 1%、その他が
6%であった。この値は、CompTIA の資格全体の比率と比べ、自己啓発が 19%多い。企業としては、
直接セキュリティに関わらない人材に対して受講必須・推奨とはしていないものの、情報セキュリ
ティに関連する業務を行う人材が、セキュリティに関する知識を身に付ける必要性を認識し、取得
している可能性が高いと考えられる。
Security+の取得者は、その後は、セキュリティ専門家の道を選び、CISSP を取得する人も多い。
Security+取得者は、CISSP 受験時に実務が免除になる等、次のキャリアに結び付けやすい資格
体系としている。
資格取得により、報奨金を出す企業や、上のポジションに付くための条件として資格取得が設
定されている企業もある。しかし、多くのケースでは、資格取得により直接処遇が上がるというより、
資格取得により業務のカバレッジ範囲が広がることで、結果的にポジションが上がり、処遇が上が
るというケースが多い。
4.6.2.5. その他の資格試験に関する状況
JASA では、認定者の属性等について詳細は把握していないが、認定者の多くは、外部監査を
請け負う専門組織、あるいは組織内の監査部門等に属しており、情報セキュリティ監査制度に対
する知識と経験を有するとともに、証された能力として、監査計画を立案し、監査計画に基づいて
監査を実施し、報告書を作成し、監査結果を被監査主体に報告する役割を行うことができる。資
格取得のメリットとしては、官公庁等の情報セキュリティ関連に関わる委託事業の入札要件を満
たすことができる。
SAAJ によると、公認システム監査人やシステム監査人補の認定者は金融機関の監査部門が
多く、その他内部監査、品質管理などが多い。役職は、大きい組織では係長から課長クラス、小さ
い組織では部門長クラスと推定される。認定を受けたきっかけは、業務上の必要からが一番多く、
入札要件だから等の理由もある。公認システム監査人制度は、現有する能力・スキルを認定する
ものなので、認定に臨んで向上する部分は尐ないと思われるが、どこでも通用するシステム監査
能力が見られるため、1 つの企業内でキャリアを積んできた人等は、全般的なシステム監査能力
80
を磨くきっかけとなっている。認定者は、組織内外で、システム監査能力について大きな箔付けに
なっていると考えられ、専門職としての一定の位置には到達することで、その後、監査役等への登
用も見込まれる。また、独立した場合のコンサルタントとして活躍するケースもある。
SEA/J では、資格取得者の属性、キャリアパス等は把握していない。
ISACA によると、認定者の属性は以下の通りである。
・ CISA : 一般企業の場合は、内部監査部門、主任クラス、係長、課長レベルが多い
が、部長クラスや副社長クラスもある。分野はシステム監査や内部統制である。監査
法人の場合は、役職は全クラスに渡り、パートナーもいる。分野は、システム監査や
内部統制監査等である。一般の監査人が CISA を取って IT 監査を行う場合と、IT 部
門出身者が CISA を取得して、企業の監査で IT を見るサブとなったりする場合もある。
コンサルタントの場合、コンサルや外部監査サービス部門が多く、役職も全クラスに
渡る。分野は、IT に関する監査への事前準備のコンサルや技術サービスである。
・ CISM : 一般企業の場合は、IT 部門'IT 管理部門、運用部門、認証サポート(が中
心で、役職は主任クラスから幹部まで、幹部の場合は CIO や CISO もいる。コンサル
タントの場合、コンサル部門、係長、課長クラスが中心で、分野は、IT に関するセキュ
リティ分野のコンサルや PDCA、認証取得サポート等である。
また、認定を受けようとしたきっかけは以下の通りである。
・ CISA : 資格取得によって監査人としてのスキル認定となるので、一般企業の中
では、外部の監査人と対峙できるという点で資格の取得が奨励された。また、監査
企業では、監査の際に IT が監査できるというスキルを示すことになり、監査報告書
には、CISA の肩書きがあることで、監査報告書の信用性が増す効果があった。特
に、米国では、SOX の内部統制の場合、IT 統制を監査できることが強く求められ、
CISA はその重要な資格とみなされている。IT 監査人が CISA を取得すると、年収
が 8 万ドルから 10 万ドルになるケースがあった。日本では、国や自治体の公募案
件では、監査人の資格として、要請される資格となっているため、資格取得の人気
が高い。
・ CISM : 企業の中で、情報セキュリティの管理・運営ができることを示す資格とみ
なされている。ただし、マネジメントなので、技術資格である CISSP ほどの求心力
はない。中堅以上の企業ではグローバルに情報セキュリティマネジメントが重視さ
れており、このマネジメントを的確に運営できる観点から、企業内部の担当者には
資格取得の誘因が強く働く。米国の場合、管理者が取得するケースが多い。日本
では、日本語での資格試験が受けられるが、企業での評価が曖昧であるため、あ
まり評価が高くない。
認定で向上した能力・スキルは、CISA では、IT 全般の知識、IT 監査の方法論と監査技法、IT
81
監査の実際の進め方等であり、CISM では、情報セキュリティの管理一般'ポリシーや管理策の策
定(、実際の管理等とされている。認定者のキャリアパスとしては、専門家としての位置付け、評
価を得ることは大きく、資格取得後の処遇は、将来の給与やランクなどに関係する。キャリアとし
ては、監査人'内部監査部門の監査人や監査法人の監査人(の場合、CISA を取得して専門性の
証明とする場合と、IT 部門のエンジニアや運用者が監査知識を得るために CISA の勉強をして、
企業の内部監査を実施する場合が多い。コンサルティング企業が、社員に CISA の取得をさせて、
コンサルティング能力を高めるとともに、監査関連ビジネスの受注に結び付ける場合もある。
また、有識者によると、日本において、情報セキュリティ人材が企業で活躍できるか否かと資格
の有無は関係ないのが現状であり、業界で活躍している有名人と呼ばれる情報セキュリティ人材
は、後から CISSP、監査人等の資格を取っているケースが多いという指摘があった。
別の有識者からは、情報セキュリティ人材については、その人材の働きでセキュリティ問題がな
いのか、そもそも何も発生していないのか、人材の貢献を評価することが難しいため、企業におい
て経営者から評価されにくいのが現状である。そのため、外部評価が有効であろうが、現在、日
本の経営者がわかるような外部評価は、情報処理技術者試験しかなく、一度取得したら終わりと
いう特性上、キャリアアップの点で有効に活用されていない、という指摘もあった。
82
4.7. 大学及び大学院における情報セキュリティカリキュラムならびに学位
我が国及び諸外国'米国、韓国、英国、オランダ、ドイツ(の大学及び大学院における情報セキ
ュリティカリキュラムならびに学位について調査を行った。
4.7.1. 調査方法
情報セキュリティに特化したカリキュラムを保有し、著名な大学・大学院を中心に調査を実施し、
そのカリキュラムの特徴を IT Security Essential Body of Knowledge (EBK)と比較することで確認し
た。
以下の条件から、調査対象を選定した。
1.
国際的に著名な理工系大学
2.
情報セキュリティ・サイバーセキュリティの教育に関して 2011 年 1 月~2012 年 3 月の期間に
ニュースとして取り上げられた大学
3.
検討会で挙げられた大学
2 のニュース検索については、図 4-12 に示すように、ニュースデータベースとして、LexisNexis 社
の nexis.com41を利用した。また、検索結果のうち、産官学の連携事例については、4.8. に記載す
る。
ニュース
DB(LexisNexis)を
検索
キーワード:
“cybersecurity” + “education” 等(Cybersecurity系)
“information security” + “education” 等'Information security系)
期間: 2011/1~2012/3
• 994件
(Cybersecurity系)
• 1,000件
(Information
security系)
選定'有力校・産
官学連携等(
調査
対象
図 4-12 情報セキュリティ・サイバーセキュリティの教育に関して 2011 年 1 月~2012 年 3 月の期
間にニュースとして取り上げられた大学からの選別フロー
41
“Leverage the power of LexisNexis to get access to 20,000 news sources, 600 business intelligence sources,
2,500 public records sources and 600 biographical sources—all many more than our closest competitors.”
Nexis.com, http://www.lexisnexis.com/en-us/products/nexis.page
83
4.7.2. 調査結果
調査対象として、表 4-9 に示す大学・大学院を選定した。
表 4-9 調査対象とした大学・大学院
ID
名称
国
1
情報セキュリティ大学大学院
日本
2
Stanford Cybersecurity Center
米国
3
Massachusetts Institute of Technology (MIT) Geospatial Data
米国
Centre
4
Carnegie Mellon University (CMU) CyLab 、 Information
米国
Networking Institute (INI)
5
Purdue University CERIAS
米国
6
Korea University graduate school of information security
韓国
7
Royal Holloway University of London
英国
8
George Mason University
米国
9
James Madison University
米国
10
The University of Twente
オランダ
11
The Institute for Information Infrastructure Protection
ドイツ
(Dartmouth)
A1
サイバー大学
日本
特に、ニュース記事から得られた調査対象の傾向として、次のことが言える。
•
米国の事例が他地域と比べ多い
•
サイバーセキュリティの事例が多い
この傾向については、大学・大学院において昨年度ニュースになった教育プログラムとして、サ
イバーセキュリティを主軸にしたプログラムが多かったことに関係があると推測される。EU などの
地域での事例が尐なかったことは、例えば EU では理工学系の情報セキュリティ研究に関する教
育が中心である可能性が考えられる。理工学系の教育は、外部の研究資金を獲得し、その資金
を使って研究者を育てるという傾向が強いと考えられる。これに対して、サイバーセキュリティは、
研究組織以外で働く人材を組織横断で育成する傾向にあり、新規のプロジェクトも多く、ニュース
記事にされやすかったものと推測される。
本調査では、検討会の意見を踏まえ、EU の事例も追加した。なお、調査結果の詳細は付録 B
に示す。
84
調査対象の大学及び大学院における情報セキュリティカリキュラムを IT Security Essential
Body of Knowledge (EBK)と比較した。その結果、同カリキュラムの特徴として、『インシデント管
理』、『IT システム運用管理』、『アクセス管理』、『ネットワークセキュリティ』、『規制・標準・遵守』に
ついては、今回調査対象とした大学・大学院の多くのカリキュラムに含まれる傾向がある。
また、大学院の修士課程で取得できる学位については、表 4-10 に示す通り。
表 4-10 調査対象の大学・大学院で取得できる情報セキュリティに関係した学位
大学・大学院
国
修士課程の学位
情報セキュリティ大学院大学
Stanford Cybersecurity Center
日本
米国
修士'情報学(
情報セキュリティに特化した学位はない(6
つの講義を提供するのみ)
MIT’s Geospatial Data Centre
米国
情報セキュリティに特化した学位はない
(社会人向け短期集中、法律系大学院と
の共同講義等を提供する)
CMU CyLab、Information Networking
Institute (INI)
米国
Purdue University CERIAS
Korea University Graduate School of
Information Security
米国
韓国
MSISTM (The Master of Science in
Information Security Technology and
Management)
Master of InfoSec
Master of cyber security
Royal Holloway University of London
George Mason University
英国
米国
James Madison University
The University of Twente
米国
オランダ
TU-Darmstadt
ドイツ
85
MSc in Information Security
MSISA (Master of Science Information
Security and Assurance)
MBA (InfoSec)
SPECIALIZATION COMPUTER
SECURITY of the master Computer
Science
Master’s Degree in IT Security
表 4-11 大学及び大学院における情報セキュリティカリキュラムと米国 DHS の IT Security Essential Body of Knowledge (EBK)42との比較
IT Security Essential Body of Knowledge (EBK)
情報セキュリ Stanford
MIT’s
CMU CyLab、 Purdue
ティ大学院大 Cybersecurit Geospatial Information University
学
y Center
Data Centre Networking CERIAS
大学・
大学院
Institute
(INI)
修士'情報学(課
程
名称
(日本語)
主な項目
コース
Royal
George
Holloway
Mason
University of University
London
James
Madison
University
M aster of
M S c in
M B A (InfoS ec) SPECIALIZATION Master’s
コース
COM PUTER
Degree in IT
同センターの6 つ 社会人向け短期
M S IS T M コース
の講義
(IN I, EC E, C S の InfoS ecコース
cyber security Inform ation
準必修も取得に
コース
集中講義
は必要だが、下
記からは除く)
M aster of
Korea
university
graduate
school of
information
security
S ecurityコース
M S IS A コース
The
TUUniversity of Darmstadt
Twente
SECURITY of the Securityコース
master
Computer
Scienceコース
データセキュリ
アクセスコントロール、プライバ
ティ
シー
科学捜査分析、分析過程の管理
Forensics
デジタルフォレ
ンジクス
Enterprise
エンタープライ
代替施設、業務継続性
Continuity
ズ継続性
Incident
インシデント管
理
コンピュータセキュリティ、リスク
管理
IT Security
IT セキュリティ
エンドユーザーセキュリティ教育、
Training and
トレーニングと
認知
IT システム運用
役割ベーストレーニング
Data Security
Digital
Management
IT Systems
Operations and 管理
アクセス管理、バックアップ ・ネッ
トワークセキュリティ
Network
ネットワークセ
Security and
キュリティ
生体情報による認証、暗号化技術
Personnel
人材セキュリ
ティ
人物調査、守秘義務
Security
Physical and
物理的・環境的
アクセスコントロール、テロ
Environmental セキュリティ
Procurement
調達
Regulatory and 規制・標準・遵
許容リスク、調達ライフサイクル
アセスメント、監査
Standards
守
Risk
リスク管理
許容リスク、年間損失予測
戦略管理
調達管理、予算プロセスと財務管理
System and
システム・アプ
認定、アプリケーションと技術セ
Application
リケーションセ
キュリティ管理
Management
Strategic
Management
キュリティ
42
Information Technology (IT) Security Essential Body of Knowledge (EBK):は、United States Department of Homeland Security(DHS)により公表された知識体系'フレームワーク(
である。日本語訳は、NTTDATA DIGITAL GOVERNMENT(http://e-public.nttdata.co.jp/f/repo/508_m071025/m071025.aspx)の訳を参考とした。また、特徴を比較するため、修士
課程に限定した。表中の丸は、公開情報からカリキュラムに含まれると判断した項目を示す。空欄は公開情報からはカリキュラムに含まれないと判断される項目を示す。
86
4.8. 大学及び大学院における産学官連携による情報セキュリティ人材育成に対する
取り組み
我が国及び諸外国'米国、韓国、欧州、英国(における産学官連携による情報セキュリティ人材
育成に対する取り組みについて調査を行った。
4.8.1. 調査方法
大学・大学院における産学官連携による情報セキュリティ人材育成に対する取り組みについて、
4.6. 節の調査の過程で得られた情報を中心に整理する。
4.8.2. 調査結果
調査の結果、特徴的な取り組みとしては、次の通りである。'概要は表 4-10、詳細は付録をそ
れぞれ参照のこと(。
•
米国では、サイバーセキュリティに関係する学際的な事例が目立つほか、FBI や DoD など
の公的機関も大学や民間の人材育成システムとの連携を試みている。
•
欧州では、Framework Programme 7 で SysSec がシステムセキュリティの人材育成を扱う
ほか、Global Cyber Security Center (GCSEC)や、EIT ICT Labs Master School など、各国
の大学間でリソースを共有した人材育成を実施する例が見られる。
•
韓国では、2009 年の”7.7 DDoS”攻撃を踏まえ、大学・大学院におけるサイバーセキュリティ
教育に力を入れており、優秀な人材を軍に引き込む動きが見られる。
調査結果の詳細は、付録 C に記載する。
表 4-12 調査対象とした大学・大学院の事例
ID
名称
国
概要
1
EU の 第 7 次 研 究 枠 組 み 計 画
SysSec (2010-2014)
欧
州
2
MIT, University of Wales to develop
training program for cybersecurity
experts
米
国・
英
国
3
FBI
米
EU のシステムセキュリティに関する Network of
Excellence (NoE) 構築を目指した EU の第 7 次研
究枠組み計画の取り組みである。産学が連携し
て、大学のカリキュラムを作成する動きも見られ
る。
MIT と University of Wales がサイバーセキュリティ
教育について提携して取り組んでいる。英国–米
国の連携という面も注目されている。関係イベン
トには、国連、DoD、Microsoft、IBM や他大学の
教授なども出席している。
米国司法省が、36 人の FBI エージェントを調査し
と
UTICA
COLLEGE
87
ID
名称
CYBERSECURITY
CENTER との連携
国
概要
TRAINING
国
た結果、1/3 以上がサイバー犯罪と闘う知識がな
いとされた。この調査を踏まえ、米国上院議員が
FBI に UTICA COLLEGE CYBERSECURITY
TRAINING CENTER を活用して訓練することを提
案した。
ITEP は、米国国防総省(DoD)と民間企業の間で
実施されている人材交流パイロットプログラムで
ある。1 対 1 の人材交流というよりも、組織間の知
識、経験、スキルの交換を目標としている。
CyLab (CMU:)、CSAIL (MIT)、CERIAS (Purdue
University)という情報セキュリティの研究におけ
る 代 表 的 な 大 学 の 研 究 機 関 は 、 Northrop
Grumman の『Northrop Grumman Cybersecurity
Research Consortium』という枠組みで、サイバー
脅威の対処に関わる研究を 2009 年から現在に
至るまで継続している。Northrop Grumman(産)
と、情報セキュリティの有力な大学研究機関(学)
による産学連携の事例。
マサチューセッツ州における産官学連携の取り
組みである。Advanced Cyber Security Center
