...

報告書 - 熊本ソフトウェア株式会社

by user

on
Category: Documents
10

views

Report

Comments

Transcript

報告書 - 熊本ソフトウェア株式会社
経済産業省
平成 16 年度
地域 IT プロフェッショナル人材育成基盤構築支援事業
情報セキュリティ推進のための人材育成プログラム
人材育成基盤構築成果報告書
平成 17 年2月9日
熊本ソフトウェア株式会社
「本報告書は、経済産業省からの委託によりみずほ情報総研株式会社が実施した「平成 16
年度ITスキル標準対応型教育訓練支援事業(地域ITプロフェッショナル人材育成基盤
構築支援事業)
」の一部として行われたものです。報告書の引用には、経済産業省の承認・
許可が必要です。
」
目次
1.
2.
事業の背景と目的.............................................................................................................1
1.1
背景 ...........................................................................................................................1
1.2
目的 ...........................................................................................................................1
実施概要 ...........................................................................................................................2
2.1
2.1.1
地域 IT 産業における人材ニーズ調査...............................................................6
2.1.2
人材育成基盤構想の構築 .................................................................................12
2.1.3
人材育成基盤の実践性評価・分析 ..................................................................21
2.2
3.
5.
実施体制..................................................................................................................26
地域 IT 産業における人材ニーズ調査・分析.................................................................28
4.1
調査の目的 ..............................................................................................................28
4.2
調査対象..................................................................................................................28
4.3
調査・分析方法.......................................................................................................29
4.4
調査結果..................................................................................................................33
4.5
分析と考察 ..............................................................................................................54
人材育成基盤構想の構築................................................................................................62
5.1
人材育成基盤の目的と目標.....................................................................................62
5.2
対象とする地域と人材 ............................................................................................62
5.3
人材育成基盤の内容................................................................................................63
5.3.1
人材育成基盤の機能 ........................................................................................63
5.3.2
人材育成基盤で採用する教育訓練の内容........................................................73
5.3.3
人材育成基盤の実践性評価方法 ......................................................................93
5.4
6.
実施スケジュール ...................................................................................................25
実施体制 .........................................................................................................................26
3.1
4.
実施内容....................................................................................................................2
人材育成基盤の事業計画 ........................................................................................93
人材育成基盤の実践性評価・分析 .................................................................................94
6.1
評価対象とした教育訓練の内容 .............................................................................94
6.1.1
募集方法...........................................................................................................94
6.1.2
受講者の特性 ...................................................................................................94
6.1.3
実施した教育訓練の範囲 .................................................................................97
6.1.4
教育訓練の内容................................................................................................98
6.1.5
インストラクター..........................................................................................113
6.2
評価・分析方法.....................................................................................................114
6.3
評価結果................................................................................................................119
6.3.1
「個人情報保護のための管理者養成コース」について................................119
6.3.2
「セキュリティ・プロフェッショナルコース」の評価・分析集計結果 ......130
i
6.3.3
6.4
7.
8.
「シンポジュウム」の評価・分析集計結果..................................................135
分析と考察 ............................................................................................................140
まとめと今後の取組み .................................................................................................144
7.1
事業の成果 ............................................................................................................144
7.2
課題・改善点.........................................................................................................146
7.3
今後の展開 ............................................................................................................147
人材育成基盤推進担当による事業評価と今後の展開..................................................148
8.1
事業評価................................................................................................................148
8.2
今後の展開 ............................................................................................................149
《添付資料》
受講者の「業務経歴書」
ii
1.
1.1
事業の背景と目的
背景
情報通信の普及・高度化は、利便性をもたらすだけでなく、情報セキュリティのリ
スクを増大させている。総務省の調査によると、インターネット等を利用する上での
最大の課題として、個人及び企業の双方で情報セキュリティ対策が挙げられ、使い勝
手や利便性を犠牲にしても情報セキュリティの確保を重視する傾向が顕著に示されて
いる。実際に情報セキュリティの被害も現れており、平成 14 年に約3割弱の個人と 3/4
の企業がコンピュータウィルス等の被害に遭い、その被害額は個人が約 400 億円、企
業が約 3,500 億円と推計されている。
eJapan 戦略においては、情報通信インフラ整備が一定の成果をあげ、その利活用の
促進へと重点が移行している。
こうした IT の利活用を推進する上での最大の課題が
“情
報セキュリティ対策”であり、新たな eJapan 戦略に向けた重要テーマの一つとして
位置付けられている。このような背景の中、情報セキュリティに関するビジネスも急
拡大しており、その市場規模は、平成 14 年度の 4,629 億円から、19 年度には1兆 9,290
億円の約 4.2 倍にまで成長すると予想されている。とりわけ、個人情報保護法が本格
施行となる平成 17 年度から、その対策ニーズは急速に高まることが予想され、それに
伴う人材育成基盤の整備が急務となっている。
一方、熊本県では、早い時期から情報セキュリティ技術が着目され、平成 9 年には、
熊本県警察本部と民間企業数十社により「熊本県ネットワーク・セキュリティ対策連
絡協議会」が結成された。当時は、警察と民間企業との連携による情報セキュリティ
技術に関する協議会の設置は、全国で初めての取り組みであった。当協議会は、情報
セキュリティ対策に関するセミナー・ワークショップの開催や、セキュリティ・ポリ
シの作成などを通じて、高度情報社会の秩序の確立・発展を目指しており、現在まで
に至る 8 年間にわたって、積極的な活動を続けている。また、熊本県警察と連携して、
コンピュータ犯罪の捜査や防止に協力するための活動(熊本県情報セキュリティコミ
ュニティセンター活動等)を行うなど、行政とも密接な連携を取りつつ活動している。
1.2
目的
本事業における人材育成基盤は、熊本県地域において、職種を横断した IT インフラ
の要といわれる情報セキュリティ技術の向上を図ることを目的とし、
「熊本県情報セキ
ュリティ推進協議会」が熊本県警察本部と連携して、ユーザ企業における情報セキュ
リティを推進する人材および IT 企業における情報セキュリティサービスを提供するた
めの人材を育成するプラットフォームを整備することを目標とする。
その具体的な目標は、地域版の研修ロードマップを作成し、教育研修を発展的に継
続することにより、地域の情報セキュリティレベルの底上げを図ることにある。
1
実施概要
2.
2.1
実施内容
本事業は、当協議会が中心となり、地域 IT 企業・熊本県警察・教育機関が地域 IT
プロフェッショナル人材育成基盤を構築実現していく上で、どのような取り組みをし
ていくべきかについて検討を行った上で、当協議会の会員企業等から教育訓練ニーズ
を調査し、その結果を踏まえた人材育成基盤構想を策定した。
また、策定した人材基盤構想に基づいて研修計画の策定・カリキュラムの作成等を
行い、教育訓練を実施し、人材育成基盤の評価・分析を行った。
実施した内容を以下に示す。
①地域 IT 産業における人材ニーズに関する調査・分析
地域ユーザ企業、地域 IT 企業に対してアンケート調査を実施した。また、地域で情
報セキュリティを推進する熊本県、熊本県警察、大学等に対してヒアリング調査を実
施した。それらの調査結果から、地域における人材・教育訓練ニーズの分析を行った。
②人材育成基盤構想の策定
当協議会及び熊本県警察、UFJ 総合研究所等のメンバーからなる「地域 IT プロフェ
ッショナル人材育成委員会」で上記のニーズ調査に基づき人材育成基盤の内容と構成
を策定した。
③人材育成基盤の実践性評価・分析
上記②の人材育成基盤計画に基づいた教育訓練の実施結果から、
「地域 IT プロフェ
ッショナル人材育成委員会」にて人材育成基盤の実践性を評価し、受講生に対する研
修終了後の実践性を評価した。
本調査は、熊本県情報セキュリティ推進協議会の主要会員(理事企業)、人材育成基盤
担当である熊本県警察(本協議会アドバイザ)、及び連携機関の UFJ 総合研究所から地域
IT プロフェッショナル人材育成委員会(以下「委員会」という)を設置し実施した。
調査体制と役割を図 21 に、委員会の委員を表 21 示す。
2
UFJ 総研
案(たたき台)
テ
講師選定
受講生
会員 アンケート
業務
経歴書
置
(協議会事務局)
まとめ
テキスト
人材育成基盤の評価 分
・析
調査員
調査の
カリキュラム
実践的な教育訓練の
申請幹事会社
調査票
研修計画
詳細開発 運
・営 実
・施
人材育成担当
基盤概要
地域ITプロフェッショナル
ハイテク犯罪対策室
人材育成基盤構想の策定
アドバイザー
地域IT産業 人
・材
教育訓練ニーズ調査
熊本県警本部
地域ITプロフェッショナル
調査案
人材育成委員会︵委員長:林理事︶設
調査員
経済社会政策部
熊本ソフトウェア
調査計画
調
受
報
査
講
告
員
生
会
熊本県情報セキュリティ推進協議会
プロバイダ部会・会員会社・大学及びアドバイザー
図 2-1 調査体制と役割
3
表 21 委員会名簿
分 類
委員長
氏 名
組 織 ・ 役 職
林 秀樹
熊本保健科学大学助教授
副委員長
諌山 徹也
西部電気工業㈱営業本部第二 IT 事業部長
委員
池田 憲久
㈱熊本放送社長室次長
川副 秀
西日本システム建設㈱熊本 IT ビジネス部長
古閑 謙二
西日本電信電話㈱熊本支店副支店長
松岡 昌幸
㈱RKK コンピュータサービス公共情報事業部
ネットワーク推進課長
アドバイザ
事務局
水野 修身
㈱肥後銀行システム部システム管理課長
西尾 真治
㈱UFJ 総合研究所社経済・社会政策部プロジェクト・リーダー
渡辺 昭雄
熊本ソフトウェア㈱教育研修部長
島袋 修
熊本県警察本部ハイテク犯罪対策官
足立 國功
熊本ソフトウェア㈱
榎本 博之
同上
井上 智博
同上
井関 貴資
㈱UFJ 総合研究所 企業戦略部 コンサルタント
委員会の実施内容を以下に示す。
(2) 第一回委員会
日時:平成16年11月1日(月曜日)
場所:熊本テクノプラザビル2F テクノプラザホール
議題:経済産業省公募「地域 IT プロフェッショナル人材育成基盤構築支援事業」の実
施について
① 委員紹介と委員長選出
② 事業内容について
③ 人材育成基盤の概要について
④ ニーズ調査について
⑤ 次回会合
(3) 第二回委員会
日時:平成16年11月10日(水曜日)
場所:熊本テクノプラザビル2F テクノプラザホール
議題:
「地域 IT プロフェッショナル人材育成基盤構築支援事業」の実施について
① 人材育成基盤について
② 研修計画について
4
③ ニーズ調査アンケートについて
④ その他
(4) 第三回委員会
日時:平成16年12月16日(木曜日)
場所:熊本県警察本部10F 多目的ホール
議題:
「地域 IT プロフェッショナル人材育成基盤構築支援事業」の実施について
① アンケートと研修の状況について
② 人材育成基盤について
③ 熊本県情報セキュリティ推進協議会第3回例会シンポジュウム「個人情報
保護法と情報セキュリティ」について
④ その他
(5) 第四回委員会
日時:平成17年1月7日(金曜日)
場所:熊本テクノプラザビル2F テクノプラザホール
議題:
「地域 IT プロフェッショナル人材育成基盤構築支援事業」の実施について
① シンポジュウム「個人情報保護法と情報セキュリティ」について
② 中間報告について
③ その他
(6) 第五回委員会
日時:平成17年1月13日(木曜日)
場所:熊本テクノプラザビル2F テクノプラザホール
議題:
「地域 IT プロフェッショナル人材育成基盤構築支援事業」の実施について
① 研修事業について
② 人材育成基盤について
③ その他
5
2.1.1
地域 IT 産業における人材ニーズ調査
地域ユーザ企業及び地域 IT 企業へのアンケート調査、熊本県情報セキュリティコミ
ュニティ活動メンバー及び熊本県、熊本県警察、大学等へのヒアリング調査を実施し
た。この調査結果をもとに、熊本県地域に必要な情報セキュリティを推進する人材の
スキルと研修のあり方を分析し、地域ユーザ企業と地域 IT 企業における情報セキュリ
ティのスキルを持つ人材育成の可能性を明らかにした。
(1) 教育訓練ニーズに関する調査
個人情報を扱う流通、食品、金融等の地域ユーザ企業及び情報セキュリティサービ