(ACSC)が MITRE 社内に開設され、同州の大学
が教育面で連携して支援している。サイバーセキ
ュリティの学位授与、コンテストを予定している。
IA(Information Assurance)教育に係る全米規模
の産官学のコンソーシアム。米国 NSF の出資に
より運営されている。Community College を中心
として、小学校から大学院までの情報セキュリテ
ィに関する教育推進する取り組みである。
Harvard Kennedy School と MIT が、複数のサイバ
ーセキュリティと政策について共同で研究を実施
している。サイバーセキュリティでは、学際的な提
携が進められている。
ローマに新設された国際的なセンターであり、
Poste Italiane が出資している。George Mason
University( 米 国 ) 、 Department of Homeland
Security United States Secret Service(米国)、
Universal Postal Union(国連機関)はパートナーと
して MOU(覚書)を結び、講義の作成やワークショ
ップなど教育・トレーニングの面で連携している。
カ リ キ ュ ラ ム は 提 携 大 学 で あ る 英 国 Royal
Holloway University of London のものを利用して
おり、GCSEC と Royal Holloway University of
4
DoD
の
Technology
(ITEP)
The
Information
Exchange Program
米
国
5
CMU 、 MIT 、 Purdue (Northrop
Grumman Cybersecurity Research
Consortium)の共同研究プロジェク
ト
米
国
6
Advanced Cyber Security Center
の開設
米
国
7
CyberWatch Consortium
米
国
8
Harvard×MIT: Cyber Leadership、
Project Minerva
米
国
9
Global Cyber Security Center –
GCSEC
欧
州
88
ID
名称
国
10
KAIST Opens Cyber
Research Center
Security
韓
国
11
ISS スクエア
日
本
12
IT Keys
日
本
概要
London の Master を取得できる。
韓国を機能不全に陥れた 2009 年の”7.7 DDoS”
を踏まえ、Korea Advanced Institute of Science
and Technology (KAIST)が、2011 年 2 月に、
Cyber Security Research Center (CSRC)を開設
し た 。 CSRC に お い て 、 National Intelligence
Service や軍と協力し、セキュリティ専門家を育
てることを目的としている。
情報セキュリティ大学院大学、中央大学、東京大
学、国立情報学研究所、ほか企業・研究機関 11
社の産学連携による研究と実務を融合した世界
最高水準の人材を育成するためのプログラム。
主に大学院修士課程の学生を対象とし、「高度
情報セキュリティ実践リーダー」や「高度情報セキ
ュリティ研究・開発者」を育成することを目標とし
ている。
奈良先端科学技術大学院大学、京都大学、大阪
大学、北陸先端科学技術大学院大学、情報通信
研究機構、情報セキュリティ研究所、JPCERT コ
ーディネーションセンター、NTT コミュニケーション
ズの産学連携による高度かつ実践的な情報セキ
ュリティに係る人材を育成するためのプロジェク
ト。主に大学院修士課程の学生を対象とし「最高
情報セキュリティ責任者」や「情報セキュリティ担
当者」を育成することを目標としている。
89
4.9. 情報セキュリティ関連コンテスト・表彰の実施状況
我が国及び諸外国'米国、韓国、英国(における情報セキュリティ関連コンテスト・表彰について
調査を行った。
4.9.1. 調査方法
情報セキュリティに関する競技会について、国内外において開催される事例を調査した。特に
国外の競技会に関しては、規模の大きさ、主催や後援に政府が関与していることを考慮して調査
対象を選んだ。
4.9.2. 調査結果
我が国においては、実践的なネットワークセキュリティに関する技術知識を問う SECCON CTF、
企業ネットワークでのインシデント対応に関するコンサルテーションを想定した情報危機管理コン
テスト、ウイルス等のマルウェアを分析し聴衆に解説するマルウェア対策研究人材育成ワークシ
ョップ MWS Cup などのコンテストが開催されている。
米国においては、連邦政府により US Cyber Challenge という取り組みが行われている。これは
複数のセキュリティ・コンテストとキャンプを組み合わせた人材育成プログラムであり、高校生から
大学生を中心にネットワーク運用や情報セキュリティに関する実践的な能力を持つ人材の発見と
育成が推進するものである。
英国においては、大規模なセキュリティ・コンテスト Cyber Security Challenge UK が政府と企業
の協力のもとで行われており、若年層の高度セキュリティ人材の発掘と就業に活用されている。
韓国においては、CODEGATE という情報セキュリティ啓発と就業推進のイベントの一部として
競技会 CODEGATE YUT Challenge が開催されている。国際的なセキュリティ・コンテストであり、
政府の支援のもとで人材開発と企業への採用等に活用されている。
これらの調査結果の詳細については付録 D に示す。
90
4.10. 情報セキュリティ教育プログラム及びキャンプの実施状況
我が国における情報セキュリティ教育プログラム及びキャンプの実施状況について調査を行っ
た。
4.10.1. 調査方法
国内の情報セキュリティ教育プログラムとキャンプについて実態を調査した。教育プログラムと
しては特に情報セキュリティ関する資格の取得や継続を目的とした研修プログラムを対象とし、資
格毎に整理することとした。
また、若年層を対象とした情報セキュリティプログラムとして提供されているセキュリティ&プロ
グラミングキャンプについて調査を行った。
4.10.2. 調査結果
国内の情報セキュリティ教育プログラムとしては、資格の取得・継続に係る研修コースが提供
されている。それらの資格を対象に実態について調査を行った。教育サービス事業者により提供
される情報セキュリティに関する資格の教育プログラムは、概ね次のようなコースに整理できる。
・ 基礎的な情報セキュリティ技術に関する知識を修得するコース
・ 専門的な情報セキュリティ技術に関する知識を修得するコース
・ 情報セキュリティマネジメントに関する知識を修得するコース
・ 審査員・監査人等を教育するためのコース
IPA により主催されるセキュリティ&プログラミングキャンプは、就業前の若年層を対象としてお
り、情報セキュリティに関して高度な技術を修得する人材を育成する上で一定の成果を挙げてい
る。今後は地方大会の開催やコンテストと連携させた統合的な人材育成計画とすることが検討さ
れており、高度な情報セキュリティ人材の育成に高い効果が得られることが期待される。
これらの調査結果の詳細については付録 E に示す。
91
5. まとめ
本調査は、災害発生時における情報システムのディペンダビリティを確保する情報セキュリティ
技術等に関する課題等を検討し政府の資料作成の参考にすることを目指し、災害発生時におけ
る情報システムのセキュリティを損なう事象の洗い出し、事業継続計画'BCP(を考慮するために
必要な対策と課題の整理、災害発生時に情報共有等を確実かつ正確に行い合意形成を行うため
のリスク・コミュニケーションの指針のまとめ、及び情報セキュリティ技術開発や適切な情報セキュ
リティ対策を支える人材育成の状況に関する調査を行った。
第 1 章では、災害発生時における情報システムへの影響と情報システム利用・運用時の留意
点、情報システムのセキュリティ機能への影響や情報システムの扱いにおける事業継続計画に
関する検討項目等を取りまとめた。
第 2 章では、第 1 章の結果を踏まえ、災害時に影響を受けるセキュリティ機能として、BCP、情
報システムのそれぞれに関する課題と対策を整理した。
第 3 章では、災害発生時における、IT システムに関わるリスクに関するリスク・コミュニケーショ
ンについて実態と課題をまとめた。
第 4 章では、情報セキュリティ人材育成の観点から、災害時に情報セキュリティ対策を担う人
材像をまとめるとともに、企業の取り組み、資格制度、大学・大学院のカリキュラム、コンテスト等
について情報を整理した。
92
付録 A. 『4.5. 情報セキュリティ関連の資格制度の概要』の調査結果
A.1. 情報セキュリティスペシャリスト
略称
正式名称
主催者
想定する人材
取得方法
取得の際に求める知
識分野
実務経験
実習等の有無
更新制度の有無
受験者
取得者数
費用'会員、非会員(
情報セキュリティスペシャリスト
情報処理技術者試験
情報セキュリティスペシャリスト試験
独立行政法人情報処理推進機構 IPA
高度IT人材として確立した専門分野を持ち、情報システムの企画・要件定
義・開発・運用・保守において、情報セキュリティポリシーに準拠してセキュリ
ティ機能の実現を支援し、または情報システム基盤を整備し、情報セキュリテ
ィ技術の専門家として情報セキュリティ管理を支援する者
多肢選択式 25 問 記述式 4 問、論述式 2 問
・ 情報システムまたは情報システム基盤のリスク分析を行い、情報セキュリ
ティポリシーに準拠して具体的な情報セキュリティ要件を抽出できる。
・ 情報セキュリティ対策のうち、技術的な対策について基本的な技術と複数
の特定の領域における応用技術を持ち、これらの技術を対象システムに適
用するとともに、その効果を評価できる。
・ 情報セキュリティ対策のうち、物理的・管理的な対策について基本的な知
識と適用場面に関する技術を持つとともに、情報セキュリティマネジメントの
基本的な考え方を理解し、これを適用するケースについて具体的な知識を持
ち、評価できる。
・ 情報技術のうち、ネットワーク、データベース、システム開発環境について
基本的な知識を持ち、情報システムの機密性、責任追跡性などを確保する
ために必要な暗号、認証、フィルタリング、ロギングなどの要素技術を選択で
きる。
・ 情報システム開発における工程管理、品質管理について基本的な知識と
具体的な適用事例の知識、経験を持つ。
・ 情報セキュリティポリシーに関する基本的な知識を持ち、ポリシー策定,
利用者教育などに関して、情報セキュリティ管理部門を支援できる。
・ 情報セキュリティ関連の法的要求事項等に関する基本的な知識を持ち、
これらを適用できる。
なし
なし
なし
208,837 名 平成 24 年度春期試験応募者数
2,010,538 名 '平成 24 年 3 月(
5,100 円
付-1
A.2. CAIS
略称
正式名称
主催者
想定する人材
取得方法
取得の際に求める知識分野
実務経験
実習等の有無
更新制度の有無
受験者
取得者数
費用'会員、非会員(
CAIS
公認情報セキュリティ監査人
特定非営利活動法人 日本セキュリティ監査協会
JASA
経済産業省により施行された「情報セキュリティ監査制度」のもと、「公
正かつ公平な情報セキュリティ監査」の実施に関わる者
協会認定研修トレーニング受講・修了試験
'監査制度の知識(
監査経験確認試験に合格
監査人、主任監査人、主席監査人または協会会員からの推薦
・情報セキュリティ監査概論
・情報セキュリティ監査の基準
・情報セキュリティ監査の技法
・情報セキュリティ監査のプロセス
情報技術分野で尐なくとも 4 年以上の業務経験があること。そのうち、
情報セキュリティ関連分野で尐なくとも 2 年以上の業務経験があるこ
と。過去 3 年以内に最低 4 回のべ 20 日間の監査メンバーとしての監
査実施経験があること。
なし
有効期間 3 年毎に、資格及び専門性の更新を行う。
監査実績・監査人の学習・社会貢献の活動によりポイントが付与され、
年間 20 ポイント、3 年間合計 120 ポイントの獲得が必要。
非公開
主任監査人 83 名、監査人 219 名、情報セキュリティ監査人補 488 名、
情報セキュリティ監査アソシエイト 420 名'2012 年 3 月(
研修修了試験 5,040 円
トレーニング修了試験 10,080 円
監査経験確認試験 10,080 円
※認定研修トレーニング別途必要
付-2
A.3. CSA
略称
正式名称
主催者
想定する人材
取得方法
取得の際に求める知識分野
実務経験
実習等の有無
更新制度の有無
受験者
取得者数
費用'会員、非会員(
CSA
公認システム監査人
特定非営利活動法人 日本システム監査人協会
SAAJ
「システム監査人補」を対象に、2 年以上のシステム監査の実務経験を
審査し、「公認システム監査人」に認定され、協会に登録される者
認定申請書に実務経験を裏付ける小論文(A4 版・2,000 字程度)を添付
して提出し、公認システム監査人となるに必要な資質と実務経験の審
査ならびに面接試験を受ける
・認定審査は、小論文に基づき公認システム監査人となる実務経験を
有していることを審査する
・面接試験は、公認システム監査人となるに必要な資質、倫理規定の
理解、実務経験を、複数の試験委員により確認する
申請前直近 6 年間のシステム監査実務経験'実務経験みなし期間(が
2 年以上あること
なし
有効期限 2 年毎に、継続教育の受講などにより認定の更新が可能
非公開
415 名'2011 年 12 月(
21,000 円'会員(、31,500 円'非会員(
付-3
A.4. ASA
略称
正式名称
主催者
想定する人材
取得方法
取得の際に求める知識分野
実務経験
実習等の有無
更新制度の有無
受験者
取得者数
費用'会員、非会員(
ASA
システム監査人補
特定非営利活動法人 日本システム監査人協会
SAAJ
システム監査技術者試験の合格者である「システム監査技術者」が対
象。一定の継続教育を受けることを条件として「システム監査人補」に
認定され、協会に登録される者
特別認定対象資格'中小企業診断士、公認会計士等(については、特
別認定講習の該当科目で一定以上の成績を修めることにより、システ
ム監査技術者試験の合格者と同等の扱いとなる
認定申請書に「今後、継続教育要件を満たす旨」の宣誓書を添えて提
出する
・情報システムに関する知識
・システム監査に関する知識
不要
なし
有効期限 2 年毎に、継続教育の受講などにより認定の更新が可能
非公開
193 名'2011 年 12 月(
10,500 円'会員(、15,750 円'非会員(
付-4
A.5. CSBM
略称
正式名称
主催者
想定する人材
取得方法
取得の際に求める知識分野
実務経験
実習等の有無
更新制度の有無
受験者
取得者数
費用'会員、非会員(
CSBM
Certified Security Basic Master
SEA/J 'Security Education Alliance/Japan(
情報セキュリティに関係する初級技術者及びシステム関係企業の従
業員
SEA/J 情報セキュリティ技術認定プログラム 65 分
・情報セキュリティマネジメント
・セキュリティ運用
・インフラセキュリティ
・不正アクセス
・ファイアウォール
・侵入検知
・アプリケーションセキュリティ
・OS セキュリティ
・認証
・プログラミング
・不正プログラム
・暗号
・電子署名
・PKI
・セキュリティプロトコル
・法令・規格
不要
なし
なし
非公開
5860 名'2012 年 2 月(
99,750 円'テキスト・試験含む受講料(
※受験のみの場合は 15,750 円
付-5
A.6. CSPM of Technical
略称
正式名称
主催者
想定する人材
取得方法
取得の際に求める知識分野
実務経験
実習等の有無
更新制度の有無
受験者
取得者数
費用'会員、非会員(
CSPM of Technical
Certified Security Professional Master(CSPM)OF Technical
SEA/J 'Security Education Alliance/Japan(
システム/セールスエンジニア、情報システム管理者、IT コンサルタン
ト
SEA/J 情報セキュリティ技術認定プログラム 65 分
・脅威
・OS Windows
・OS UNIX
・アプリケーション DNS
・アプリケーション メール
・アプリケーション Web
・ファイアウォール設計
・IDS 運用
・VPN
・PK
不要
なし
なし
非公開
632 名'2012 年 2 月(
204,750 円'テキスト・試験含む受講料(
※受験のみの場合は 15,750 円
付-6
A.7. CSPM of Management
略称
正式名称
主催者
想定する人材
取得方法
取得の際に求める知識分野
実務経験
実習等の有無
更新制度の有無
受験者
取得者数
費用'会員、非会員(
CSPM of Management
Certified Security Professional Master(CSPM)OF Management
SEA/J 'Security Education Alliance/Japan(
情報システム管理者、セキュリティ監査員、法務担当
SEA/J 情報セキュリティ技術認定プログラム 65 分
・情報セキュリティとは何か
・情報セキュリティの構成要素
・脅威と脆弱性
・情報セキュリティマネジメント
・リスクの概念
・リスク分析の概要
・詳細リスク分析
・リスクマネジメント
・情報セキュリティポリシーの概要
・情報セキュリティポリシーの策定
・情報セキュリティ監査制度
不要
なし
なし
非公開
488 名'2012 年 2 月(
141,750 円'テキスト・試験含む受講料(
※受験のみの場合は 15,750 円
付-7
A.8. CISSP
略称
正式名称
主催者
想定する人材
取得方法
取得の際に求める知識分野
実務経験
実習等の有無
更新制度の有無
受験者
取得者数
費用'会員、非会員(
CISSP
International Information Systems Security Certification Consortium
(ISC)2 Japan
企業等の組織における情報セキュリティ関連業務に従事する実務家・
専門家'情報セキュリティ及びシステム担当役員・管理職・担当者、関
連製品・サービスの営業職、コンサルタント、エンジニア等(。情報セキ
ュリティを包括的・俯瞰的に理解し、様々な視点で統合的にセキュリテ
ィ管理を実施することを目指す者
受験と認定
•認定試験'250 問・4 択・6 時間(において 1,000 点中 700 点以上で認
定試験に合格していること
•エンドースメント'推薦状(に提出すること
•無作為に行われる業務経験に関する監査に合格すること
・CISSP CBK'Common Body of Knowledge:共通知識分野(10 ドメイ
ン
-情報セキュリティとリスクマネジメント
-セキュリティアーキテクチャと設計
-アクセス制御
-アプリケーションセキュリティ
-運用セキュリティ
-暗号学
-通信とネットワークのセキュリティ
-物理'環境(セキュリティ
-事業継続と災害復旧の計画法、規則、コンプライアンス、捜査
CISSP CBK10 ドメインのうち、2 つもしくはそれ以上のドメインにおいて
5 年以上の「プロフェッショナルとしての」業務経験があること。'大卒者
は 4 年間の経験で可(
なし
3 年間で 120 ポイントの継続教育単位'CPE クレジット(を取得
非公開
79,967 名'日本 1,240 名( '2012 年 3 月時点(
68,250 円'試験料(、12,000 円'年会費(、446,250 円'セミナー5 日間(
付-8
A.9. SSCP
略称
正式名称
主催者
想定する人材
取得方法
取得の際に求める知識分野
実務経験
実習等の有無
更新制度の有無
受験者
取得者数
費用'会員、非会員(
SSCP
Systems Security Certified Practitioner
(ISC)2 Japan
非セキュリティ専門家で、セキュリティ知識を必要とされる職種の者'情
報システム監査人、アプリケーションプログラマ、システム・ネットワー
ク・データベースアドミニストレータ、システムアナリスト、システム・ネッ
トワークオペレーターなど(
・SSCP 認定試験'125 問多肢選択式'四者択一(・3 時間(
での合格
・実務経験が事実であることの証明及び「(ISC)2 倫理規約'Code of
Ethics(」'試験申込書セクション 3 参照(に合意すること
・SSCP CBK'Common Body of Knowledge:共通知識分野( 7 ドメイン
-アクセス制御
-分析とモニタリング
-暗号学
-不正なコード
-ネットワークと通信
-リスク、対応、復旧
-セキュリティの運用と管理
SSCP CBK7 ドメインのうち、最低 1 ドメインに関連した業務経験が 1 年
以上あること
なし
3 年間で 60 ポイントの継続教育単位'CPE クレジット(を取得
非公開
-
31,500 円'受験料(、8,500 円'年会費(、157,500 円'セミナー費用(
付-9
A.10. JGISP
略称
正式名称
主催者
想定する人材
取得方法
取得の際に求める知識分野
実務経験
実習等の有無
更新制度の有無
受験者
取得者数
費用'会員、非会員(
JGISP
日本行政情報セキュリティプロフェッショナル
(ISC)2 Japan
CISSP 認定資格がカバーしていない日本独自の情報セキュリティ要件
について包括的に網羅し、特に行政組織の事業遂行に関わる者
・認定試験'125 問多肢選択式'四択(・3 時間(での合格
・実務経験が事実であることの証明及び「(ISC)2 倫理規約'Code of
Ethics(」'試験申込書セクション 3 参照(に合意すること