スを提供している地域 IT 企業を対象に、情報セキュリティに関する現状と課題、必要
とする人材、IT スキルとそれらに対応した研修等をアンケートにより調査した。
また、熊本県情報セキュリティコミュニティ活動のメンバーを対象に、地域の情報
セキュリティ活動に関するヒアリング調査、熊本県、熊本県警察、大学を対象に、地
域での情報セキュリティ人材育成基盤に関するヒアリング調査を実施した。
①アンケート調査
調査・分析方法:
研修コースを設定するための作業と並行してアンケート調査・分析を実施した。具
体的には、熊本県の地域ニーズに基づく研修対象スキル項目についての仮説を設定し、
その仮説を検証する内容のアンケート調査を実施した。アンケート調査結果の分析に
より、具体的な研修ニーズを明確化し、研修コースの作成を行った。調査・分析の流
れは下図の通り。
アンケート調査・分析
研修コースの作成
参考
②
アンケート票(案)の設計
②アンケート票(案)の設計
研修対象スキル項目の洗い出し
①
①研修対象スキル項目の洗い出し
地域性を反映
に準拠
③委員会による検討
③委員会による検討
⑤アンケート票の作成
⑤アンケート票の作成
⑥
アンケート調査の実施・分析
⑥アンケート調査の実施・分析
IT スキル標準
設問との
整合性 ④ 熊本県の地域ニーズに基づく研修
④熊本県版の研修対象
対象スキル項目(仮説)の作成
スキル項目(仮説)の作成
仮説の
検証
⑦研修対象スキル/研修ニーズ
⑦研修対象スキル/研修ニーズ
の明確化(ニーズマップの作成)
の明確化(ニーズマップの作成)
研修対象スキルに対応する
研修コースの作成・実施
図 22 アンケート実施手順及び分析作業との関係
6
熊本県の地域ニーズに基づく研修対象スキル項目:
IT スキル標準に準拠した形態で、熊本県の地域ニーズに基づいた研修対象スキル項
目をアンケート設計の過程で、立案した。以下がその 14 項目の軸である。このスキル
項目に基づいて、必要なスキルを洗い出し、スキルを習得する際に必要な研修を策定
することとした。
表 22 IT スキル標準におけるスキル項目と
熊本県の地域ニーズに基づいた研修対象スキル項目
IT スキル標準の大分類
テクノロジ
熊本県の地域ニーズに基づく研修対象スキル項目
1
コンピュータシステム設計・管理
2
ネットワークインフラ
3
ファイアウォール
4
暗号鍵・認証
5
不正アクセス探知
6
VPN
7
システム実装メソドロジ
8
ウィルス実装メソドロジ
プロジェクトマネジメント
9
プロジェクトマネジメントの基礎
ビジネス/インダストリ
10
情報セキュリティ関連知識
パーソナル
11
コミュニケーション
セキュリティ監査・管理
12
セキュリティシステムの運用・管理
13
情報セキュリティの監査制度/基準
14
セキュリティ・ポリシの作成
メソドロジ
回収結果(全体)
:
アンケートの回収結果は以下のとおり。
・IT 企業有効回答数
26 社(発送: 93 社、回収率:28.0%)
・ユーザ企業有効回答数
22 社(発送:107 社、回収率:20.6%)
合 計
48 社(発送:200 社、回収率:24.0%)
図 23 アンケートの回収結果
情報セキュリティに関する意識等(IT 企業)
:
情報セキュリティ対策において、考慮したいものについての IT 企業に対する回答結
果は、ほとんどの企業がすでに取り組んでいるものとして、
「ファイアウォールの設置」
が挙げられた。また、今後取り組みを考慮したいものとしては、
「セキュリティ監査」
7
が最も多い項目で、次いで「不正侵入検地システムの導入」
「情報セキュリティ・ポリ
シの策定」
「ISMS(情報セキュリティマネジメントシステム)の認証」が挙げられた。
情報セキュリティ、特に監査、セキュリティ・ポリシに対する関心が、非常に高まっ
ていることがわかった。
また、回答企業の半数の 13 企業が外部向け(ユーザ企業向け)に、情報セキュリテ
ィサービスを提供しており、現在提供しているサービスでは、
「VPN 機器」
「アンチウイ
ルス・ソフト」が最も多く、次に「ファイアウォール」が続いた。
一方、近いうちに実施したいサービスの項目では、
「セキュリティ監査」を選ぶ企業
が最も多かった。次いで、
「ISMS コンサルタント」
「プライバシーマークコンサルタン
ト」などが続き、これらを現在提供している企業は、まだ比較的少なかった。今後の
ニーズは、上記のような広義のセキュリティ監査サービスにあることがわかった。
情報セキュリティ人材の育成に対するニーズ(IT 企業)
:
自社内で情報セキュリティ専門の人材を抱える企業は 46.1%で、今後対応を検討・
予定している企業も 38.5%であり、ほとんどの企業で対応が進みつつあった。
「セキュリティシステムの開発部隊を社内に抱える」については、対応中の企業は
約2割であり、約4割が今後対応を検討・予定中としているが、対応の意向なしと答
えた企業も4割を占めていた。また、情報セキュリティに関する専門家を他企業に派
遣している企業は、対応中の割合が現状では約 8%と最も低く、対応の意向なしとする
企業も約7割を占めた。
自社内でどのような情報セキュリティ人材を育成したいか、という設問については、
「重点的に育成したい」というニーズは全体的に少ないが、IT スキル標準に即した「IT
スペシャリスト」及び「IT アーキテクト」には1割前後の一定のニーズがみられた。
「育成したい」をあわせると、約 6 割を超える企業に人材育成ニーズがあり、特に「IT
スペシャリスト」のレベル 1∼2、3∼4 については 7∼8 割の企業に人材育成ニーズが
あった。
情報セキュリティ人材の育成に関する研修の必要性については、研修ニーズとして
は、
「IT スペシャリスト(セキュリティ)
」
「不正アクセス防止対策」
「ネットワーク・
セキュリティ」などが上位に挙げられた。しかしながら、飛び抜けてニーズが高いス
キルは存在しなく、バランス良く総花的に学べるスキルが上位に位置している。その
一方で、
「CCSA/CCSE」などのハイレベルな研修に関しては、ニーズがあまり高くなか
った。
情報セキュリティに関する意識等(ユーザ企業)
:
情報セキュリティに関する主要な用語の認知度については、コンピュータウィルス、
ファイアウォール及び個人情報保護法の認知度は高く、
「知っている(説明できる)」
の割合が6∼8割を占めた。一方、ISMS や情報セキュリティ・ポリシに対する認知度
8
は低く、
「知っている(説明できる)
」の割合は2∼4割にとどまった。
情報セキュリティに関する取り組み状況については、
「パソコン等の端末へのウィル
スチェックプログラムの導入」については9割以上の企業が取り組み済みであった。
また、今後考慮したい項目としては、「認証技術導入による利用者確認」が最も高く、
すでに取り組んでいる割合が2割弱であるのに対して、約7割の企業が「今後考慮し
たい」と回答した。
「プライバシーマークの取得」及び「ISMS の認証」については、取
り組み済みの企業はゼロであるが、
「今後考慮したい」とする企業がいずれも5割を超
えている。
情報セキュリティ対策を実施する上での制約条件については、
「予算がない」が最大
の原因となっており、続いて、
「実施する知識・ノウハウがない」「人材がいない」と
いった意見が挙げられた。なお、
「効果がないため、必要性を感じない」と回答した企
業はなく、情報セキュリティ対策の必要はすべての企業が感じている状況にあった。
情報セキュリティ人材の育成に対するニーズ(ユーザ企業)
:
情報セキュリティ人材の社内育成に対する意識については、
「自社で情報セキュリテ
ィ人材を育成・確保したい」という回答が「たいへんそう思う」
「そう思う」をあわせ
ると8割を超え、自社内での人材育成ニーズは高いといえる。しかしながら、社内の
情報セキュリティ人材の育成・確保は十分なレベルにあると思っている企業は少なく、
「まったくそう思わない」
「あまりそう思わない」で約 7 割を占めた。ユーザ企業にと
っても、情報セキュリティ人材の育成は大きな課題となっていることがわかった。
情報セキュリティ人材育成の取り組み状況については、
「情報セキュリティ担当者の
自己学習程度」が3割弱、
「外部研修への参加」及び「社員による OJT の実施」が1割
強の企業で行われているが、大半の企業では取り組みが行われていない状況であった。
情報セキュリティ人材の育成に関する研修の必要性については、
「受講したい」とい
う具体的なニーズは、全体的に数社ずつ回答が挙がった。
「関心がある」を含めると、
「コンピュータウィルス対策」や「不正アクセス防止策」
「ネットワーク・セキュリテ
ィ(Windows 編)
」のニーズが高かった。
②ヒアリング調査
熊本県の IT スキルレベルの現状、および企業で求められている人材ニーズと研修ニ
ーズなどについて有識者にヒアリングを行った。以下がその代表的な意見である。
・ 情報セキュリティスキルのニーズ
情報セキュリティに関する犯罪の数は、携帯電話の運用トラブルが抜きん出て多
い。次に、情報漏洩関係で、ウィルス関連も多い。したがって、これらに対応でき
るようなスキルを持った人材育成を企業が中心となって行う必要がある。
・ 研修形式に関するニーズ
講演会などの広報・啓蒙活動に力を入れる必要がある。学校などの教育機関やシ
9
ステム関係者を対象としているが、要望が多く月に6回ほど講演しており、講演会
形式のニーズは強まっている。
・ 教育対象に対するニーズ
学生に対する教育が「IT リテラシー・モラルの向上」から重視されている。特に
オークション・サイトや出会い系サイトに対する怖さを認識させる教育が重要であ
る。
・ 県内企業の IT スキルレベル及び研修ニーズに関する現状
ある市町村では 3 分の1が独自で自分で研修を企画し、3分の2は、県の研修に
参加している。ワード、エクセルなどの基礎研修を年間 1,000 名受講している。ま
た、ネットワーク・セキュリティなどの専門研修を年間で 200 名が受講している。
情報セキュリティに関する研修ニーズも高い。初級・中級に分かれ、中級はセキ
ュリティ・システムの実装ができる程度の内容である。
・ 情報セキュリティに関する大学でのニーズ
大学においては、医療分野の個人レベルの情報セキュリティなどの方が、情報通
信分野よりも重要なのではないか。個人情報保護法成立に伴い、個人情報などを扱
う特に医療・金融分野において講座が存在する可能性が高い。
・ 大学と企業ニーズとの乖離
情報セキュリティの実際の事例が大学では分からない。民間企業からの情報セキ
ュリティに関する情報は、大学には入ってこないからである。企業からの情報セキ
ュリティスキルを持った人材に関してはニーズがほとんどない。
(2) 教育訓練ニーズの分析
「地域 IT プロフェッショナル人材育成委員会」を活用し、上記の調査結果を踏まえ
て、情報セキュリティに関する現状と課題、地域での情報セキュリティ活動の取り組
み現状と研修ニーズ、地域での情報セキュリティに関する人材育成策の現状と課題に
ついての分析を行った。
分析手法:
IT スキル標準の分類とそれに対応した熊本県のニーズに基づく研修対象スキルの分
類軸ごとに、関連するアンケートの設問を整理し、アンケート設問項目と配点の対応
表にしたがって、それぞれの回答に応じて得点を加算した。
分析結果(IT 企業)
:
「セキュリティ・ポリシの作成」が最もニーズが高く、次いで「情報セキュリティ
の監査/基準」が高い。4 位の「セキュリティシステムの運用/管理」とあわせて、セ
キュリティ監査・管理に対する関心の高さを裏付ける結果となった。とりわけ、情報
セキュリティの監査や基準に関する制度面での関心が高く、特定の情報セキュリティ