・(ISC)2 認定資格保持者からの推薦
・無作為に行われる業務経験に関する監査に合格すること
日本行政情報セキュリティプロフェッショナル CBK 4 ドメイン
・「組織と政策・制度」
・「法」
・「倫理と慣行」
・「技術」
CBK4 ドメインのうち、最低 1 ドメインで、2 年間の業務経験があること
なし
3 年間で 60 ポイントの継続教育単位'CPE クレジット(を取得
非公開
-
52,500 円'受験料(、10,500 円'年会費(、136,500 円'セミナー費用(
付-10
A.11. CISM
略称
正式名称
主催者
想定する人材
取得方法
取得の際に求める知識分野
実務経験
実習等の有無
更新制度の有無
受験者
取得者数
費用'会員、非会員(
CSIM
公認情報セキュリティマネージャー 、Certified Information Security
Manager
ISACA 東京支部
企業・団体等の情報セキュリティプログラムに係る、マネジメント、設
計、監督を行うプロフェッショナル'セキュリティマネージャー 、セキュリ
ティ担当役員 、セキュリティ担当役職者 、セキュリティコンサルタント(
・CISM 試験'200 問の多岐選択問題'4 問択一(・4 時間(への合格
職業倫理規定の遵守
・実務経験'最低 5 年間: 受験の前提ではない。合格後実務経験を積
むことも可能(
CISM の 5 つのドメイン
ドメイン 1. 情報セキュリティガバナンス '24%(
ドメイン 2. 情報リスクの管理とコンプライアンス '33%(
ドメイン 3. 情報セキュリティプログラムの開発と管理 '25%(
ドメイン 4. 情報セキュリティのインシデントの管理 '18%(
実務経験'最低 5 年間、5 年のうち 3 年はセキュリティマネージャー職(
であること。また CISM の 5 つのドメインのうち、3 分野での経験を積ん
でいるものとする。
なし
毎年及び 3 年間の認定期間に、一定時間、CPE を受けることが必要。
・CPE を毎年尐なくとも 20 時間受けて報告する。
・毎年 ISACA 国際本部に、CPE の維持管理手数料の全額を支払う。
・3 年間の報告期間中に、CPE を尐なくとも 120 時間受けて報告す
る。
・年次監査に選ばれた場合、CPE 活動として必要な文書を提出する。
・ISACA 職業倫理規則を遵守する。
非公開
15,400 名以上'日本 330 名以上(
ISACA 会員: US $495.00 非会員: US $645.00'早期割引あり(
付-11
A.12. GIAC
略称
正式名称
主催者
想定する人材
取得方法
取得の際に求める知識分野
実務経験
実習等の有無
更新制度の有無
受験者
取得者数
費用'会員、非会員(
GIAC
Global Information Assurance Certification
SANS Institute
企業等の組織において、情報セキュリティ・コンピュータ・サーバ操作、
監査、タスク管理の実務的で高度な知識・スキルが要求されるシステ
ム管理者やネットワーク管理者、セキュリティ管理担当者等
試験 150~200 問・4~5 時間の合格
Security Essentials、セキュリティ監査、侵入検知、インシデントハンドリ
ング、ファイアウォール、フォレンジック、 Windows OS、Unix/Linux OS
不要
なし
4 年毎に認定の更新。2 年以降、認定の更新期限が切れる前までに、
GIAC 認定 1 つにつき、36CMU'認定メンテナンスユニット(を取得する
必要がある
非公開
37,457 名'2011 年 6 月(
100,000 円'GIAC 試験( 、 57,000 円'トレーニ ング受講(' 税抜(、
US$ 399'認定メンテナンス料(
付-12
A.13. Security+
略称
正式名称
主催者
想定する人材
取得方法
取得の際に求める知識分野
実務経験
実習等の有無
更新制度の有無
受験者
取得者数
費用'会員、非会員(
Security+
CompTIA Security+
CompTIA Japan
企業において、セキュリティに関する包括的な実務能力が必要となる、
セキュリティアーキテクト、セキュリティエンジニア、セキュリティコンサ
ルタント、情報保証に携わるエンジニア、セキュリティ管理者、上級シ
ステムアドミニストレータ、及びネットワーク管理者等
認定資格試験'100 問・90 分(100~900 のスコア形式 750 スコア以上
・ネットワークセキュリティ 21%
・コンプライアンスと運用セキュリティ 18%
・脅威と脆弱性 21%
・アプリケーション、データ、ホスティングセキュリティ 16%
・アクセスコントロール、認証マネジメント 13%
・暗号化 11%
不要
'CompTIA Network+ で要求されるレベルの実務経験者を想定(
なし
3 年間の有効期限
有効期限内に、CE プログラム'Continuing Education Program(への登
録を完了することで、認定資格試験を受験せずに更新をすることが可
能。
非公開
100,000 人以上'2012 年 2 月、グローバル(
30,749 円'受験料(※会員価格あり
付-13
A.14. ISMES
略称
正式名称
主催者
想定する人材
取得方法
取得の際に求める知識分野
実務経験
実習等の有無
更新制度の有無
受験者
取得者数
費用'会員、非会員(
ISMES
Information Security Management Expert based on ISO/IEC 27002
EXIN
構造的な情報セキュリティにおいて、一部もしくは全体の開発、策定に
対して責任を負う者'チーフ情報セキュリティ オフィサー、CISO, 情報
セキュリティマネージャー、ISM、ビジネス情報セキュリティアーキテク
ト、BISA 等(
試験に割り当てられる時間: インタビュー試験: 90 minutes
問題数: 関連なし
合格に必要な正解率: 55%
・情報セキュリティのマネジメントシステムの確立 20%
・ポリシー策定 10%
・リスク分析 10%
・組織変更情報セキュリティに関する開発 40%
・標準と規範 10%
・監査と認証 10%
実務としてマネジメント経験が 2 年以上あること。尚且つ、情報セキュリ
ティにおいて尐なくとも 2 つ以上の主トピックについて実務上の経験が
あること
あり
なし
-
-
-
付-14
A.15. ISMAS
略称
正式名称
主催者
想定する人材
取得方法
取得の際に求める知識分野
実務経験
実習等の有無
更新制度の有無
受験者
取得者数
費用'会員、非会員(
ISMAS
Information Security Management Advanced based on ISO/IEC 27002
EXIN
情報セキュリティに関わる全ての者'情報セキュリティマネージャー
(ISM) 情報セキュリティ オフィサー(ISO) 、現場マネージャ、プロセス
マネージャ、プロジェクトマネージャ等(
試験 設問数: 30
合格に必要な正解率: 65% (20 問)
・情報セキュリティポリシーと計画: (20%)
・組織の情報セキュリティ: (30%)
・リスク分析: (15%)
・標準: (10%)
・法令遵守: (15%)
・評価: (10%)
不要
必須'16 時間(
なし
-
-
-
付-15
A.16. ISFS
略称
正式名称
主催者
想定する人材
取得方法
取得の際に求める知識分野
実務経験
実習等の有無
更新制度の有無
受験者
取得者数
費用'会員、非会員(
ISFS
Information Security Foundation based on ISO/IEC 27002
EXIN
組織で情報を取り扱う全ての者。小規模な独立系企業や、経験の浅い
情報セキュリティ専門家も対象。
試験問題数: 40
合格に必要な正解率: 65% (26 問)
・情報とセキュリティ: 10%
・脅威とリスク: 30%
・アプローチと組織: 10%
・対策: 40%
・法律と規制: 10%
不要
なし
なし
-
-
20,160 円'2010 年 11 月現在(
付-16
付録 B. 『4.7. 大学及び大学院における情報セキュリティカリキュラムな
らびに学位』調査結果の詳細
以下、4.7. で挙げた大学・大学院の調査結果を記す。
B.1. 情報セキュリティ大学院大学(日本)
日本初の情報セキュリティに特化した独立大学院。情報セキュリティにおける技術面での対策
を担う「情報セキュリティエンジニア」と情報セキュリティの運用・管理面でのリーダーとなる「情報
セキュリティマネージャー」、さらには次代の情報セキュリティ分野の発展を担う「研究者、研究指
導者」を養成。
情報セキュリティ大学院大学 (2004 年~)
概要
・セキュリティの技術と社会システムを統合的に学び、深い専門知識と現場知識の獲
得を目指す。(出典:[1])
・第一線で活躍中の研究者、技術者、実務家らによる産学連携を意識した高度な専
門教育を行う。
学位
・修士'情報学(、博士'情報学(
カリキュラム
・付表 1 参照
・情報科学・法制の基礎、情報セキュリティ専門技術、セキュリティ脅威の実例、社会
制度の現状と課題等の講義、新技術やセキュリティ問題の調査とそれに関する議論
を中心とした輪講、実験、外部実習などを組み合わせて行われる。(出典:[1])
キーパーソン
複数の方が活躍されているため省略。
備考
・出典: 情報セキュリティ大学院大学, http://www.iisec.ac.jp/, を基に作成
付-17
付表 1 情報セキュリティ大学院大学における修士課程のカリキュラム43
科目区分
専攻
43
授業科目名
情報セキュリティ輪講I
情報セキュリティ特別講義
暗号・認証と社会制度
暗号プロトコル
アルゴリズム基礎
数論基礎
暗号理論
計算代数
個人識別と プライバシ ー
保護
インターネットテクノロジー
不正アクセス技法
ネットワークシステム設
計・運用管理
セキュアシステム構成論
情報デバイス技術
情報システム構成論
オペレーティングシステム
セキュアプログラミングと
セキュアOS
プログラミング
ソフトウェア構成論
セキュアシステム実習
情報セキュリティマネジメ
ントシステム
セキュリティシステム監査
セキュリティ管理と経営
リスクマネジメント
組織行動と情報セキュリ
ティ
統計的方法論
セキュア法制と情報倫理
法学基礎
知的財産制度
国際標準とガイドライン
セキュリティの法律実務
Presentations
for
Professionals
統計的リスク管理
リスクの経済学
履修区分
必修
必修
選択
選択
選択
選択
選択
選択
選択
単位数
2
2
2
2
2
2
2
2
2
選択
選択
選択
2
2
2
選択
選択
選択
選択
選択
2
2
2
2
2
選択
選択
選択
選択
2
2
2
2
選択
選択
選択
選択
2
2
2
2
選択
選択
選択
選択
選択
選択
選択
2
2
2
2
2
2
2
選択
選択
2
2
http://www.iisec.ac.jp/education/curriculum/
付-18
修了所要単位数
24
科目区分
研究指導
授業科目名
マスメディアとリスク管理
情報セキュリティ輪講II
特設講義(セキュリティ監
査)
特設講義(事業継続マネジ
メント)
特設講義(ガバナンス)
研究指導
履修区分
選択
選択
選択
単位数
2
2
2
選択
1
選択
必修
1
6
付-19
修了所要単位数
6
B.2. Stanford Cybersecurity Center (米国)
米国理工系有力校 Stanford University におけるサイバーセキュリティ教育への取り組み事例。
最新情報が提供されていないため、CISAC (Center for International Security and Cooperation)
に一部を引き継ぎ発展的に解消したものと思われる。
Stanford Cybersecurity Center (2004 年~)
概要
・ 学際的な研究センターであり、サイバーセキュリティに関する課題を解決するため
に、Stanford University の技術、公共政策、ビジネス、法律の一線級の専門家の頭脳
とアイディアを集結させるために計画された。
・ 技術と公共政策の発展を加速させることが目的。
学位
カリキュラム
キーパーソン
備考
・ センター独自の学位はなく、コンピュータ科学部など同センターの講義を選択できる
学部がそれぞれに学位は出していたと考えられる。
・ 同センターでは、付表 2 の 6 つの講義を提供するのみである。
・ 米国第 19 代(1994-1997)secretary of defense の William Perry 教授の寄付講座な
ど、公共政策の要素を含む。'最終開催は 2006 年。(
・ CS、EE、MS&E、CISAC、Stanford Law School の学生、教員、研究者を対象とする。
・William Perry 教授
・出典: Stanford Cybersecurity Center, http://cybersecurity.stanford.edu/, を基に作
成
・(参考)Center for International Security and Cooperation (CISAC)
http://cisac.stanford.edu/
付-20
付表 2 Stanford Cybersecurity Center の講義'同センター独自のカリキュラムは存在しない(44
科目区分
専攻
44
授業科目名
MS&E 91si: U.S.
National Cybersecurity
MS&E 193/293: Role of
Technology in Defense
Policy
CS 55N: Ten Ideas in
Computer Security and
Cryptography
CS 155: Computer and
Network Security
CS 193i: Internet
Technologies
CS 255: Introduction to
Cryptography
履修区分
選択
単位数
2
選択
N/A
選択
2
選択
2
選択
2
選択
2
http://cybersecurity.stanford.edu/
付-21
修了所要単位数
B.3. MIT Geospatial Data Centre (GDC) (米国)
米国理工系有力校 MIT におけるサイバーセキュリティ教育への取り組み事例。
Wales University との連携プロジェクトは米国、英国それぞれに関係組織が多く、今後の展開が
注目される。
MIT Geospatial Data Centre (GDC)
(2010 年~)
概要
・ MIT School of Engineering の Engineering Systems Division に含まれる。Geospatial
分野の HPC を中心とした教育と研究を行う。
・ MIT Auto-ID Lab (including MIT GeoNumerics Group) 、 MIT Center for Grid
Computing、MIT Intelligent Engineering Systems Lab を統合して発足。
学位
・センター独自の学位はない。エンジニアリングシステム学部の一部。
カリキュラム
・ サイバーセキュリティ専用のカリキュラムは現在のところないと考えられるが、Wales
University との連携の結果、カリキュラムが作成される可能性もある。
・ サイバーセキュリティやサイバーリーダーシップ (社会人向け)などの講義を提供し
ている。
・ “APPLIED CYBER SECURITY”という短期プログラムの開講を予定している(2012
年)。
・ John Williams (Director)
Bill Gates や Larry Ellison と並び、世界のコンピュータネットワークの中で最も影響力
のある 50 人に選ばれている。(出典:[1])
キーパーソン
備考
・ Wales University とサイバーセキュリティ教育の提携をする。
・ Harvard University や Oxford University とも同様に連携している。
・出典: MIT Geospatial Data Center,
http://geospatial.mit.edu/SmarterSoftwareforaBetterWorld/index.php, を基に作成
付-22
付表 3 MIT の専門家教育: Applied Cyber Security
'GDC では情報セキュリティ専用のカリキュラムを用意していない。(
科目区分
(社会人教
育)
授業科目名
APPLIED CYBER
SECURITY
履修区分
選択
単位数
短期集中(2 日間)
修了所要単位数
キーパーソンとして挙げた、John R. Williams 教授の講義が 2012 年に、新規開講となる。扱う内容
は下表の通りであり、法律やビジネス情報継続など、分野横断の内容も含まれる。
•
Introduction to Information Security Fundamentals and Best Practices
•
Ethics in Cyber Security & Cyber Law
•
Secure Software & Browser Security
•
Forensics
•
Network Assurance
•
Business Information Continuity
•
Information Risk Management
•
Cyber Incident Analysis and Response
付-23
B.4. CMU Information Networking Institute (INI)
米国サイバーセキュリティ研究・教育有力校である CMU の取り組み事例。
Master of Science in Information Security Technology and Management (MSISTM) を取得でき
る。情報セキュリティ分野でのリーダー育成を目標とする。
CMU INI(1989 年~)
概要
学位
カリキュラム
キーパーソン
備考
・CMU における情報セキュリティ技術と管理を扱う修士課程。情報セキュリティの技術
に加え、管理、情報セキュリティポリシー等、安全な情報システムの開発と管理に必
要なトピックに関する講義も含む。
Master of Science in Information Security: MSISTM を取得可能
・付表 4 参照
・MSISTM カリキュラムは、必修、選択、オプション/セミナーからなる。必修(72 単位)
は、管理(12 単位)、ネットワークとシステム(24 単位)、セキュリティ(36 単位)からなる。
選択(48 単位)は、12 単位を INI、ECE、CS の講義から選択する。残りの 36 単位は、
Pittsburgh 以外のキャンパスの講義も含めることができる。
オプション/セミナー(36 単位)は、専門コースと、研究コースのいずれかを 1 年春学期
までに選択し、履修する。専門コースは、3 つのオプションがある:①一連の講義を受
講、②監督下での演習、③システム開発ベースのプロジェクト。研究セミナーは 3 単位
であり、産業界での現状の課題等に関するプレゼンテーションを担当回に行う。
・Master of Science in Information Security: MSISTM を取得可能。
・ Dena Haritos Tsamitis, EdD, INI director and director of education, training and
outreach for Carnegie Mellon CyLab
・ Richard Power, distinguished fellow, director of strategic communications for
Carnegie Mellon CyLab (Silicon Valley Campus)(→調査(7))
・ECE: Electrical and Computer Engineering
・CS: Computer Science
・出典: Information Networking Institute,
http://www.ini.cmu.edu/degrees/pgh_msistm/curriculum.html, を基に作成
付-24
付表 4 CMU における MSISTM のカリキュラム45
科目区分
専攻
専門職/研究
研究セミナー
45
授業科目名
Information Security
Risk Analysis
Information Security
Risk Policy and
Management
Computer Networks ま
たは Fundamentals of
Telecommunications
and Computer Networks
または
Packet Switching and
Computer Networks
Operating System
Design and
Implementation
または
Distributed Systems
Introduction to
Computer Security
Network Security
または Secure Software
Systems または
Applied Cryptography
One additional
graduate-level security
course, including
courses from another
department (CS, ECE,
EPP, Heinz, Tepper)
INI、ECE、CS いずれか
の講義
Heinz College、the
Tepper School、ECE,
EPP、School of CS,
Silicon Valley、the INI い
ずれかの講義.
Professional Track
または
Research Track
INI Seminar
履修区分
必修
(Core
Course
Requirements)
単位数
12
修了所要単位数
72
24
36
選択必修
(Restricted
Electives)
12
選択
(Curriculum
Option)
研究セミナー
36
36
3
3
http://www.ini.cmu.edu/degrees/pgh_msistm/curriculum.html
付-25
48
36
科目区分
授業科目名
履修区分
(Research
Seminar)
付-26
単位数
修了所要単位数
B.5. Purdue University CERIAS (米国)
米国サイバーセキュリティ研究における有力校である Purdue University の取り組み事例。
情報セキュリティの修士、博士課程ともに有する。
Purdue University CERIAS (1999 年~)
概要
・Center for Education and Research in Information Assurance and Security (CERIAS)
は、Cybersecurity 分野における先進的な研究・教育拠点。
・CERIAS の前身の COAST は単一学部の研究室であったが、CERIAS はどの学部に
も属さない、全学的なセンターとして設立された。
・学際的なアプローチが特徴であり、情報技術だけではなく、倫理、法律、教育、コミュ
ニケーション、言語学、経済学も関係する。6 大学、20 学部以上が関係する。
学位
カリキュラム
Master of InfoSec は、コンピュータサイエンス学部の修士を取る際に、履修科目を
CERIAS の指定に揃える必要がある。
Departments of Philosophy and Communication などからも Master/ Ph.D of InfoSec
を取得できる。
付表 5 参照
キーパーソン
Eugene H. Spafford 'executive director of CERIAS.(
備考
・出典: [1][2]を基に作成
・[1] Purdue University CERIAS, http://www.cerias.purdue.edu
・[2] Purdue University コンピュータサイエンス学部,
http://www.cs.purdue.edu/academic_programs/graduate/curriculum/masters.sxhtml
付-27
付表 5 Purdue University における Master of Info のカリキュラム
'従来のコンピュータサイエンス学部のカリキュラム46に従う中で以下を選択する必要がある。(
科目区分
専攻
46
授業科目名
operating systems また
は networks
programming language
design または
compilers
algorithm analysis
7 つの講義を選択して履
修するか、5 つの講義を
選択して履修に加え論
文を執筆する 、いず れ
かを選択。
'講義は、コンピ ュータ
サイエンス学部が提供
するものから選択し、
computer security 、
cryptography、advanced
security 、 cryptanalysis
を選択する こと が一 般
的(
その他コンピュータサイ
エンスの講義
履修区分
必修
単位数
必修
必修
選択必修
選択
http://www.cs.purdue.edu/academic_programs/graduate/curriculum/masters.sxhtml
付-28
修了所要単位数
B.6. Korea University - Graduate School of Information Security (韓国)
韓国において情報セキュリティの専門的な教育を実施する事例。
サイバーセキュリティの修士課程は 2010 年から開始。雇用契約型のユニークな修士課程を有
する。
Korea University - Graduate School of Information Security (2010 年~)
概要
・韓国・ソウルの私立大学。2010 年-2011 年に改組等を実施し、情報セキュリティ
に特化したコースを大学・大学院ともに開講。
・financial security course、cyber security course、public security policy course は
雇用契約型修士課程となっており、学費全額を 2 年間支援されるが、卒業後、最
小 2 年間コンソーシアム参加企業で勤務しなければならない。コンソーシアム企業
への採用または勤務を断る場合、学費を全額または一部返却しなければならな
い。
・cyber national defense course は、エリートサイバーセキュリティ専門将校養成の
ため、国防部とともに作った採用条件型契約学科であり、4 年間学費全額支給、
卒業後 100%将校任官、サイバー司令部勤務、となっている。(定員 30 名)
学位
Master of {financial security, cyber security, public security}
カリキュラム
・付表 6 参照
・インターンも含む。
・修士・博士統合課程もある。
キーパーソン
・Jong In Lim (Dean of the Graduate School of Information Security at Korea
University)
-検察庁のサイバー捜査諮問委員長
-国家情報院サイバーセキュリティ諮問委員
-韓国情報セキュリティ学科名誉会長
備考
・出典: Korea University - Graduate School of Information Security カリキュラム(韓
国語),
http://wizard.korea.ac.kr/user/indexSub.action?codyMenuSeq=828250&siteId=gis
&menuType=T&uId=4&sortChar=A&linkUrl=3_1.html&mainFrame=right, を 基 に 作
成
付-29
付表 6 Korea University における information security master course のカリキュラム47
科目区分
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
47
授業科目名
information security
theory
security engineering
cyber law
introduction to cyber
security
information economics
cryptography algorithm1
information security
protocol1
pattern recognition
system security
network security
access control
datamining
risk management
information security
policy
cryptography algorithm2
information security
protocol2
finite field theory
theory of computation
quantum cyptography1
information security
application protocol
information hiding
theory
malicious code
cryptography
engineering
digital forensics
technology
OS security
biometric
multimedia security
mobile communication
security1
information security
system
履修区分
必修
単位数
3
必修
必修
必修
3
3
3
選択
選択
選択
3
3
3
選択
選択
選択
選択
選択
選択
選択
3
3
3
3
3
3
3
選択
選択
3
3
選択
選択
選択
選択
3
3
3
3
選択
3
選択
選択
3
3
選択
3
選択
選択
選択
選択
3
3
3
3
選択
3
Korea University, http://ime.korea.ac.kr/
付-30
修了所要単位数
45
科目区分
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
授業科目名
information security
consulting
digital forensics law
personal information
security
methodology of security
equipment management
introduction to industrial
security
technology of enhancing
privacy
legal system of
information security
seminar
electronic finance
security
database security
methodology of security
software development1
methodology of security
software development2
digital forensics policy
introduction to
cryptology1
introduction to
cryptology2
key management
methodology of side
channel attacks
block cipher
stream cipher
public key encryption
digital signature
zero knowledge proof
quantum estimation
theory1
quantum estimation
theory2
quantum cyptography2
internet security
reverse engineering
intrusion detection
system
information warfare
履修区分
選択
単位数
3
選択
選択
3
3
選択
3
選択
3
選択
3
選択
3
選択
3
選択
選択
3
3
選択
3
選択
選択
3
3
選択
3
選択
選択
3
3
選択
選択
選択
選択
選択
選択
3
3
3
3
3
3
選択
3
選択
選択
選択
選択
3
3
3
3
選択
3
付-31
修了所要単位数
科目区分
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
研究
授業科目名
hardware security
module
mobile communication
security2
advanced cyber law
evaluation method of
information security
system
information security
management
theories of national
intelligence
theories of national
security
broadcasting and the
communications law
forensics accounting
IT convergence security
information security
seminar1
information security
seminar2
topics on cryptography
algorithm
topics on information
security protocol
topics on quantum
cryptography
topics on system
security
topics on
communication security
topics on digital
forensics
topics on information
security policy
topics on cyber law
topics on convergence
of broadcasting and
telecommunication
研究
履修区分
選択
単位数
3
選択
3
選択
選択
3
3
選択
3
選択
3
選択
3
選択
3
選択
選択
選択
3
3
3
選択
3
選択
3
選択
3
選択
3
選択
3
選択
3
選択
3
選択
3
選択
選択
3
3
必修
2
付-32
修了所要単位数
B.7. Royal Holloway University of London (英国)
情報セキュリティの大学院教育における先駆者的な存在となっている。
付録 C.9. Global Cyber Security Center の修士課程としても利用される。
Royal Holloway University of London (1992 年~)
概要
・Royal Holloway は University of London が、理系教育と研究の拠点として選択した
大学である。
・情報セキュリティの修士課程は 1992 年に開講しており、「全世界で最初」を標榜して
いる。これまでに、40 カ国、1,500 人以上が修了している'2011 年(。
学位
・MSc in Information Security
カリキュラム
・付表 7 参照
・Technical Pathway と、Secure Digital Business Pathway に分けられる。後者は、
security infrastructures and legal aspects を含む。同大学の Information Security
Group (ISG)と、産業界のセキュリティ専門家による指導
・GCSEC とも連携しており、GCSEC は Royal Holloway のカリキュラムを用いている。
備考
・出典: Royal Holloway MSc (Master) in Information Security,
http://www.isg.rhul.ac.uk/msc, を基に作成
付-33
付表 7 Royal Holloway University of London における
MSc in Information Security のカリキュラム48
科目区分
専攻
授業科目名
Security Management
専攻
専攻
Introduction to
Cryptography and
Security Mechanisms
Network Security
専攻
Computer Security
専攻
Security Management
専攻
Introduction to
Cryptography and
Security Mechanisms
Legal and Regulatory
Aspects of
Electronic Commerce
Security Technologies
専攻
専攻
専攻
専攻
Legal and Regulatory
Aspects of
Electronic Commerce
Application and
Business Security
Developments
Standards and
Evaluation Criteria
Advanced Cryptography
専攻
Database Security
専攻
Computer Crime
専攻
Smart Cards/Tokens
専攻
専攻
履修区分
Technical コ ー ス
必修
Technical コ ー ス
必修
単位数49
1
Technical コ ー ス
必修
Technical コ ー ス
必修
Secure
Digital
Business コース必
修
Secure
Digital
Business コース必
修
Secure
Digital
Business コース必
修
Secure
Digital
Business コース必
修
Technical コ ー ス
選択(4 科目)
1
Technical コ ー ス
選択(4 科目)
1
Technical コ ー ス
選択(4 科目)
Technical コ ー ス
選択(4 科目)
Technical コ ー ス
選択(4 科目)
Technical コ ー ス
選択(4 科目)
Technical コ ー ス
1
48
修了所要単位数
4
1
1
1
4
1
1
1
1
4
1
1
1
1
Royal Holloway University of London における情報セキュリティのマスターコースは、技術面を重視したパスとビ
ジネス面を重視したパスとに分かれる。'MSc (Master) in Information Security | Information Security Group, Royal
Holloway http://www.isg.rhul.ac.uk/msc(
49
単位数は、1 科目 1 と仮定する。'参考(Selecting course options
http://www.rhul.ac.uk/international/studyabroadandexchanges/courses/selectingcourses.aspxt
付-34
科目区分
専攻
授業科目名
Security and
Applications
Software Security
専攻
Digital Forensics
専攻
Security Testing Theory
and Practice
Application and
Business Security
Developments
Standards and
Evaluation Criteria
専攻
専攻
専攻
Advanced Cryptography
専攻
Database Security
専攻
Computer Crime
専攻
専攻
Smart Cards/Tokens
Security and
Applications
Software Security
専攻
Digital Forensics
専攻
Security Testing Theory
and
Practice
Project
プロジェクト
履修区分
選択(4 科目)
単位数49
Technical コ ー ス
選択(4 科目)
Technical コ ー ス
選択(4 科目)
Technical コ ー ス
選択(4 科目)
Secure
Digital
Business コース選
択(2 科目)
Secure
Digital
Business コース選
択(2 科目)
Secure
Digital
Business コース選
択(2 科目)
Secure
Digital
Business コース選
択(2 科目)
Secure
Digital
Business コース選
択(2 科目)
Secure
Digital
Business コース選
択(2 科目)
Secure
Digital
Business コース選
択(2 科目)
Secure
Digital
Business コース選
択(2 科目)
Secure
Digital
Business コース選
択(2 科目)
必修
1
付-35
修了所要単位数
1
1
1
2
1
1
1
1
1
1
1
1
1
1
B.8. George Mason University (米国)
Masters in Information Security and Assurance (MSISA)を 2010 年度から取得可能。MSISA は
情報セキュリティを含む MBA プログラムに対して、技術に軸足を置いている。
GMU の The Center for Infrastructure Protection and Homeland Security (CIP/HS)は DHS と提
携している。
George Mason University
概要
・Masters in Information Security and Assurance を開設した。
・The Center for Infrastructure Protection and Homeland Security (CIP/HS)は、DHS
と提携している。
・GCSEC とも連携している。
学位
・Masters in Information Security and Assurance (MSISA)
カリキュラム
付表 8 参照
キーパーソン
・GCSEC との関係は University of Rome II (University of Rome Tor Vergata)の
Emiliano Casalicchio 客員教授と推測される。同教授は GMU の客員教授(visiting)でも
あった。
・ ( 重 要 イ ン フ ラ の 文 脈 で は 、 Mick Kicklighter, Director, CIP/HS, George Mason
University, School of Law)
備考
・出典: George Mason University, Masters in Information Security and Assurance,
http://cs.gmu.edu/programs/masters/isa/ , を基に作成
付-36
付表 8 George Mason University における MSISA のカリキュラム50
科目区分
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
授業科目名
Principles and Practice
of Communication
Networks
Information Security
Theory and Practice
Security Laboratory
Network Security
Fundamentals of
System Programming
Programming Language
Security
Security Policy
Security Audit and
Compliance Testing
Network Security
Operating Systems
Security
Intrusion Detection
Secure Software Design
Security Protocol
Analysis
Security
Experimentation
Database and
Distributed Systems
Security
Secure Electronic
Commerce
Research in Digital
Forensics
Computer Security
Models and
Architectures
Advanced Topics in
Computer Security
履修区分
必修
単位数
3
必修
3
必修
必修
選択(4 科目)
3
3
3
選択(4 科目)
3
選択(4 科目)
選択(4 科目)
3
3
選択(4 科目)
選択(4 科目)
3
3
選択(4 科目)
選択(4 科目)
選択(4 科目)
3
3
3
選択(4 科目)
3
選択(4 科目)
3
選択(4 科目)
3
選択(4 科目)
3
選択(4 科目)
3
選択(4 科目)
3
50
修了所要単位数
12
12
選択科目には、Network and System Security Concentration、Advanced Cyber Security Concentration、等の
オプションも存在する。
付-37
B.9. James Madison University College of Business (米国)
Information Security (Infosec) MBA を提供するビジネススクール。
JMU の ほ か 、 Colorado Christian University 、 University of Fairfax in Virginia 、 DeVry
University‘s Keller Graduate School of Management などのビジネススクールでも情報セキュリティ
に特化した MBA コースを提供している。
James Madison University College of Business
概要
・JMU のビジネススクールでは Infosec MBA を提供している。
・背景として、JMU 自体が情報セキュリティ教育を 1990 年代から実施していることがあ
る。
・JMU‘s College of Integrated Science and Technology (CISAT)は 1997 年から、情報セ
キュリティに特化したコンピュータサイエンスの修士課程を有していた。CISAT は NSA の
資金で始まり、現在では、Department of Defense, FBI, NSA, Defense Intelligence Agency
などからの学生を受け入れている。
学位
カ リキ ュ ラ
ム
Information Security (Infosec) MBA
・全 14 コース中、10 コースは基本ビジネス'会計、ファイナンス、マーケティング、経営、
戦略(だが、いずれも情報セキュリティの課題解決と関連づけられている。残りの 4 コース
は昨今のビジネス環境において経営者が知っているべき情報セキュリティのトピックを扱
う。
・付表 9 参照
備考
・出典: James Madison University College of Business ( Infosec MBA ),
http://www.jmu.edu/cob/mba/aboutinfosec.shtml , を基に作成
付-38
付表 9 James Madison University College of Business における
Information Security (Infosec) MBA のカリキュラム51
科目区分
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
51
授業科目名
Management
Information Systems
Introduction to
Information Security
Organizational Behavior
Quantitative Methods
for Managerial Decisions
Accounting For
Decision-Making &
Control
Financial Management
The Microeconomics of
Business
Decision-Making
Managing System
Networks
Operations Management
Advanced Topics &
Cases in Financial
Management
Foundations of
Marketing Management
Managerial Computer
Forensics
Information Security
Ethics and Policy
Strategic Management
履修区分
必修
単位数
3
必修
3
必修
必修
3
3
必修
3
必修
必修
3
3
必修
3
必修
必修
3
3
必修
3
必修
3
必修
3
必修
3
http://www.jmu.edu/cob/mba/courses_infosec.shtml
付-39
修了所要単位数
42
B.10. The University of Twente 'オランダ(
The University of Twente を含めたオランダ 3 大学合同で、コンピュータセキュリティの修士課程
を開講している。
EU の EIT ICT Labs Master School とも連動している。
The University of Twente - SPECIALIZATION "COMPUTER SECURITY" of the master 'Computer
Science'
概要
・オランダの 3 大学が共同で、コンピュータセキュリティの修士課程を提供している。
(the Radboud University Nijmegen (RU), the Technical University Eindhoven (TU/e)
and the University of Twente (UT)の 3 大学.)