スキルについての関心はその次に挙げられた(3 位は、
「暗号鍵・認証」
、5 位は「ウィ
10
ルス対策メソドロジ」
)
。
分析結果(ユーザ企業)
:
セキュリティ監査・管理に関するニーズが高く、1 位は、
「情報セキュリティの監査
/基準」
、2 位は「情報セキュリティの監査/基準」という結果が得られた。
分析結果(総合)
:
アンケートでは、IT 企業で1位になった「セキュリティ・ポリシの作成」が、ユー
ザ企業では 13 位とかなり軽視されていることである。これは、情報セキュリティ・ポ
リシに対する認知度がユーザ企業において低いということから起因したもので、まず
は情報セキュリティ全般においてリテラシーが低い(言葉を知らない)ことが遠因と
なっていると考えられよう。総体的な対象スキル項目では情報セキュリティニーズは
高いので、個別・全般的なリテラシーの向上が、ユーザ企業では特に必要であると考
えられる。
IT 企業、ユーザ企業の両方において、個人情報保護法の施行に伴った、情報セキュ
リティ制度、およびその運用の必要性を感じている企業が多い結果となった。
ヒアリングでは、学校などの教育機関やシステム関係者を対象とした講演会のニー
ズが高く、学生に対する情報セキュリティ教育も重要であるとの意見があった。
表 23
順位
IT 企業及びユーザ企業の求めるスキルニーズの順位表
IT 企業
ユーザ企業
1位
セキュリティ・ポリシの作成
情報セキュリティの監査制度/基準
2位
情報セキュリティの監査制度/基準
セキュリティシステムの運用・管理
3位
暗号鍵・認証
不正アクセス探知
4位
セキュリティシステムの運用・管理
コミュニケーション
5位
ウィルス対策メソドロジ
セキュリティ関連知識
6位
システム実装メソドロジ
ウィルス対策メソドロジ
7位
不正アクセス探知
コンピュータシステム設計・管理
8位
プロジェクトマネジメントの基礎
ファイアウォール
9位
コミュニケーション
暗号鍵・認証
10 位
コンピュータシステム設計・管理
ネットワークインフラ
11 位
ネットワークインフラ
システム実装メソドロジ
12 位
ファイアウォール
プロジェクトマネジメントの基礎
13 位
セキュリティ関連知識
セキュリティ・ポリシの作成
14 位
VPN
VPN
考察:
熊本県地域における IT 産業は、ファイアウォールやアンチウィルス・ソフト、VPN、
11
メール・WEB フィルタリングなどのソフト、サービスを提供しており、基礎的なソフト
ウェア、サービスは提供できるスキルレベルにあると考えられる。
しかし、自社内で情報セキュリティ専門の人材を抱えているのは半数に満たず、ま
た社内で情報セキュリティに関する教育を体系づけて行っている企業は、3 割にも満た
ないため、情報セキュリティに特化した人材育成の機会を提供することが有用と考え
られる。
地域的な特徴としては、外部に今後提供していきたい情報セキュリティサービスは、
システムの設計・開発のみならず、セキュリティ監査や ISMS 認定やプライバシーマー
クなどの情報セキュリティ管理面での意識が高い。
これは IT 産業に限った話ではなく、
ユーザ企業においても、特に個人情報を扱う金融業、放送業、教育業等を中心として、
情報セキュリティ管理は当然意識しなければならない問題となっている。
こうした取り組みを進めるためには、まずは IT 産業が、セキュリティ監査・管理サ
ービスを提供できる段階まで、スキルを向上させる必要がある。具体的に IT スキル標
準に照らして熊本県地域の IT 産業の平均的な職種およびレベルを考えると、
「IT スペ
シャリスト(セキュリティ)
」のレベル1∼2レベルに該当すると想定される。
したがって、
「IT スペシャリスト(セキュリティ分野)
」を育成するための研修の策
定・実行が不可欠である。その他研修ニーズが高かった「不正アクセス防止対策」
「ネ
ットワーク・セキュリティ(Windows)
」などのスキルをも習得することが可能である。
つまり、汎用的な IT スペシャリスト育成プログラム、さらに地場でのセキュリティ
監査・管理へのニーズを踏まえた、熊本県独自の情報セキュリティ研修を継続的に行
うことが、熊本県の実情に相応しい施策と考えることができよう。
また、情報セキュリティ意識を地域に密着させるためには、幅広い啓蒙活動が必要
であり、そのための講演会やシンポジュームも重要な施策であると考えられる。
2.1.2
人材育成基盤構想の構築
地域 IT プロフェッショナル人材育成委員会」において、上記の人材・教育訓練ニー
ズに基づき熊本地域における情報セキュリティ技術の向上を目指した実践的な人材育
成基盤構想を策定した。
(1) 対象とする地域と育成する人材
熊本県内のユーザ企業の情報セキュリティ推進担当者、IT 企業の情報セキュリティ
サービスを設計・構築する担当者を対象に、前者においては、自社の情報セキュリテ
ィ対策を立案・管理できる人材を、後者においては、高度な情報セキュリティスキル
を持つ人材を育成する。
(2) 人材育成基盤の検討
個人情報を扱う企業の中でリスクマネジメントを推進する人材の育成及び情報セキ
ュリティサービスを提供する企業で高度な情報セキュリティスキルを持った人材の育
12
成を行う人材育成基盤の検討を行った。
①地域の関係主体が連携し、
「IT スキル標準」をベースに、地域における情報セキュリテ
ィを推進するための仕組みのあり方の検討
「主体」については、
「熊本県情報セキュリティ推進協議会」をベースに、当協議会
の事務局であり、経済産業省及び厚生労働省、熊本県から出資を受けた第三セクター
で、IT 人材育成機関である熊本ソフトウェア株式会社が中核機関として教育訓練を供
給する。また、当協議会の会員企業を母体として地域ニーズの把握等に活用する。さ
らに、熊本県地域における情報セキュリティ犯罪の対策にあたっており、最先端の事