学位
・SPECIALIZATION “COMPUTER SECURITY” of the master “Computer Science”
カリキュラム
・付表 10 参照
・EIT ICT Labs Master School の Security and Privacy (S&P)コースにおいて、Network
Security 部分を主担当している。
キーパーソン
・prof.dr. p.H. (pieter) Hartel
備考
・出典: The University of Twente Computer Security,
http://www.utwente.nl/master/international/csc/tracks/cs/, を基に作成
・(参考) EIT ICT Labs consortium には、Deutsche Telekom, SAP, Siemens, KPMG,
Alcatel-Lucent, Technicolor, Philips, Infineon, Intel, NXP, and ST Microelectronics 等
が名を連ねており、インターン生を受け入れている。
http://eitictlabs.masterschool.eu/programme/majors/sap/
付-40
付表 10 The University of Twente における
SPECIALIZATION “COMPUTER SECURITY” of the master “Computer Science”のカリキュラム52
科目区分
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
52
授業科目名
network security for
Kerckhoffs students (ut)
cryptography 1 (tu/e)
Verification of Security
Protocols (TU/e)
software security (ru)
security in organizations
(ru)
security and privacy in
Mobile systems (ut)
introduction to
Biometrics (ut)
cyber-crime science
(ut)
secure data
management (ut)
(privacy) seminar (ru)
Hardware and operating
systems security (ru)
law in cyberspace (ru)
cryptography 2 (tu/e)
Hacker’s Hut (tu/e)
seminar information
security theory (tu/e)
履修区分
必修
単位数
6
必修
必修
6
6
必修
必修
6
6
必修
6
選択(3 科目)
6
選択(3 科目)
6
選択(3 科目)
6
選択(3 科目)
選択(3 科目)
6
6
選択(3 科目)
選択(3 科目)
選択(3 科目)
選択(3 科目)
6
6
6
6
http://www.utwente.nl/master/international/csc/masterprogramme/cscguide.pdf
付-41
修了所要単位数
54
B.11. TU-Darmstadt'ドイツ(
TU Darmstadt、Fraunhofer SIT、Hochschule Darmstadt (University of Applied Sciences)が共同
して情報セキュリティの研究開発を進めている。
TU- Darmstadt は、2010 年の夏から情報セキュリティの修士課程を開講している。
TU-Darmstadt - Master’s Degree in IT Security
概要
・Center for Advanced Security Research Darmstadt (CASED)という研究クラスタを中
心とした情報セキュリティの研究開発が進められている。CASED は、Darmstadt に TU
Darmstadt, Fraunhofer SIT and Hochschule Darmstadt (University of Applied
Sciences)が共同で設立。
・CASED は学際的な研究者 (computer scientists, engineers, physicist, legal experts
and experts in business administration)を受け入れている。
学位
・Master’s Degree in IT Security
カリキュラム
・TU-Darmstadt の情報セキュリティ教育では、 3 つのコア領域:Cryptography、
System security、Software security を設定している。
・EIT ICT Labs Master School の Security and Privacy (S&P)コースにおいて、System
Security 部分を主担当している。
・付表 11 参照
キーパーソン
・Prof. Dr.-Ing. Ahmad-Reza Sadeghi
備考
・出典: TU-Darmstadt Contents of Studies,
https://www.informatik.tu-darmstadt.de/en/students/study-programmes/masterstu
diengaenge/specialized-master-degrees/it-security/contents-of-studies/, を 基 に
作成
・(参考) EIT ICT Labs Master School とも連動している。
http://eitictlabs.masterschool.eu/programme/majors/sap/
付-42
付表 11 TU-Darmstadt における・Master’s Degree in IT Security のカリキュラム53
科目区分
論文
セミナー、イ
ンターン
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
53
授業科目名
thesis
course-related services
履修区分
必修
必修
単位数
30
12-15
Public Key
Infrastructure
Kryptoplexität
Embedded System
Security
Network security
Secure Mobile Systems
Operating Systems II:
Dependability and Trust
Side channel attacks
against information
systems
Formal Methods for
Information Security
Security in Multimedia
Systems and
Applications
Electronic Voting
IT security
Privacy-Enhancing
Technologies
IT Security Management
Distributed Reactive
Systems software
(DRESS)
Compiler II: Optimization
Image processing
Quantum calculations
Web Mining
Machine Learning:
Statistical Approaches
Algorithms and
Complexity
Concepts of
Programming Languages
Software Engineering Design and
選択
6
選択
必修
6
5
選択
選択
選択
選択
選択
6
3
8
8
5
選択
9
選択
6
選択
必修
選択
3
6
3
選択
選択
3
6
選択
選択
選択
選択
選択
3
6
3
6
6
選択
6
選択
6
選択
6
http://www.informatik.tu-darmstadt.de/index.php?id=2502&L=1
付-43
修了所要単位数
120
科目区分
専攻
専攻
授業科目名
Construction
Ubiquitous / Mobile
Computing
Computer Vision
履修区分
単位数
選択
6
選択
6
付-44
修了所要単位数
B.12 サイバー大学(日本)
ソフトバンクグループの株式会社立大学であり、IT 総合学部の中に、テクノロジーコースのセキ
ュリティプログラムを有する。ビジネスコースの IT マネジメントプログラムでも情報セキュリティの科
目を選択できる。
サイバー大学
概要
ネットワークやソフトウェアの基礎を習得して、基本的な IT 環境を十分理解した上で、
実社会で問題になっている事例やその対策に触れながら、情報セキュリティに関する
本質的な考え方を学ぶプログラム。多岐に渡るセキュリティ障害に対し、適切な対策
を実践できる、社会から求められる人材を育成する。(出典: [1])
学位
IT 総合学の学士
カリキュラム
「UNIX サーバ構築 II」、「情報セキュリティ技術 I」、「情報セキュリティ技術 II」、「ネッ
トワークプログラミング論」など
キーパーソン
複数の方が活躍されているため省略。
備考
・出典: サイバー大学, http://www.cyber-u.ac.jp/faculty/tec/security.html, を基に作
成
付-45
付表 12 サイバー大学 IT 総合学部 テクノロジーコースのセキュリティプログラム
科目区分
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
授業科目名
コンピュータ入門
コンピュータのための基
礎知識
インターネット入門
法律入門
IT ビジネス経営論入門
経済学入門
ビジネス事例から学ぶ
統計入門
マルチメディアのための
基礎知識
マルチメディア技術論Ⅰ
モバイル通信Ⅰ
モバイル通信Ⅱ
情報処理のための基礎
知識
コンピュータ工学
コンピュータ工学演習
アルゴリズム論
アルゴリズム論演習
ソフトウェア開発論Ⅰ
コンピュータグラフィック
ス入門
UNIX サーバ構築Ⅰ
インターネット技術Ⅰ
インターネット技術Ⅱ
インターネット構築法
データベース入門
情報セキュリティ入門
ウェブ入門
ウェブ入門演習
起業入門
起業演習
経営戦略
マーケティング入門
プロジェクトマネジメント
入門
会計簿記入門
ファイナンス入門
サービステクノロジー論
ビジネスシミュレーショ
ン
履修区分
必修
必修
単位数
2
2
必修
必修
必修
必修
必修
2
2
2
2
2
選択必修
2
選択必修
必修
選択必修
選択必修
2
2
2
2
選択必修
選択必修
選択必修
選択必修
必修
選択必修
2
2
2
2
2
2
必修
必修
必修
必修
必修
必修
選択必修
選択必修
選択必修
選択必修
必修
選択必修
必修
2
2
2
2
2
2
2
2
2
2
2
2
2
必修
選択必修
選択必修
選択
2
2
2
2
付-46
修了所要単位数
合計 88 単位以上
修めることを要
し、その内訳とし
ては、必修 48 単
位、選択必修 28
単位以上、残りの
単位を選択科目
から修得。
その他に外国語
科目 12 単位、教
養科目 24 単位、
総合計 124 単位
以上を修得するこ
とで卒業要件を満
たし、学位取得に
至る。
科目区分
インターン
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
専攻
セミナー
セミナー
プロジェクト
プロジェクト
授業科目名
インターンシップ
ボランティア論
マルチメディア技術論Ⅱ
ワイヤレス通信工学
コンピュータ・アーキテク
チャ
コンピュータ・アーキテク
チャ演習
ソフトウェア開発論Ⅱ
ソフトウェア工学
UNIX サーバ構築Ⅱ
ネットワークプログラミン
グ論
ネットワークプログラミン
グ演習
次世代インターネット
コンピュータによる統計
解析
情報セキュリティ技術Ⅰ
情報セキュリティ技術Ⅱ
企画力
企画力演習
業務アプリケーションの
進化と開発
IT プロジェクトマネジメ
ント講義
IT プロジェクトマネジメ
ント演習
e コマース経営論
情報経済論
IT ビジネス演習
ネットマーケティング論
コンテンツビジネス・エコ
システム
情報化社会とテクノロジ
ー
ゼミナール A(テクノロジ
ー)
ゼミナール B(テクノロジ
ー)
研究プロジェクトⅠ
研究プロジェクトⅡ
履修区分
選択
選択
選択
選択
選択
単位数
2
2
2
2
2
選択
2
選択必修
選択必修
必修
必修
2
2
2
2
選択必修
2
選択必修
選択必修
2
2
必修
必修
選択
選択
選択
2
2
2
2
2
選択必修
2
選択
2
選択
選択
選択
選択必修
選択
2
2
2
2
2
選択必修
2
卒業研究
2
卒業研究
2
卒業研究
卒業研究
2
2
付-47
修了所要単位数
付録 C. 『4.8. 大学及び大学院における産学官連携による情報セキュリ
ティ人材育成に対する取り組み』調査結果の詳細
C.1. EU の第 7 次研究枠組み計画のプロジェクト:
SysSec
EU のシステムセキュリティに関する Network of Excellence (NoE) 構築を目指した EU の第 7 次
研究枠組み計画(FP7)の取り組みである。
産学共同で大学のカリキュラムを作成する動きも見られる。
SysSec (2010 年~2014 年)
概要
・EU の FP7 のプロジェクトであり、以下の活動を実施する。
-研究者のコミュニティを作成
-セキュリティ研究の推進
-Center of Excellence、Center of Academic Excellence
-EU のセキュリティ産業界とのパートナーシップ
・官が出資し、産学の研究者が共同研究や教育カリキュラムを作成する。
関係機関
・Politecnico di Milano (IT)、Vrije Universiteit (NL)、 Institute Eurecom (FR)、BAS
(Bulgaria)、TU Vienna (Austria)、Chalmers U (Sweden)、TUBITAK (Turkey)、 FORTH
– ICS (Greece)等、36 組織
人材育成との
関係
・Center of Academic Excellence の構築を目標としている。若手研究者と産業界をタ
ーゲットとした教育、トレーニングプログラムを作成する予定。
・システムセキュリティを前面に出した共通の大学院の学位を検討。
・University curriculum について協力者を求めている。演習の題材、教材を使う大学、
教材を求めている。
キーパーソン
・Professor Evangelos Markatos (University of Crete, Foundation for Research and
Technology – Hellas Institute of Computer Science Distributed Computing Systems
Lab)
備考
・出典: SysSec project,
http://www.syssec-project.eu/media/page-media/10/markatos-northeastern-july-2
011.pdf, を基に作成
付-48
C.2. MIT, University of Wales to develop training program for cybersecurity experts
MIT と University of Wales のサイバーセキュリティ教育での提携。英国–米国の連携という面で
も報じられている。
関係イベントには、国連、DoD、Microsoft、IBM や他大学の教授なども出席している。
MIT × Wales
概要
関係機関
University(2011 年 3 月~)
・MIT Geospatial Data Center と Wales University が共同でサイバーセキュリティの研
究・教育プログラムを共同開発する。
・“Cyber-Physical Security”を産官学の優先課題としてとらえている。
・学(MIT、Wales University 等)中心の提携だが、官(国連、DoD)と産(Microsoft、IBM
等)が関係する可能性が高い。ウェールズで開催された MIT と Wales University のサミ
ットには各機関の代表者が出席していた。
・MIT、University of Wales、Harvard University、the University of Oxford、University of
Memphis、Boston University 、the University of Central Florida.
・国連、 DoD(米国)
・Microsoft 、IBM、Northrop Grumman
人材育成との
関係
キーパーソン
・CPS のセキュリティ分野におけるトレーニングプログラムの開発を予定,している。
備考
・出典: BBC News - Cyber security summit signs UK-US university deal
http://www.bbc.co.uk/news/uk-wales-12854531, 等を基に作成
・Professor Marc Clement (Wales)
・Professor John Williams ‘(Director of the MIT's Geospatial Data Centre)
付-49
C.3. FBI に UTICA COLLEGE CYBERSECURITY TRAINING CENTER を活用した訓練を提案
米国司法省が、36 人の FBI エージェントを調査した結果、1/3 以上がサイバー犯罪と闘う知識
がないとされた。
この調査を踏まえ、米国上院議員が FBI に UTICA COLLEGE CYBERSECURITY TRAINING
CENTER を活用して訓練することを提案した。
FBI × UTICA COLLEGE CYBERSECURITY TRAINING CENTER (2012 年見込み)
概要
・米国上院の Charles E. Schumer 議員が、FBI Director の Robert Mueller に対して、
UTICA Cybersecurity Training Center を使って訓練するように書簡を提出した。
・官(FBI)のトレーニングを学(UTIICA College)の施設・教育プログラムを用いて実施す
る 検 討 。 Utica College は 、 『 Intelligence Specialization 』 と 『 Computer Forensics
Specialization』の研究よりも実践を重視した独特なカリキュラムを有している。
関係機関
・Utica College
-Economic Crime Institute (ECI)
-Center for Identity Management and Information Protection (CIMIP)
・FBI
人材育成との
関係
・ Mohawk Valley ' ニ ュ ー ヨ ー ク の 東 隣 ( を ”national center of excellence for
Cybersecurity”にするという同議員と Utica College の構想がある
キーパーソン
備考
・Utica College President Dr. Todd S. Hutton
・出典: http://schumer.senate.gov/Newsroom/record.cfm?id=333075&&year=2011&,
を基に作成
・'参考(モバイルアプリによる無断データ収集を巡り、同議員が Google 及び Apple の
調査を FTC に要請
http://www.nikkeibp.co.jp/article/news/20120306/301445/?rt=nocnt
付-50
C.4. DoD の The Information Technology Exchange Program (ITEP)
DoD と民間の人材交流パイロットプログラム。
1 対 1 の人材交流というよりも、知識、経験、スキルの交換を目標としている。
DoD × 民間企業
概要
関係機関
・米国国防総省(DoD)が Information Technology Exchange Program (ITEP)を試行。
DoD 職員を民間企業の従業員と期限付きトレードを実施する。IT 領域でのベストプラ
クティスを共有し、協調を進めるため。
・ 特 に 、 Cloud Computing, Cybersecurity, IT Consolidation, Network Services, IT
Project Management, Data Management and Enterprise Architecture.を関心領域とし
ている。
・産と官の間での人材交流による連携を実施している。
・DoD
・The Industry Advisory Council(IAC)加盟 550 社。IAC は ACT(American Council for
Technology)の諮問機関
人材育成との
関係
・人材育成というよりは組織能力の向上を重視している。条件の 1 つに、非凡な人材
を送るように、とある。
' 参 考 ( an exceptional employee (Performance meets or exceeds all standards
established at the fully successful level or above and makes significant contributions
towards achieving the organizational goals.)