例情報・技術情報を有する熊本県警察から、事業全般にわたるアドバイスを受けると
ともに、九州経済産業局及び九州総合通信局、熊本県及び大学とも連携する。
主体分類
人材育成機関
(中核機関)
位置づけ・役割
主体名
教育訓練を供給
熊本ソフトウェア株式会社
地域企業
地域の産業構造の実態や地
域ニーズの分析・把握
協議会会員企業
警察
最新の技術動向・犯罪動向
への対応
熊本県警察本部ハイテク犯罪
対策室
国・自治体・
教育機関
地域におけるIT産業の振興
やIT人材の育成との連携
九州経済産業局、九州総合
通信局、熊本県、県内の大学
「熊本県情報セキュリティ推進協議会」
をベースに組織化
図 24 人材育成基盤における「主体」
「教育訓練の供給の仕組み」については、IT スキル標準の研修ロードマップをベー
スとして、地域企業へのアンケート調査を中心にニーズ調査を実施し、その分析結果
を踏まえて、IT スキル標準の研修ロードマップをアレンジし、熊本県の研修ロードマ
ップを作成する。それに基づいてカリキュラム及び研修プログラムを作成し、研修を
実施する。また、人材育成基盤を継続的・発展的に運用するために、研修の内容・成
果を事後検証し、その結果を翌年度の取り組みに反映させる。
情報セキュリティを地域に密着させるためには、学校などの教育機関やユーザ企業
に幅広くセキュリティ意識の高揚を図る必要があり、講演会・シンポジュウム等によ
る啓蒙活動も併せて実施する。
人材育成基盤における「教育訓練の供給の仕組み」及び「人材育成基盤のフレーム」
を次図に示す。
13
5.3.1 人材育成基盤の機能
①ITスキル標準研修ロードマップ
③熊本県のニーズに基づく研修ロードマップ
5.3.2 人材育成基盤で採用する
教育訓練の内容
①カリキュラム
②研修プログラム
③研修の実施・結果の評価
図 25 人材育成基盤における「教育訓練の供給の仕組み」
図 26 人材育成基盤のフレーム
14
次年度の取り組みに反映
②ニーズ調査
②熊本県版の情報セキュリティ人材育成のための研修ロードマップの検討
地域企業の現状及び人材育成ニーズは、基礎レベルからエントリ・レベルにおいて
高い状況にあることから、ミドル・レベル以上で構成される「IT アーキテクト」は除
外し、
「IT スペシャリスト」における IT スキル標準の研修ロードマップをベースに考
えることとした。
熊本県地域におけるニーズ調査では、セキュリティ監査・管理に高いニーズがあっ
たため、
「IT スペシャリスト」における IT スキル標準の研修ロードマップの分類項目
に「セキュリティ監査・管理」を追加する。その上で、ニーズマップにおいて上位に
位置づけられたスキルニーズの項目に対応して、IT 企業及びユーザ企業それぞれにつ
いて、ニーズの高い研修コース群及び研修コースをマーキングし、熊本県の地域ニー
ズに基づいた研修ロードマップを作成した。
現 状
ユーザ企業
• 情報セキュリティ
対策に対する認知
度・意識高まってい
る。
•今後は自社内に情
報セキュリティ人材
を育成・確保したい
意向あり
• ITスペシャリスト
ベンダー試験に
関心あり
• エントリ・レベル
の準備段階に
育成ニーズあり
• プライバシー
マーク制度、
ISMSに対する
意識が高い
• 社内の情報
セキュリティ
対策推進者の
育成ニーズあり
セキュリティ監査・管理に共通の高いニーズあり
IT企業
• 高度IT人材を保有
している企業少ない。
• 今後は自社内に情
報セキュリティ専門
人材を育成・確保し
たい意向あり。
スキル・ニーズ
研 修
目 標
エントリ・レベルの研修
(セキュリティ・プロ
フェッショナル講座)
• ITスキル標準に則
したスキル・アップ
(レベル2、3、、、へ
ステップ・アップ)
• エントリ・レベルの
IT人材の育成
基礎レベルの研修
(個人情報保護のため
の管理者養成コース)
• 社内での情報セ
キュリティ推進者の
育成
(情報セキュリティ
サービスの需要の
開拓・拡大)
図 27 熊本県の地域ニーズに基づいた研修ロードマップ作成に当たっての
基本的な考え方
15
図 28 熊本県のニーズに基づく研修ロードマップ(研修コース群体系図)
16
図 29 熊本県のニーズに基づく研修ロードマップ(研修コース一覧)
17
(3) 教育訓練の検討
情報セキュリティ技術の向上を目指した実践的な教育訓練の内容について検討した。
また、それらの検討を通じて、ユーザ企業担当者を対象とした教育研修及び IT 企業担
当者を対象とした教育研修を具体化し、前項の「熊本県版の情報セキュリティ人材育
成のための研修ロードマップ」に基づく研修カリキュラムを表 2-4 の通り作成した。
表 2-4 熊本県版の研修ロードマップに基づく研修カリキュラム
コース群の種類
コース群
コース名
対象スキル
・テクノロジ
IT 基本1
職
IT 入門
・ソフトウェアエンジニアリング
・業務分析
入門講座
IT 基本2
種
IT エンジニアの基礎
共
通
・テクノロジ
・ソフトウェアエンジニアリング
研修講座名
・コンピュータネットワーク入門
・セキュリティ入門
・システム開発入門
・UNIX/Linux 基礎
・オブジェクト指向開発
・デザイン
基礎講座
システム開発基礎
セキュリティの基礎
・リスクマネジメント
・インターネットセキュリティ技術
・業務分析
・セキュリティマネジメント基礎
・ソフトウェアエンジニアリング
要素技術
セキュリティ
要素技術
・セキュリティ機能構築
・セキュリティアセスメントと標準化
・セキュリティ・プロフェッショナルコース
システム設計
専
門
分
セキュリティの設計
・セキュリティ機能構築
・ネットワークセキュリティ基礎
・セキュリティ設計
基礎講座
システム構築
野
(SCSecA)
セキュリティの構築
・セキュリティ機能構築
・セキュリティ機能構築・運用
・ファイアウォール構築実践
・セキュリティ・プロフェッショナルコース
システム運用/保守
セキュリティの
・テクノロジ
運用/保守
・セキュリティ機能構築
(CompTIA SecurITy+)
・ネットワークトラブルシューテ
ィング実践トレーニング
コ-ス群の種類
コース群
コース名
対象スキル
研修講座名
・セキュリティ・プロフェッショナルコース
追
加
(CIW)
特別講座
セキュリティ監査基礎
セキュリティの監査
・セキュリティ監査
・個人情報保護
・プライバシーマーク基礎
・ISMS 審査員試験対策
18
コ-ス群の種類
追
加
特別講座
コース群
セキュリティシステム
運用基礎
コース名
セキュリティシステム
運用基礎
対象スキル
研修講座名
・セキュリティ・プロフェッショナル
・セキュリティ運用
コース(VCA:ベリサイン認定管
理者養成)
上記研修カリキュラムから、特に要望の多かった内容について下記の通り検討し、
実践性評価・分析を行う教育訓練の研修プログラムを作成した。
①IT 企業
IT 企業のアンケート結果では、
「セキュリティ・ポリシの作成」に関するニーズが最
も高く、次いで「情報セキュリティの監査/基準」が高い結果で、4 位の「セキュリテ
ィシステムの運用/管理」とあわせて、セキュリティ監査・管理に対する関心が高か
った。
そこで、今回の教育訓練では、情報セキュリティ設計・構築・運用・保守等の高度な情
報セキュリティスキルを習得するために有効となる講義及び実習内容として、研修カ
リキュラムの中から「セキュリティ・プロフェッショナルコース(CompTIA Security+)」を
「セキュリティプロフェッショナルコース」として実施することとした。
②ユーザ企業
ユーザ企業のアンケートでは、情報セキュリティ・ポリシに対する認知度が低いとい
う結果から、情報セキュリティ全般においてリテラシーが低いことがわかった。しか
し、個人情報保護法の施行に伴った、情報セキュリティ制度及びその運用については必
要性を感じている企業が多いことから、研修カリキュラムの中から「特別講座・セキ
ュリティの監査」の研修講座名「個人情報保護」及び「プライバシーマーク基礎」を
アレンジし「個人情報保護のための管理者養成コース」として実施することとした。
③シンポジュウム
ニーズ調査、ヒアリング調査から IT 企業とユーザ企業との間に情報セキュリティに
関する意識・対策に大きな差があることから、主にユーザ企業における情報セキュリ
ティに対する意識の底上げを行う目的で、シンポジュウムを実施することとした。
今回の実践性評価・分析を行う教育訓練のプログラム及びシンポジュウムの内容は、
以下のとおりである。
19
図 210 研修プログラム(IT 企業向け:セキュリティ・プロフェッショナルコース)
•
•
•
•
•
•
•
•
講座名
受講対象者
日時
場所
講師
定員
参加費(税込)
内容
:個人情報保護のための管理者養成コース
:
:平成16年12月20日(月)∼21日(火) 9:30∼17:30 (合計12時間)
:熊本ソフトウェア(株) 花畑教室(熊本市)
:株式会社テクノアート セキュリティ・アドバイザー 宮本 和樹 氏
:20名
:会員10,500円、一般21,000円 (教材費別)
【1日目】
個人情報保護に関する概要
・最近の事件、傾向
・個人情報とは?
・個人情報保護法とは?
・プライバシーマークとは?
・ケーススタディ
プライバシーマーク
・JIS Q 15001要求事項の解説
取り扱い業務のリスクアセスメント
・リスクと安全対策の考え方
【2日目】
コンプライアンスプログラム
・作成手順
・作成における注意点
内部監査
・内部監査の進め方、注意点
取り扱い業務のリスクアセスメント
・ケーススタディ
業務での状況チェック(アンケート)
・質問項目における現状把握とその対策、
改善点
図 211 研修プログラム(ユーザ企業向け:個人情報保護のための管理者養成コース)
20
表 25 シンポジュウムの内容
区分
基調講演1
基調講演2
パネルディスカッション
2.1.3
テーマ
内
個人情報をめぐるトラブル
と対策
容
官の立場から、実際に報告されている犯罪事
例、個人情報保護法の概要、個人情報漏洩対
策について
個人情報に向けた情報セキ
ュリティ
個人情報を取扱う企業の立場から、情報セキ
ュリティ技術を中心に、個人情報漏洩対策の
あり方について
情報セキュリティと人材育
パネラー5名による自社の活動や取組み等の
成
内容による質疑応答
人材育成基盤の実践性評価・分析
人材育成基盤の実践性評価・分析については、「2.1.2 人材育成基盤構想の構築(3)
教育研修の検討」で作成した研修カリキュラムに基づき実施した教育訓練の結果を整
理した後、
「地域 IT プロフェッショナル人材育成委員会」で人材育成基盤の実践性を
評価・分析した。実施した教育訓練と、それに対する評価・分析結果の概要を以下に
述べる。
(1) 「個人情報保護のための管理者養成コース(ユーザ企業向け)」
本コースでは、受講後に以下の項目を理解しそれを実践できるようになることを目
標として実施した。
・個人情報保護法の考え方と関連法規について
・プライバシーマーク制度について
・JIS Q 15001 の内容について
・コンプライアンスプログラム(CP)について
研修の内容は「図 211 研修プログラム(ユーザ企業向け:個人情報保護のための管
理者養成コース)
」の通り。
①受講者及び使用した教材
対象受講者は、企業にいて個人情報を取り扱う責任者や担当者であり、プライバシ
ーマークの取得を推進している企業担当者であった。
使用した教材は、講師が作成した資料や、財団法人日本情報処理開発協会プライバ
シーマーク事務局のホームページで公開されているプライバシーマークに関する資料
を使用した。
21
②評価分析方法
受講者の受講前と受講後におけるセキュリティ意識の変化をアンケートにより調査