備考
・出典: ITEP, http://dodcio.defense.gov/sites/itep/, を基に作成
・根拠法: Section 1110 of the National Defense Authorization Act, fiscal year 2010
(FY10), (Public Law 111-84)
・人材交流の期間は 3~12 ヶ月としている。
・ 中小規模 の企 業も対 象として明示して いる。' At least 20% of the ITEP pilot
participants must be from small businesses. と 2011 年 10 月 に 出 さ れ た
Implementation Guide に記載されている。(
付-51
C.5. CMU、MIT、Purdue (Northrop Grumman Cybersecurity Research Consortium)の共同研究
CyLab (Carnegie Mellon University:)、CSAIL (Massachusetts Institute of Technology)、CERIAS
(Purdue University)という情報セキュリティの研究における代表的な大学の研究機関は、Northrop
Grumman の『Northrop Grumman Cybersecurity Research Consortium』という枠組みで、サイバー
脅威の対処に関わる研究を 2009 年から現在に至るまで継続している。
Northrop Grumman(産)と、学の研究機関による産学連携の事例。
CMU、MIT、Purdue×NorthropGrumman (2009 年 12 月~)
概要
・CMU の CyLab、MIT の CSAIL、Purdue の CERIAS がメンバーとして研究活動を進め
ている Northrop Grumman Cybersecurity Research Consortium による成果発表が行
われた(2011.6)。主な成果は次の通り:
-大規模情報システム運用 (クラウドのセキュリティ)
-サイバー演習の組織と評価54
・Northrop Grumman は、研究成果を市場に送り出す予定としている。
・同コンソーシアムの趣旨は、研究とトップレベルの研究者間の協調を進め、急速に
変化するサイバー脅威への対処を進めることである。
・研究ポートフォリオを 10 から 13 に拡大することを 2011 年 6 月の成果発表の際に公
表しており、今後も連携を強化することを主張している。
・産が出資し、産学の研究者レベルの連携を進める事例である。
関係機関
・CyLab@CMU、CSAIL@MIT、CERIAS@Purdue
・Northrop Grumman
人材育成との
関係
・コンソーシアムは、大学院生のフェローシップを提供
・Northrop Grumman はインターンシップを受け入れている。
キーパーソン
・ Richard Power, distinguished fellow, director of strategic communications for
Carnegie Mellon CyLab
・Dr. Robert Brammer, vice president and chief technology officer, Northrop Grumman
Information Systems
備考
・出典: Progress in Tackling Most Pressing Cybersecurity Threats,
http://www.spacewar.com/reports/Progress_in_Tackling_Most_Pressing_Cybersecurit
y_Threats_999.html, を基に作成
54
(原文) organizing and evaluating experiments performed on cyber test ranges (evaluate large-scale cyber
attack and defense strategies in a cost-effective manner)
付-52
C.6. Advanced Cyber Security Center の開設
マサチューセッツ州における産官学連携事例。
Cybersecurity の学位、コンテストの予定など、今後の動向が注目される。
Advanced Cyber Security Center (2011 年 9 月~)
概要
・Advanced Cyber Security Center (ACSC)が MITRE 社内に開設された。
・ACSC は cybersecurity 関係の課題に対するセクター横断型の研究施設。
・重要インフラの保護を掲げているが、特に health care、energy、defense、financial
services、 technology を対象領域として挙げている。
・マサチューセッツ州の産(MITRE 等)、官'州政府(、学'Boston University, Harvard,
MIT 等(が連携する事例。
関係機関
・The MITRE Corporation 、Mass Insight Global Partnerships (w/ McKinsey)
・16 の民間企業、5 の大学(Boston University, Harvard, MIT, Northeastern, UMass)
人材育成との
関係
・Cybersecurity の専門学位を出すプログラムを有する。
・National Centers of Academic Excellence in Information Assurance Education (CAE)
and Research (CAE-R) として、軍と省庁'DoD と DHS(から資金を得ている。
・高校・大学レベルのセキュリティ・コンテスト'Cyber competitions(を検討している。
キーパーソン
・Bill Guenther, president of Mass Insight Global Partnerships
・Paul Acosta, Manager, Network Operations, Massachusetts Institute of Technology
・Senator Sheldon Whitehouse, U.S. Senate
・Honorable Deval Patrick, Governor, Commonwealth of Massachusetts
備考
・ 出 典 :MassInsight, http://www.massinsight.com/initiatives/cyber_security_center/,
を基に作成
付-53
C.7. CyberWatch Consortium
IA(Information Assurance)教育に係る全米規模の産学官コンソーシアム。NSF の出資により運
営されている。
Community College を中心として、小学校から大学院までをカバーする事例。
CyberWatch (2005 年~)
概要
・CyberWatch は Advanced Technological Education (ATE) Center,という位置付けであ
り、 Prince George’s Community College に本拠地がある。
・Centers of Academic Excellence in Information Assurance Education for Community
Colleges (CAE2Y)、Coalition for Advancing Cybersecurity Education (CACE)プログラ
ムによる支援を NSF、NSA、DHS から受けている。
・CyberWatch のミッションは、サイバーセキュリティに関わる労働力の質と量を改善す
ることである。CyberWatch の目的は、information assurance (IA)教育を、小学校から
大学院まで強化することである。特に、community college に重点を置く。
・産学官の連携により、ベストプラクティス、方法論、カリキュラム、講義、資料の共
有、及び教員のトレーニング、さらには IA カリキュラム開発の支援を行う。また、Cyber
Security Awareness Day などのイベントにはパートナー企業も出資や参加をしてい
る。
関係機関
・88 のメンバー教育機関。 (47 community colleges and 41 universities)
・40 以上のパートナー機関があり、ビジネス、官公庁、専門組織などが含まれる
人材育成との
関係
・カリキュラム作成(IA)、専門教員養成、学生教育、キャリア支援、啓蒙活動を実施
・ Mid-Atlantic Regional Collegiate Cyber Defense Competition (CCDC) 、 Digital
Forensics Cup、Security Awareness Poster and Video Contest(w/ Educause)を実施
・K-12 のサマーキャンプや national competition for community college students も検
討している。
キーパーソン
・Casey O‘Brien, the new CyberWatch Director (前任: Dr. Robert J. Spear)
備考
・出典: CyberWatch, http://www.cyberwatchcenter.org/, を基に作成
付-54
C.8. Harvard×MIT: Cyber Leadership、Project Minerva
Harvard Kennedy School と MIT が、複数のサイバーセキュリティと政策について共同で研究を
実施している。サイバーセキュリティでは、学際的な提携が進められている。
Cyber Leadership(2011 年)、Project Minerva (2009 年~)
概要
・“MIT-Harvard Cyber Leadership Courses”は Harvard Kennedy School の Center for
Public Leadership と MIT Geospatial Data Center の間の合同講義。
・ ま た 、 Harvard と MIT は 、 DoD の Minerva Project で Explorations in Cyber
International Relations (ECIR)という機関を設置。21 世紀の国際的なサイバー関係に
係る学際的な研究を実施している。ECIR では、社会科学、法律研究、コンピュータ科
学、政策分析などを統合することを検討している。人的、物的資源は、MIT と Harvard
から、資金は米国海軍省の研究機関である Office of Naval Research から供出され
る。
関係機関
・Harvard Kennedy School、MIT
・DoD Minerva Research Initiative
・学位や認証プログラムはない。
・“Participatory Leadership”、”Cyber Leadership”を開講。(Cyber Leadership)
・“International Cybersecurity Policy” (Harvard Kennedy School)、“Difficult Problems
in Cyberlaw” (Harvard Law School)、“Cyber International Relations” (MIT)を開講
(Minerva)
人材育成との
関係
キーパーソン
・Loren Gary (Center for Public Leadership (CPL) at the Harvard Kennedy School)、
John Williams (MIT Geospatial Data Center) – Cyber Leadership
・ Venkatesh Narayanamurti (Harvard Kennedy School) 、 Nazli Choucri(MIT’s
Technology and Development Program) – Minerva
備考
・出典: [1][2]を基に作成
・[1] MIT Geospatial Data Center, http://geospatial.mit.edu
・[2] ECIR | Explorations in Cyber International Relations http://ecir.mit.edu/
付-55
C.9. Global Cyber Security Center - GCSEC
ローマに新設された国際的なセンターであり、Poste Italiane が出資している。George Mason
University(米 国) 、Department of Homeland Security United States Secret Service( 米国 ) 、
Universal Postal Union(国連機関)はパートナーとして MOU(覚書)を結び、講義の作成やワークショ
ップなど教育・トレーニングの面で連携している。
カリキュラムは提携大学である英国 Royal Holloway University of London のものを利用しており、
GCSEC と Royal Holloway University of London の Master を取得できる。
GCSEC(2010 年~)
概要
関係機関
人材育成との
関係
・Global Cyber Security Center (GCSEC)はローマに新設された NPO であり、サイバー
セキュリティに特化している。
・対象は以下の 4 領域:
-International Policy and Cooperation
-Education & Training
-Research & Development
-Information Sharing & Awareness
・パートナー企業は、MOU を締結した上で、講義、ワークショップ、カンファレンス、セミ
ナーなどを実施する予定であり、教育、研究、国際的なサイバーセキュリティ強化のた
めに産学官で連携する。
・英国 Royal Holloway University of London の修士課程のカリキュラムを採用し、
GCSEC と Royal Holloway University of London.の Master(Cyber Security)を取得でき
る。
・Poste Italiane (出資)、国内省庁。
・ENEL Group、Mastercard Corp、Booz & Company 等(パートナー)
・George Mason University、Royal Holloway University of London、SANS Institute 等
・SOCA e-crime(英国)、US Secret Service'米国(、NICC (オランダ)等、政府系組織
・ICANN、ITU、Universal Postal Union (UPU)、CSIS 等、国際機関
・Master of Science in Information Security (Royal Holloway)の学位を提供。
・BSI、ISACA、ASIS などの資格認定を取るためのコースも設置される予定。
キーパーソン
・Andrea Rigoni (Director General of GCSEC、Director of eCommerce & eIdentity of
Poste Italiane)
備考
・出典:Global Cyber Security Center http://www.gcsec.org/about-gcsec, を基に作成
・Charter の中で、「活動に明確な期限はない」としている。
付-56
C.10. KAIST Opens Cyber Security Research Center
韓国を機能不全に陥れた 2009 年の”7.7 DDoS”を踏まえ、Korea Advanced Institute of Science
and Technology (KAIST)が、2011 年 2 月に、Cyber Security Research Center (CSRC)を開設した。
CSRC において、National Intelligence Service や軍と協力し、セキュリティ専門家を育てることを目
的としている。
KAIST Opens Cyber Security Research Center (2011 年~)
概要
関係機関
・KAIST は韓国の国立大学で科学技術研究の中心的な役割を担う。KAIST が 2011 年
2 月に開設した CSRC の目標は、学生を情報セキュリティの専門家に育てることであ
る。
・韓国の政府機関である National Intelligence Service や軍(Ministry of National
Defense)等と連携し、理論だけでなく実践を伴う教育を進めるとしている。
・National IT Industry Promotion Agency
・Korea Communications Commission Network
・KAIST
キーパーソン
・KAIST President Nam Pyo Suh
・Daejoon Joo, Director of the CSRC
備考
・出典: KAIST Opens Cyber Security Research Center
http://herald.kaist.ac.kr/news/articleView.html?idxno=127, を基に作成
付-57
C.11. 研究と実務融合による高度情報セキュリティ人材育成プログラム: ISS スクエア
文部科学省の「平成 19 年度先導的 IT スペシャリスト育成推進プログラム」に採択され、平成 20
年度より開設されたものである。
研究と実務を融合した人材育成プログラムが特徴である。
ISS スクエア (2008 年~)
概要
・情報セキュリティ教育研究領域として、暗号・認証、セキュアネットワーク技術、セキ
ュアシステム技術、セキュアソフトウェア技術、マネジメント、法制度・倫理までトータル
にカバーされた講義体系を擁する。
・各分野の有識者・実務者による特別講義、連携企業等とのインターンシップや基本
技術の実習より、経営、社会ニーズの把握と実践的な知識・技術の獲得を目指す。
・プログラム内に設置される 6 つの研究分科会ならびに各分科会を横断する水平ワー
クショップと連携し、実務リーダー、研究開発者としての学生各自の基盤を作り上げ
る。
関係機関
・情報セキュリティ大学院大学、中央大学、東京大学、国立情報学研究所、ほか企
業・研究機関 11 社。
人材育成との
関係
・主として大学院修士課程の学生を対象として、以下の人材を育成することを目標とし
ている。
-高度情報セキュリティ実践リーダー
情報セキュリティ全般の確実な知識を持ち、企業活動や国の安心・安全を確保する
観点から、実社会の正確な状況認識のもとに、CIO/CISO として組織の情報政策をリ
ードできる人材
-高度情報セキュリティ研究・開発者
情報セキュリティ全般の知識を備え、優れた基礎能力を駆使して問題の本質を把握
し、場当たりでない抜本的な情報セキュリティ対策や基盤技術を創出・先導できる人
材
・以下の条件を満たした場合、修士の学位と情報セキュリティ・スペシャリスト・サーテ
ィフィケート'ISSCertificate(を授与している。
-プログラム講義科目:14 単位以上、実験・実習科目:2 単位以上
-パーソナル・レキジット科目(各大学院が学生個々の状況に応じ、プログラム講義
科目、実験・実習科目を組み合わせて履修対象科目群を指定するもの):4 単位以上
-以上 2 項目を含み、合計 20 単位以上を含む各研究科の定める修士'博士前期(
課程修了所要単位を修得
-ISS スクエア研究会活動で 8 ポイント以上を獲得
-修士論文審査及び最終試験に合格
平成 21 年 3 月以降、計 53 名の修了生'ISSCertificate 取得者(が企業・研究機関
等で活躍している。 (平成 23 年 2 月現在)
キーパーソン
・田中 英彦氏'情報セキュリティ大学院大学 情報セキュリティ研究科長・教授(
・牧野 光則氏'中央大学理工学部長補佐、ISS スクエア幹事会委員(
備考
・出典: ISS スクエア, http://iss.iisec.ac.jp/, を基に作成
付-58
C.12. 産学官が連携する実践的セキュリティエンジニア育成プロジェクト:
IT Keys
文部科学省の「平成 19 年度先導的 IT スペシャリスト育成推進プログラム」に採択され、平成 20
年度より開設されたものである。
高度かつ実践的なセキュリティエンジニア育成プログラムが特徴である。
IT Keys (2008 年~)
概要
・実践的セキュリティエンジニアとして、単にネットワーク機器の設定、セキュリティシス
テムの操作を知っているだけではなく、体系化された知識を背景に、技術だけでなく法
律、政策、経営、倫理を理解するとともに、経験に基づく勘を備えた実践型人材の育
成を目指し、三つの科目群を開講している。
-基礎科目群:体系化された基礎的知識
-先進科目群:総合的知識と新たな問題への対応能力
-実践科目群:産学及び体験を通じた経験的知識と実践能力
・情報セキュリティスキルマップの 16 のスキルを網羅することに加え、管理系分野'経
営、法制度等(の教育も網羅的に行っている。
関係機関
・奈良先端科学技術大学院大学、京都大学、大阪大学、北陸先端科学技術大学院大
学の情報系 4 大学院と、情報通信研究機構、情報セキュリティ研究所、JPCERT コー
ディネーションセンター、NTT コミュニケーションズの 4 企業・団体
人材育成との
関係
・各大学院修士課程'博士前期課程(の学生もしくは科目等履修生で、IT Keys 運営委
員会の審査を経て選抜された約 20 名の学生'IT Keys 登録学生(を対象として、1 年
間、集中的に講義・演習を行う。
・以下の修了要件を満たした場合、修了認定証を授与する。
-基礎科目群:2 科目 4 単位以上
-先進科目群:全科目'2 科目 4 単位(
-実践科目群:2 科目 4 単位以上
-各大学院において実践的な情報セキュリティ問題に関連した、課題研究もしくは
修士研究を修得
キーパーソン
・湊 小太郎氏'奈良先端科学技術大学院大学 情報科学研究科長(
・砂原 秀樹氏'慶應義塾大学大学院 メディアデザイン研究科教授(
備考
・出典: ITKeys, http://it-keys.naist.jp/, を基に作成
付-59
付録 D. 『4.9. 情報セキュリティ関連コンテスト・表彰の実施状況』 調査
結果の詳細
D.1. 日本における情報セキュリティ関連コンテスト
D.1.1. SECCON CTF
日本国内で開かれる情報セキュリティ関連競技会の中では比較的新しいものとして、SECCON
CTF が開催されている。以下の情報は 2012 年 2 月 18 日に開催された福岡大会に関する情報を
基に記載している。
競技会の名称
SECCON CTF
対象者
大学生'一部社会人(
開催目的
日本全体のセキュリティ技術の底上げと人材の発掘・育成
競技の内容
会場で主催者からセキュリティに関してクイズ形式で複数の問題が示
される。参加者は制限時間内にこれらを解いて主催者に回答し、正解
であればポイントを獲得できる。このポイントの総得点を参加者間で競
う。
開催規模
2012 年に初めての大会として福岡大会を開催'7 チーム、31 名が参
加(
主催者
SECCON CTF 実行委員会'セキュリティ関連業界の専門家有志(、九
州工業大学情報工学部
協賛、協力、後援など
株式会社ディアイティ、NTT データ先端技術株式会社
URL
http://www.seccon.jp/
2012 年 2 月に第 1 回大会として九州工業大学の協力のもとで学生向けの福岡大会が開催され
た。この開催で得たロジスティックスや運営コスト等に関する知見を基に、地方大会の展開や社会
人を含めたオープン大会の開催を行い、最終的には全国大会の開催を行う計画である。
問題作成には、CTF 国際大会の出場経験を持つ sutegoma2 メンバー有志と、セキュリティ&プ
ログラミングキャンプの元講師陣が協力している。
参加者には IPA セキュリティ&プログラミングキャンプに以前参加した人が含まれており、2 つ
のプログラムを通して継続的に高度なセキュリティ技術の修得にあたる取り組みともなっている。
今後の課題としては問題作成の協力体制を整えること、運営ノウハウの蓄積等が挙げられる。
付-60
D.1.2. 情報危機管理コンテスト
サイバー犯罪に関する白浜シンポジウムにおいて、学生を対象としてインシデント対応力に関
するコンテストが開催されている。
競技会の名称
情報危機管理コンテスト
対象者
大学生'ただし博士後期課程を除く(
社会人として働いた経験がないこと'学生アルバイトは除く(
開催目的
実践的インシデント対応力の養成、サイバー犯罪専門家による総合的
評価、学生とセキュリティ専門家との交流
競技の内容
一次予選はウェブで行われ、示される状況設定に対してコンサルタン
トとして回答する。二次予選と本戦では参加者はサーバ管理者となり
インシデント対応の適切さを競う。二次予選はインターネット越しに実
施、本戦は会場で実施される。
開催規模
2006 年以後これまでに 6 回を開催。2011 年は 21 チームが予選に参
加。
主催者
情報危機管理コンテスト運営委員
'サイバー犯罪に関する白浜シンポジウムにて併催される(
協賛、協力、後援など
株式会社インターネットイニシアティブ, ネットワンシステムズ株式会
社, 株式会社スマート・インサイト, 株式会社サイバーリンクス, 和歌山
県情報化推進協議会、経済産業省、警察庁 ほか
URL
http://www.riis.or.jp/symposium/vol.16/page_con01.html
付-61
D.1.3. マルウェア対策研究人材育成ワークショップ MWS Cup
マルウェア対策研究人材育成ワークショップは、情報処理学会主催によるコンピュータセキュリ
ティシンポジウム'CSS シンポジウム(とともに毎年開催されている研究者・専門家向けの研究発
表会であるが、このイベントの一環としてマルウェア解析に関する競技会が開催されている。
競技会の名称
マルウェア対策研究人材育成ワークショップ MWS Cup
対象者
研究者'大学生及び社会人(
開催目的
マルウェアに関する専門知識を備えた研究者や実務者の育成
競技の内容
研究用データセットを活用したマルウェア対策研究の成果を活用し、
一定時間内で課題に取り組み解析結果を競う。技術的な解析の正確
性'技術点(と、解析方法の発表'芸術点(により判定を行い、合計点
が最も高いチームが総合優勝となる。
開催規模
2008 年以後これまでに 4 回を開催。2011 年は 6 チームが参加。
主催者
サイバークリーンセンター運営委員会、社団法人情報処理学会
協賛、協力、後援など
(社)電子情報通信学会 情報セキュリティ研究会 (ISEC), (社)電子情
報通信学会 情報通信システムセキュリティ時限研究会 (ICSS), 日本
シーサート協議会 (NCA)
URL
http://www.iwsec.org/mws/2011/
MWS Cup 参加者への参加費・旅費等の補助は行っていない。MWS Cup の運営には実質的に
は 5 名程度が携わっている。MWS 及び MWS Cup 単独での開催・運営は困難であるという認識の
下で、コンピュータセキュリティシンポジウムの運営に相乗りする形態を取って開催している。
付-62
D.2. 米国における情報セキュリティ関連コンテスト
米国においては、情報セキュリティ分野のプロフェッショナル人材の不足を補うことを目的に、大
統領のイニシアチブに基づく官民連携に基づく人材発見/育成プログラムである US Cyber
Challenge'USCC(55が進められており、情報セキュリティ関連コンテストもその一手法として活用さ
れている。
US Cyber Challenge は、次世代のサイバーセキュリティプロ人材を探し出し、勧誘し、採用・登
用によりサイバーセキュリティ人材の不足を解消することを目的とし、米国の最優秀の人材 1 万
人を探し出してその能力を米国に役立てるサイバーセキュリティの専門家にすることをゴールとし
ている。
プログラムは官民のパートナーシップにより推進され、これにはパートナー/ステークホルダー
として、高校、大学、州政府、連邦政府、企業、国立研究所、メディア・出版社が含まれる。特に高
校生、大学生を対象としたプログラムが組まれており、ネットワークセキュリティの実践的な人材の
発掘に重点が置かれている。プログラムの構成を下図に示す。
付図 1 US Cyber Challenge の全体像
55
https://www.nbise.org/uscc
付-63
D.2.1. Collegiate Cyber Defense Competition (CCDC)
Collegiate Cyber Defense Competition (CCDC)は US Cyber Challenge の一環として開催される
競技会である。
競技会の名称
Collegiate Cyber Defense Competition (CCDC)
対象者
大学生
開催目的
企業ネットワークインフラとビジネス情報システムの防御に関する課題
解決を通じて、学生の理解力と運用能力を評価するための、制御可能
な競技性の高い環境を用いたコンピュータセキュリティのカリキュラム
を提供する。
競技の内容
競技は実際の企業活動を想定したネットワーク・情報システムの防御
に主眼が置かれている。
学生チームは 50 人ほどのユーザがいる小企業のネットワーク環境に
相当する環境をそれぞれ与えられて、外部の脅威への対応力やサー
ビスの維持や要望への対応など運用力を競い合う。外部の脅威はボ
ランティアの攻撃チームが担当する。
開催規模
2011 年には全国で 109 チームが参加。決勝は地方大会で優勝した 9
チームで行われた。
主催者
テキサス大学サンアントニオ校サイバーセキュリティ研究所インフラ安
全保障・セキュリティセンター'ICS-CIAS(
協賛、協力、後援など
Deloitte 社、DHS
URL
http://www.nationalccdc.org/
付-64
D.2.2. CyberPatriot High School Defense Competition
CyberPatriot High School Defense Competition は US Cyber Challenge の一環として開催される
競技会/教育プログラムである。決勝戦は空軍協会が主催しワシントン DC にて開かれる Cyber
Futures Conference にて行われる。
競技会の名称
CyberPatriot High School Defense Competition
対象者
高校生'一般の高校及び軍学校(
開催目的
実際に手を動かして実践的な知識を習得させる。その後の高等教育と
理系キャリア分野での就職の機会を提供する。軍への採用だけを意
図するものではなく、攻撃的なハッカー育成のプログラムでもない。
競技の内容
複数回のオンライン競技会が一般高校部門と軍学校部門の 2 つで行
われ、合わせて SAIC 社が提供するオンラインのトレーニングも行われ
る。防御的な内容。
開催規模
数千人規模の全国大会を目指している。予選は 3 回戦行われる'今年
度は計 100 チームが参加(、決勝戦には 2 つの部門のそれぞれで成績
優秀な 12 チームずつが参加。
主催者
空軍協会'The Air Force Association(、ノースロップ・グラマン社、テキ
サス大学サンアントニオ校サイバーセキュリティ研究所インフラ安全保
障・セキュリティセンター'ICS-CIAS(、SAIC 社'教育サービスを提供(
協賛、協力、後援など
ノースロップ・グラマン社の協力の下、複数年予算で活動している。こ
のほかに戦略パートナーとして GD AIS 社、Raytheon 社、Microsoft 社
が資金提供している。
URL
http://www.highschoolcdc.com/
付-65
D.2.3. DC3 Digital Forensics Challenge
DC3 Digital Forensics Challenge は US Cyber Challenge の一環としてウェブ上でヴァーチャルに
開催されている競技会である。英国において政府が推進する教育プログラム Cyber Security
Challenge UK に含まれる競技会の 1 つでもある。
競技会の名称
DC3 Digital Forensics Challenge
対象者
現場及び研究に携わるコンピュータフォレンジック技術に係る個人、チ
ーム、組織
開催目的
情報セキュリティ専門家不足の解消、デジタルフォレンジックコミュニテ
ィの関係強化と問題解決、新しいツール、技術、手法などの開発促進
など
競技の内容
オンラインで開かれるオープンな国際大会。毎年 12 月 15 日に問題が
公開され、参加者には翌年の 11 月 2 日までに解決策の投稿が求めら
れる。結果発表は 12 月初頭に行われる。問題は複数出される'2012
年は 20 問(。各問題の難易度に応じた得点が設定されている。既知の
手段で容易に解決可能な問題から、解決手段が知られていない問題
までが含まれる。
開催規模
2010 年には 53 カ国から 1010 チームが参加。
主催者
国防総省'Department of Defense(サイバー犯罪センター'DC3(
協賛、協力、後援など
SANS Institute、The International Council of Electronic Commerce
Consultants (EC-Council)、Cyber Security Challenge UK、NIST 等
URL
http://www.dc3.mil/challenge/2012/
付-66
D.2.4. Cyber Quest
Cyber Quest は US Cyber Challenge の一環としてウェブ上でヴァーチャルに開催されている競
技会である。
競技会の名称
Cyber Quest
対象者
一般の個人
開催目的
情報セキュリティプロフェッショナル人材の発掘
競技の内容
オンラインの競技会。米国人を主対象としている。情報セキュリティ領
域の知識を競う。クイズ形式であり、ウェブサーバの潜在的な脆弱性
を探す問題や、フォレンジック分析、パケットキャプチャー解析などが
出題される'前回は制御システム関連の問題が出題された(。問題は
初級者向けから中級・上級者向けまで。登録から 24 時間以内に回答
することが求められる。おおよそ半月の間、登録と回答を受け付けて
いる。2011 年 3 月以後これまでに 4 回開催されている。成績優秀者は
セキュリティキャンプや会議に招待される。
開催規模
2011 年 8 月の第 3 回には 480 名が参加。
主催者
US Cyber Challenge
協賛、協力、後援など
SANS Institute、Juniper、SE Solutions、SecureInfo、the federal CIO
Council、DHS、Lockheed Martin、Microsoft
URL
http://uscc.cyberquests.org/
付-67
D.2.5. NetWars
NetWars は US Cyber Challenge の一環として開催されている競技会/教育プログラムである。
競技会の名称
NetWars
対象者
制限はないが、主に大学生が想定されている。
開催目的
実践的・総合的なネットワークセキュリティ技術の評価と習得
競技の内容
課題は限られた環境と権限のみを持たされる場合からドメイン管理者
となる場合まで 5 つのレベルに分かれており、順に解くことで参加者の
熟練度に合わせた難易度の課題に挑戦できる。最終的には攻防戦形
式の競技となっている。ペネトレーションテスト技術などの攻撃に関す
る技術に重点が置かれている。
SANS のカンファレンス会場において、2 晩 6 時間で行われるトーナメン
ト形式競技と、4 ヶ月間のより複雑な課題が与えられる長期戦形式競
技があり、特に長期戦形式では技術の習得を目的として繰り返し学習
を行うことができる。
開催規模
SANS カンファレンス会場で開かれるトーナメント形式競技には 100 名
規模の参加がある。
主催者
SANS
協賛、協力、後援など
'なし(
URL
http://www.sans.org/cyber-ranges/netwars/
付-68
D.2.6. DEFCON CTF
DEFCON CTF は有志により開かれる CTF 大会で、国際ハッカー・カンファレンスである DEFCON
会場において本戦が戦われる。
競技会の名称
DEFCON CTF
対象者
特に制限はない
開催目的
'不明(
競技の内容
予選はウェブ上で 3 日間に渡り開催、クイズ形式で行われる。本戦は
各チームに用意された実機上のサーバを用いて、参加者間で実際に
サーバへの攻撃と防御を行い、ポイントを稼ぐ形式'攻防戦(で行われ
る。
特に本戦では攻撃に関する技術知識が重要となる傾向が強く表れて
いる。
開催規模
世界最大規模の大会。1996 年から開催されている。
予選はウェブ上で公開され 3 日間。300 チーム'3000 人程(が参加。本
戦はラスベガスで開催され、3 日間に渡る。予選を勝ち抜いて招待され
た 10 チームが参加。
主催者
DDTEK'2009 年~2011 年(
協賛、協力、後援など
'不明(
URL
http://ddtek.biz/
付-69
D.3. 英国における情報セキュリティ関連コンテスト
英国においては、政府が主導して、セキュリティ・コンテストを活用して高度情報セキュリティ人
材を発掘するプログラム Cyber Security Challenge UK56が推進されている。この Cyber Security
Challenge UK について以下に示す。
D.3.1. 組織
Cyber Security Challenge UK は非営利組織である Cyber Security Challenge UK Ltd.が主催し
ている。この運営には政府組織、私企業、社団法人などの代表者が協同してあたっている。
Cyber Security Challenge UK は米国における同種の取り組みである US Cyber Challenge とは
協力関係にある。SANS Institute は両方のプロジェクトに競技用材を供給している。また、DC3
Digital Forensics Competition においては英国部門が設けられており、CCUK が賞を与えている。
・Cyber Security Challenge UK の運営は、ボード、コンソーシアム、各活動グループ、イベントグル
ープ及びウェブサイトの 4 層のマネジメント構造で行われている。ボードメンバーには、Office of
Cyber Security and Information Assurance (OCSIA)、Information Assurance Advisory Council
(IAAC)、その他私企業の重役級役職者が含まれている。
D.3.2. 活動目的
サイバーセキュリティ関連の人材不足を解消するため、情報セキュリティに関する新しい才能を
みつけて育成し就業させることを目的としている。良いハッカーを探して政府で雇うことは目的で
はない旨が明言されている。
D.3.3. プログラムの概要
Cyber Security Challenge UK の参加対象者の条件には、プロではないことが挙げられており、
主に就業前の学生が対象となっている。
Cyber Security Challenge UK の競技の全体像を下図に示す。
56
https://cybersecuritychallenge.org.uk/
付-70
付図 2 Cyber Security Challenge UK の全体像57
Cyber Security Challenge UK に含まれる競技会は複数あり、以下の 3 つのカテゴリーに分かれ
ている。
・ Secure and Control
対象分野: 制御システムセキュリティ、セキュアソフトウェア開発
ラウンド 1'ヴァーチャル(では、セキュアソフトウェア開発技術を競う
ラウンド 2 ではロボット装置のプログラムと制御を対面の競技会で行う
・ Informed Defence
対象分野: 脆弱性、エクスプロイト
ラウンド 1 では脆弱性の調査と効果的な攻撃の実行を競う
ラウンド 2 ではセキュアシステムを攻撃から守る知識を実践する
・ Investigate and Understand
対象分野:マルウェア解析、フォレンジック
ラウンド 1:フォレンジック
ラウンド 2:マルウェアハント
Cyber Security Challenge UK を 1 つの大きな競技会とみなすなら、この競技会は 3 ラウンドから
なる。プログラム参加者は、予選にあたるラウンド 1 競技会、ラウンド 2 競技会を勝ち抜き、最終的
なラウンド 3 のマスタークラス大会への出場権利を得る。ラウンド 1 とラウンド 2 については前述さ
れた各カテゴリーで行われる。
57
https://cybersecuritychallenge.org.uk/
付-71
・ ラウンド 1 競技会
ヴァーチャルにリモートで行われる競技会
・ ラウンド 2 競技会
ラウンド 1 の成績優秀者はラウンド 2 競技会に出られる
対面形式で行われる競技会
・ ラウンド 3 競技会'マスタークラス大会(
各カテゴリーのラウンド 2 の優秀成績者を集めたチャンピオン決定戦
また、競技会以外には次のような活動がある。これら以外に、18 歳~22 歳を対象としたキャン
プ開催について検討している段階である。
・ Risk Analysis and Policy
ビジネスインパクトとポリシーに関する競技。現在は計画段階。
・ Can You Talk Security
2012 年に開始する予定の企画。参加者はセキュリティに関する難解な技術知識を聴衆に
解説する技能を競う。
・ Cipher Competitions
暗号に関する問題をウェブで掲載している。PwC が問題作成にあたっている。
D.3.4. スポンサー
Cyber Security Challenge UK では一般企業スポンサーを募集している。資金協力の額により得
られる特典が 4 段階に分けられている。
主なスポンサーは、内閣府 OCSIA、PWC、BT、Cassidian、HP、QinetiQ、SAIC、SANS Institute、
Sophos、CompTIA、(ISC)2、RSA などで、30 組織以上が協力している。設立時のスポンサーは、
Sophos、SANS Institute、内閣府 OCSIA、CASSIDIAN、QinetiQ、Detica、Dtex Systems、Open
University であった。
D.3.5. 賞
賞は競技会毎に成績優秀者に与えられる。賞の内容には次のものが含まれている。
・ 専門家団体のメンバーシップ
・ 大学・大学院への奨学金
・ トレーニングコースへの無償参加権
・ 専門家会議・ワークショップへの招待
・ IT セキュリティ関連企業へのインターンシップ
・ 専門家向け書籍、データベースアクセス権
付-72
D.4. 韓国における情報セキュリティ関連コンテスト
韓国においては政府の協力のもとでハッキングコンテストが開催されている。
競技会の名称
CODEGATE YUT Challenge
対象者
予選は、世界各国のホワイト・ハッカー'善玉のハッカー(たちを対象と
しており、1 チーム最大で 10 名までが参加可能。本戦は予選で優秀な
成績を修めたトップ 8 チームで行われ、1 チームにつき 4 名までが参加
できる。
開催目的
社会で活躍するセキュリティ専門家人材の育成と就業の促進。
競技の内容
予選はオンラインで行われるクイズ形式の競技会で脆弱性、バイナ
リ、ネットワーク、フォレンジック、その他の 5 分野から問題が出され
る。予選は 36 時間で戦われる。
本戦は対面の攻防戦形式で 24 時間行われる。
開催規模
2011 年の予選には 400 チーム以上が参加。
主催者
2011 年主催は、電子新聞'etnews.com(、CODEGATE 組織委員会
協賛、協力、後援など
2011 年は、知識情報セキュリティ産業協会'KISIA(、韓国政府の知識
経済部、行政安全部、放送通信委員会、韓国インターネット振興院
'KISA(等が後援。SOFTFORUM 社が運用サポートにあたった。
URL
http://yut.codegate.org/
CODEGATE YUT Challenge は韓国において開催される国際情報セキュリティ会議
CODEGATE58におけるイベントとして開かれるハッキングコンテストである。2011 年の CODEGATE
は以下のようなイベントから構成されたものとなっていた。
・ 国際ハッキングコンテスト CODEGATE YUT Challenge
・ 国際セキュリティ会議及びトレーニングコース
・ IT ショー'セキュリティ関連製品及び技術展示(
・ 人材採用イベント
CODEGATE YUT Challenge の本戦に海外から参加する参加者には、1 チームあたり 200 万ウォ
ンから 400 万ウォンの補助が主催者から出されている。
CODEGATE の開催には 15 名ほどのスタッフが係っており、1 回あたりの開催全体ではおよそ 5
億ウォンの費用がかかっている。
58
http://www.codegate.org/
付-73
付録 E. 『4.10. 情報セキュリティ教育プログラム及びキャンプの実施状
況』 調査結果の詳細
E.1. 教育プログラム
教育プログラムとして、特に情報セキュリティ関する資格の取得や継続を目的とした研修プログ
ラムについて調査を行った。調査結果は情報セキュリティに関する資格毎に取りまとめた。
E.1.1. ISMS 審査員資格研修
プログラム名、対応する資格名
ISO/IEC27001 審査員研修コース
カリキュラムの具体的な内容
ISMS 審査員になるために必要な研修コース'5 日間(。内容には
ISMS 適合性評価制度の概要、ISO27001'JISQ27001(の解説、
ISMS 審査の実務、審査演習'ロールプレイ(、試験等が含まれる。
参加費用
210,000 円~241,500 円
対象者'必要な前提知識・資格・
ISMS 審査員を目指す人、ISMS 内部監査責任者、ISMS コンサル
実務経験など(
タント及び ISMS コンサルタントを目指す人。
開講数'年間(
提供する 1 社あたり 10 回程度
のべ受講者数'年間(
提供する 1 社あたり 80 名程度
資格取得率
約 90%
研修コース提供者'順不同(
ISO/IEC27001 審査員研修コースの提供者は以下の通りである:
株式会社テクノファ、株式会社エル・エム・ジェイ・ジャパン、BSI グ
ループジャパン株式会社、リコージャパン株式会社、株式会社グ
ローバルテクノ、株式会社日本環境認証機構、財団法人日本科
学技術連盟
参考 URL
http://www.jsa.or.jp/jrca/kensyu-2.asp
付-74
E.1.2. プライバシーマーク審査員研修
プログラム名、対応する資格名
プライバシーマーク審査員研修コース
カリキュラムの具体的な内容
審査員研修コース: プライバシーマーク審査員を養成する研修。
受講後の修了試験に合格すればプライバシーマーク審査員補
として登録申請が可能となる。
審査員フォローアップ研修: 主任審査員、審査員または審査員補
として登録されている有資格者が、資格維持のため年 1 回以上
受講する必要がある研修。
審査員補が審査員になるための実務研修: 審査員補が審査員
に格上げされるために必要な研修。文書審査と現地審査の両
方で経験を積むためのもの。評価結果次第では最大 3 期の受
講が必要となる。
参加費用
審査員研修コース: 21 万円。
審査員フォローアップ研修: 15,750 円~21,000 円。
審査員補が審査員になるための実務研修: 52,500 円/期。
対象者'必要な前提知識・資格・
審査員研修コース: プライバシーマーク審査員を目指す人。
実務経験など(
審査員フォローアップ研修: 主任審査員、審査員または審査員
補。
審査員補が審査員になるための実務研修: 審査員補
開講数'年間(
提供する 1 社あたり 7 回程度
のべ受講者数'年間(
提供する 1 社あたり 80 名程度
資格取得率
約 80%
研修コース提供者'順不同(
プライバシーマーク審査員研修コースは次のプライバシーマーク
指定研修機関より提供されている: 社団法人中部産業連盟、財
団法人関西情報・産業活性化センター、リコージャパン株式会社、
株式会社グローバルテクノ、株式会社品質保証総合研究所
参考 URL
http://privacymark.jp/shinsain/index.html
付-75
E.1.3. 情報セキュリティ監査人研修
プログラム名、対応する資格名
JASA 認定研修・トレーニング'情報セキュリティ監査人(
カリキュラムの具体的な内容
情報セキュリティ監査人研修 2 日間コース: 情報セキュリティ監査
アソシエイトに求められる情報セキュリティ監査の基礎知識修
得を目的とする。受講後の修了試験に合格すると情報セキュリ
ティ監査アソシエイトの資格申請が可能となる。
情報セキュリティ監査人トレーニング 3 日間コース: 情報セキュリ
ティ監査アソシエイト資格登録者が、情報セキュリティ監査の基
本的経験を修得し、情報セキュリティ監査人補以上の資格取得
を目指すためのコース。
参加費用
情報セキュリティ監査人研修 2 日間コース: 9 万円
情報セキュリティ監査人トレーニング 3 日間コース: 20 万 5 千円
対象者'必要な前提知識・資格・
情報セキュリティ監査アソシエイトあるいは情報セキュリティ監査
実務経験など(
人補以上の資格取得を目指す人
開講数'年間(
情報セキュリティ監査人研修については 1 社で年間に 7 回
のべ受講者数'年間(
情報セキュリティ監査人研修については 1 社で年間に約 80 名
資格取得率
約 90%
研修コース提供者'順不同(
以下の研修機関で JASA 認定研修・トレーニングを実施している:
リコージャパン株式会社、株式会社富士通ソーシアルサイエンス
ラボラトリ、株式会社アスラボ、株式会社ケーケーシー情報システ
ム、社団法人中部産業連盟
参考 URL
http://www.jasa.jp/qualification/ext_trainingsystem.html
付-76
E.1.4. SEA/J 情報セキュリティ技術認定に係る教育プログラム
プログラム名、対応する資格名
SEA/J 情報セキュリティ技術認定
カリキュラムの具体的な内容
情報セキュリティ技術認定 基礎コース'Certified Security Basic
Master: CSBM(: 情報セキュリティ全般の網羅的な知識。2 日
間のコース。
情報セキュリティ技術認定 応用コース・テクニカル編'Certified
Security Professional Master of Technical: CSPM(: セキュリテ
ィ技術者によるセキュアなシステム構築・運用に関する内容。フ
ァイアウォール、IDS、暗号技術と PKI、VPN、アクセスコントロー
ル等のスキルを修得する。3 日間のコース。
情報セキュリティ技術認定 応用コース・マネジメント編'Certified
Security Professional Master of Management: CSPM(: セキュ
リティ管理者によるセキュリティ体制の構築・運用に関する内
容。情報セキュリティマネジメント・リスク分析の考え方、情報セ
キュリティポリシー策定の基本、対策計画に必要な知識を習得
する。2 日間のコース。
参加費用
CSBM: 99,750 円
CSPM テクニカル編: 204,750 円
CSPM マネジメント編: 141,750 円
'費用はテキストと試験を含む(
対象者'必要な前提知識・資格・
実務経験など(
CSBM: 情報セキュリティに関係する初級技術者及びシステム関
係企業の従業員
CSPM テクニカル編: システム/セールスエンジニア、情報システ
ム管理者、IT コンサルタント
CSPM マネジメント編: 情報システム管理者、セキュリティ監査
員、法務担当者
開講数'年間(
'不明(
のべ受講者数'年間(
'不明(
資格取得率
'不明(
研修コース提供者'順不同(
SEA/J 認定校は 23 の組織からなる'13 の専門学校を含む(。詳細
については参考 URL に示したホームページを参照。
参考 URL
http://www.sea-j.net/about/school_list.html
付-77
E.1.5. CISSP に係る教育プログラム
プログラム名、対応する資格名
CISSP 10 ドメインレビューセミナー
カリキュラムの具体的な内容
(ISC)2 が提供する公式セミナー。技術的専門知識、経営に必要な
セキュリティ知識を包括的にカバーしている。CISSP 試験で問われ
る情報セキュリティ共通知識分野 10 ドメイン'情報セキュリティガ
バナンスとリスクマネジメント、セキュリティアーキテクチャと設計、
アクセス制御、通信とネットワークのセキュリティ、暗号学、アプリ
ケーション開発セキュリティ、事業継続と災害復旧の計画、物理
'環境(セキュリティ、法/規則/コンプライアンス/捜査。運用セキュ
リティ(についてレビューし、各分野の技術や概念及びベストプラク
ティスを詳細に解説し、ドメイン間の関連性などについて理解を深
める。5 日間で 5 つのモジュールからなるコース。
参加費用
セミナー受講費用 44 万 6,250 円。試験費用 68,250 円。
対象者'必要な前提知識・資格・
経営幹部から一般社員などの全て。
実務経験など(
開講数'年間(
各社で年に 4~6 コースが開講されている。
のべ受講者数'年間(
1 社あたりのべ 120 名程度
資格取得率
'不明(
研修コース提供者'順不同(
公式セミナー販売代理店は以下の各社である: 株式会社アズジ
ェント、エヌ・ティ・ティ・コム チェオ 株式会社、エヌ・ティ・ティ・デー
タ先端技術株式会社、株式会社ラック、株式会社アーク、NEC ラ
ーニング株式会社、CTC テクノロジー株式会社、株式会社ディア
イティ、ドコモ・システムズ株式会社、ネットワンシステムズ株式会
社。総代理店は株式会社ラック。
参考 URL
https://www.isc2.org/japan/how_entry.html
付-78
E.1.6. SSCP に係る教育プログラム
プログラム名、対応する資格名
SSCP 7 ドメインレビューセミナー
カリキュラムの具体的な内容
SSCP 試験で問われる 7 ドメイン'セキュリティの運用と管理、リス
ク/対応/復旧、アクセス制御、不正なコード、ネットワークと通信、
暗号学、分析とモニタリング(についてレビューし、各分野の技術
や概念及びベストプラクティスを詳細に解説し、ドメイン間の関連
性などについて理解を深める。3 日間で 3 つのモジュールからなる
コース。
参加費用
セミナー受講費用 15 万 7,500 円。試験費用 31,500 円。
対象者'必要な前提知識・資格・
ITに従事する実務者'ネットワークシステム開発や運用などセキュ
実務経験など(
リティに関する知識を必要とする職種の人(。必ずしも情報セキュ
リティを専業としてはいないが情報セキュリティを技術及び組織的
な観点から理解し専門家や経営陣とコミュニケーションが取れるこ
とを目的とする人。
開講数'年間(
各社で年に 2~3 コースが開講されている。
のべ受講者数'年間(
提供する 1 社あたりのべ 20 名程度
資格取得率
'不明(
研修コース提供者'順不同(
公式セミナー販売代理店は以下の各社である: 株式会社アズジ
ェント、エヌ・ティ・ティ・コム チェオ 株式会社、エヌ・ティ・ティ・デー
タ先端技術株式会社、株式会社ラック。総代理店は株式会社ラッ
ク。
参考 URL
https://www.isc2.org/japan/how_entry.html
付-79
E.1.7. GIAC に係る教育プログラム
プログラム名、対応する資格名
SANS トレーニング'GIAC 認定(
カリキュラムの具体的な内容
Security コースとして 7 つ、Audit コースとして 2 つ、Developer コー
スとして 1 つのコースが日本では提供されている。
SANS Security Essentials Boot Camp Style :セキュリティの専門
用語と基本理論の学習、最新知識とスキルの習得。6 日間のコ
ース。最も頻繁に提供される。
Advanced Security Essentials – Enterprise Defender : より発展
的な学習内容。組織の防御、検知、レスポンスに関する技術に
ついて。6 日間のコース。
Network Penetration testing and Ethical Hacking :ペネトレーショ
ンテストの事前計画、ネットワークサービスや OS のセキュリティ
評価。詳細な予備調査の実践方法、ツールを使用した実験環
境内での演習、最終報告の準備方法、包括的な総合演習を含
む。6 日間のコース。
参加費用
SANS Security Essentials Boot Camp Style 40 万円。
Advanced Security Essentials – Enterprise Defender 43 万円。
Network Penetration testing and Ethical Hacking 43 万円。
など'早期割引や GIAC 受験の有無、オンデマンドトレーニング等
により価格は異なる(
対象者'必要な前提知識・資格・
実務経験など(
SANS Security Essentials Boot Camp Style : セキュリティ担当
者、マネージャクラス。
Advanced Security Essentials – Enterprise Defender :セキュリテ
ィ運用管理に従事する技術者。Security Essentials の内容と同
等の知識・スキルを有する人。
Network Penetration testing and Ethical Hacking :高度なセキュリ
ティ技術を習得しようとする人。TCP/IP、暗号化アルゴリズム、
Windows 及び Linux のコマンドライン操作に関する知識を持つ
人。
開講数'年間(
集合研修形式のオープンコースを 3 回、企業への講師派遣形式
の特設コースが 2 回程度。このほかに米国 SANS に直接申込を行
うオンラインコースがある。
のべ受講者数'年間(
約 200 名。
付-80
資格取得率
約 80%'講座テキストの持ち込みが可能(
研修コース提供者'順不同(
SANS JAPAN'NRI セキュアテクノロジーズ株式会社(
参考 URL
http://www.sans-japan.jp/training/index.html
E.1.8. CompTIA Security+に係る教育プログラム
プログラム名、対応する資格名
CompTIA Security+
カリキュラムの具体的な内容
暗号化や認証などの標準的なセキュリティ技術、セキュリティポリ
シー、セキュリティリスクからの具体的な防御策等。攻撃と防御、
検知に関する実践的な演習を含む場合もある。
参加費用
12 万円~21 万円'研修形式の場合(
対象者'必要な前提知識・資格・
情報セキュリティの基礎知識を習得したい人。セキュリティ関連の
実務経験など(
業務に従事しているエンジニア'システム・セールスエンジニア・シ
ステム管理者(。
開講数'年間(
提供する 1 社あたり年 1 回程度
のべ受講者数'年間(
提供する 1 社あたり 10 名程度
資格取得率
'不明(
研修コース提供者'順不同(
株式会社ウチダ人材開発センタ、TAC 株式会社、株式会社ラッ
ク、株式会社 ICC ラーニング、株式会社 IP イノベーションズ、イー
プロジェクト/トレードクリエイト、株式会社エイチ・アール・ディー研
究所、エミール総合学院、ゴールデンフォレスト株式会社
参考 URL
http://www.comptia.jp/cont_school.html
付-81
E.2. キャンプ
若年層を対象とした情報セキュリティプログラムとして提供されているセキュリティ・プログラミン
グキャンプについて調査を行った。
プログラム名称
セキュリティ&プログラミングキャンプ
主催者
IPA'2008 年度より(
共催
経済産業省
後援
文部科学省
主催目的
技術面のみならず、モラル面、セキュリティ意識、職業意識等の向
上を図り、将来の IT 産業の担い手となりうる優れた若い人材の発
掘と育成を目的とする。
カリキュラムの具体的な内容
合宿形式'4 泊 5 日(で情報セキュリティやプログラミングについて
学ぶ。講師陣には最先端で活躍する技術者を招いている。カリキ
ュラムは共通とクラス別の講義・演習に分かれている。
共通: 講義'情報セキュリティ基礎、プログラミング入門、特別講
師による講義(、特定テーマでのディスカッション、CTF'問題を
解いてチーム対抗戦で競い合う(
クラス別: ソフトウェアセキュリティ、ウェブセキュリティ、ネットワー
クセキュリティ、セキュア OS、プログラミング言語
参加費用
自宅と会場間の往復の交通費、及び宿泊費を主催者側で負担す
る。また、キャンプにかかる費用'受講料、テキスト代、機器使用
料など(は無料。
対象者'必要な前提知識・資格・
中学生から 22 歳'大学生(の就業前の若者を対象とする。全国の
実務経験など(
学生から広く募集。2011 年度は平均 18 歳、最年尐者は 13 歳であ
った。
開講数'年間(
年に 1 回'2004 年度から実施(。2011 年度は大阪で開催。
のべ受講者数'年間(
60 名'2011 年度実績(
参考 URL
http://www.ipa.go.jp/jinzai/renkei/spcamp2011/
2011 年度は講師及び事務局を合わせて 60 名程度のスタッフで活動を行っている。2012 年度よ
り新たな体制を構築して中央大会及び地方大会を開催する計画を進めている。
付-82
付録 F. 情報セキュリティ人材育成に関する調査 ヒアリング・アンケート
調査対象一覧
4.1.災害時に
情報セキュリ
ティ対策を担
う人材像★
4.2.企業等が
作成している
情報セキュリ
ティ人材育成
計画
4.3.企業等の
情報セキュリ
ティ関連組織
体制等
4.4.企業等に
おけるセキュ
リティ人材の
不足感・育成
方針等★
4.5.情報セ キ
ュリティ関連
資格制度の
概要★
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
4.7. 大 学 ・ 大
学院における
情報セキュリ
ティカリキュラ
ム・学位
○
4.6.情報セ キ
ュリティ関連
資格制度、キ
ャリアパス、
処遇等の関
係★
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
4.8. 大 学 ・ 大
学院における
産学官連携
の取り組み
4.9.情 報セ キ
ュリティ・コン
テスト・表彰
の実施状況
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
15
22
28
28
12
14
★ : 調査対象が日本のみの項目
付-83
15
12
4.10. 情 報 セ 調査対象
キュリティ教
育プログラ
ム・キャンプ
の実施状況
★
○
有識者'セキュリティ専門企業(
有識者'セキュリティ専門企業(
有識者'IT ベンダ(
有識者'外資系 IT ベンダ(
○
有識者'IT サービス企業(
○
有識者'IT サービス企業(
○
有識者'IT 関連団体(
有識者'IT 関連団体(
○
有識者'大学・大学院(
有識者'大学・大学院(
有識者'大学・大学院(
有識者'大学・大学院(
有識者'大学・大学院(
建設業 A
建設業 B
製造業 A
製造業 B
製造業 C
製造業 D
製造業 E
製造業 F
製造業 G
製造業 H
通信業 A
情報サービス業 A
情報サービス業 B
情報サービス業 C
情報サービス業 D
情報サービス業 E
物流業 A
卸売業 A
小売業 A
教育、学習支援業 A
IPA
JASA
SEA/J
CompTIA
ISACA
SAAJ
'米国(Stanford University
Cybersecurity Center
'米国(MIT Geospatial Data
Centre
'米国(CMU Information
Networking Institute (INI), CyLab
'米国(Purdue University CERIAS
'米国(University of Maryland
Cybersecurity Center
'米国(Utica Colledge
'米国(James Madison University
'イタリア(Global Cyber Security
Center (GCSEC)
'韓国(KAIST
情報危機管理コンテスト
マルウェア対策研究人材育成ワ
ークショップ
'米国( NCCDC
'米国( CyberPatriot
'米国( CyberQuest
'米国( NetWars
'米国( DEFCON CTF
'英国( Cyber Security Challenge
'韓国( CODEGATE YUT
Challenge
○
教育、学習支援業 B
○
教育、学習支援業 C
○
教育、学習支援業 D
○
教育、学習支援業 E
○
教育、学習支援業 F
○
教育、学習支援業 G
○
教育、学習支援業 H
○
教育、学習支援業 I
12
13
米国
12 件
韓国
2件
その他
2件
付録 G. 検討会の実施概要
検討会構成員名簿
耐災害性を強化した情報システムの在り方等に関する調査検討会
構成員名簿
'委員長(
渡辺 研司
名古屋工業大学大学院 教授
'委員(
小林 偉昭
(独(情報処理推進機構'IPA(セキュリティセンター
情報セキュリティ技術ラボラトリー長
秦 康範
山梨大学大学院准教授
原田 要之助
情報セキュリティ大学院大学 教授
松本 勉
横浜国立大学大学院 教授
'敬称略、順不同(
'事務局(
株式会社三菱総合研究所
付-84
第 1 回会合
■ 日時:平成 24 年 2 月 29 日'水(18:30~20:30
■ 場所:株式会社三菱総合研究所 4 階 CR-D 会議室
■ 出席者'敬称略(:
'委員長(
渡辺 研司
名古屋工業大学 大学院工学研究科社会工学専攻しくみ領域
'委員(
松本 勉
横浜国立大学 大学院環境情報研究院
秦 康範
山梨大学 大学院医学工学総合研究部
工学部 土木環境工学科 防災研究室
小林 偉昭
(独)情報処理推進機構'IPA(
セキュリティセンター情報セキュリティ技術ラボラトリー
'内閣官房情報セキュリティセンター(
泉 宏哉、千葉 寛之、木原 栄治、片見 悟史
'事務局(株式会社三菱総合研究所.
村瀬 一郎、川口 修司、江連 三香、松崎 和賢
■ 資料
資料 1-1
耐災害性を強化した情報システムの在り方等に関する調査検討会
設置趣旨等
資料 1-2
会議の公開について
資料 1-3
耐災害性を強化した情報システムの在り方等に関する調査 実施計画書
■検討内容:
・検討会の設置趣旨等について
・会議の公開について
・調査実施計画、内容について
付-85
第 2 回会合
■ 日時:平成 24 年 3 月 9 日'金(10:00~12:00
■ 場所:株式会社三菱総合研究所 4 階 CR-E 会議室
■ 出席者(敬称略):
'委員長(
渡辺 研司
名古屋工業大学 大学院工学研究科社会工学専攻しくみ領域
'委員(
原田 要之助
情報セキュリティ大学院大学 情報セキュリティ研究科
小林 偉昭
(独)情報処理推進機構'IPA(
セキュリティセンター情報セキュリティ技術ラボラトリー
'内閣官房情報セキュリティセンター(
千葉 寛之、木原 栄治、片見 悟史
'事務局(株式会社三菱総合研究所.
村瀬 一郎、川口 修司、江連 三香、松崎 和賢
■ 資料
資料 2-1
耐災害性を強化した情報システムの在り方等に関する調査検討会
第 1 回会合 議事録'案(
資料 2-2
災害発生時の情報システムへの影響と対策調査'中間報告(
資料 2-3
情報セキュリティ人材育成調査'中間報告(
■検討内容:
・検討会の設置趣旨等について
・災害発生時の情報システムへの影響と対策調査についての中間報告
・情報セキュリティ人材育成調査についての中間報告
付-86
第 3 回会合
■ 日時:平成 24 年 3 月 16 日'金(19:00~21:00
■ 場所:株式会社三菱総合研究所 4 階 CR-A 会議室
■ 出席者'敬称略(:
'委員長(
渡辺 研司
名古屋工業大学 大学院工学研究科社会工学専攻しくみ領域
'委員(
秦 康範
山梨大学 大学院医学工学総合研究部
工学部 土木環境工学科 防災研究室
原田 要之助
情報セキュリティ大学院大学 情報セキュリティ研究科
松本 勉
横浜国立大学 大学院環境情報研究院
'内閣官房情報セキュリティセンター(
千葉 寛之、木原 栄治、片見 悟史
'事務局(株式会社三菱総合研究所.
村瀬 一郎、川口 修司、江連 三香、井上 信吾、松崎 和賢
■ 資料
資料 3-1
耐災害性を強化した情報システムの在り方等に関する調査検討会
第 2 回会合 議事録(案)
資料 3-2
災害発生時の情報システムへの影響と対策調査'報告書骨子(
資料 3-3
情報セキュリティ人材育成調査'報告書骨子(
■検討内容:
・災害発生時の情報システムへの影響と対策調査の報告書骨子について
・情報セキュリティ人材育成調査の報告書骨子について
付-87
Fly UP