し、その変化から本研修における受講者の知識習得の度合いを測った。具体的には、
本コースで目標とした前述の 4 項目に関する具体的な企業業務の対応を質問し、受講
前におけるセキュリティ対策の現状と受講後にどのような対応を行うかを記述させた。
③評価結果
受講者のセキュリティ意識は、受講前に比べて格段に高まった。このことは、普段
の業務中において気をつけなければならない情報セキュリティ対策について、受講後
には殆んどの受講者が何らかの対応をするよう記述し、その対応内容についても的確
であったことからセキュリティ意識が高まったと言える。
また、受講後に行った受講者の評価アンケートの有用性・全体評価でも、78%の受
講者が「非常に良い」又は「良い」と評価しており、本研修の有用性が高く評価され
ている。受講者の中には、プライバシーマークの取得を目指す企業からの参加もあっ
たが、ケーススタディのグループディスカッションでは、受講者の取組み状況のほか、
各業種における問題やその対応等についての情報交換も行われ、評価が高かった。
今回の研修では個人情報保護法に関する関心度の高い受講者が多かったことから、
インストラクタのコメントにもある通り、研修への取組み姿勢に真剣さがあり、意義
のある研修であったことが実証された。
(2) 「セキュリティ・プロフェッショナルコース(IT 企業向け)」
本コースの目的は、情報セキュリティに関する幅広い知識を習得させるため、
「CompTIA Security+」の知識範囲と「4.3 調査・分析方法 表 42 IT スキル標準に
おけるスキル項目と熊本県の地域ニーズに基づいた研修対象スキル項目」で記述した
「研修対象スキル項目」を対応させ、全部で9つの区分を理解できるようになること
を目標として実施した。
・コンピュータシステム設計管理
・ネットワークインフラ
・ファイアウォール
・暗証鍵・認証
・不正アクセス探知
・システム実装メソドロジ
・プロジェクトマネジメントの基礎
・セキュリティシステムの運用・管理
・情報セキュリティの監査制度/基準
22
①受講者及び使用した教材
対象受講者は、コンピュータの概念、ネットワークの基礎知識を保有し、ディスク
トップの操作ができる技術者であった。
使用した教材は、講師が作成した資料及び、
「CompTIA Security+ + COMPLETE テキス
ト 2004 年 DAIX 出版(株式会社 ウチダ人材開発センタ著)
」の上下巻を使用した。
②評価分析方法
使用した教科書に沿って試験問題を作成し、受講前と受講後に同じ難易度の試験を
行い、その結果による学習伸張状況から学習成果を測った。具体的には、本コースで
目標とした項目ごとに複数の問題を提出し、回答を記述させた。
③評価結果
受講前には、ほとんどの受講者が 25%程度の正解率であったが、受講後には、80%
近くまで正解率が伸びていた。全問正解の受講生も 2 人おり、授業の内容を十分理解
できているものと考えられる。全体的には、事後スキルチェックにおける正解率の平
均は 85%で、事前スキルチェックに比べて 61%も上昇した。
本研修は、「CompTIA Security+」を取得する為の知識習得を目標としていることか
ら、情報セキュリティに関する知識としては幅広い内容であったため、受講前には、
受講者の知識範囲に偏りがあったものが、受講後には、バランスのとれた知識を得て
いたことから、ほとんどの受講生が内容を理解したと考えられる。
受講後に行った受講者のアンケートからも研修の評価は高く、特に「テキスト等の
資料」の評価が高かった。今回は、座学中心の研修であったため、実習を交えた内容
のほうがよかったという意見もあり、今後は、実技をもっと取入れるプログラムが良
いと思われた。
インストラクターからも、情報セキュリティに関する幅広い知識を習得するために
は、3 日間という日程は短期間であったかもしれないとのコメントがあった。しかし、
事後スキルチェックで行った成果測定では、非常に高い正解率が得られ、当初の目的
から考えると、有用な研修であったと考えられる。
(3) 「シンポジュウム∼個人情報保護法と情報セキュリティ∼」
本シンポジュウムでは、ユーザ企業におけるセキュリティ意識の啓蒙を目的に、
「個
人情報保護法と情報セキュリティ」をテーマに基調講演とパネルディスカッションを
行った。
①聴講者及び教材資料
聴講者は、主にユーザ企業であることから、使用した教材は、基調講演者が作成し
た資料及び、パネルディスカッションの各パネラーが作成した資料であった。
23
②評価分析方法
本シンポジュウムは、
「啓蒙活動」という位置づけから、聴講者アンケートにより評
価・分析を行った。
③評価結果
本シンポジュウムの終了後に行ったアンケートでは、回答者の 92%の聴講者が、
「参
考になった」と回答しており、本シンポジュウムが聴講者にとって意義のあるもので
あったことが伺われる。
また、情報セキュリティ対策を行うための推進者については、自社内に「既に推進
担当者がいる」と回答した聴取者は 42%であり、
「すぐに養成したい(将来を含む)
」
と回答した聴講者が 46%もあったことことから、情報セキュリティ対策の重要な項目
の一つが「人材育成」であることが認識され、シンポジュウムがセキュリティ意識の
高揚に繋がったことが実証された。
(4) 人材育成基盤について
今回の人材育成基盤策定に当たっては、熊本県情報セキュリティ推進協議会のメン
バーから熊本県警察、熊本県、地域の IT 企業、ユーザ企業が連携して委員会を設置し、
参加者の意見やノウハウを生かして策定した。その策定にあたっては、地域の企業か
らアンケートを取り、ニーズを的確に把握・分析して研修カリキュラムを作成してお
り、研修結果から見ても充分なフィージビリティが確保できる研修内容となっていた。
情報セキュリティの推進では、セキュリティ監査・管理という IT 企業・ユーザ企業
共通の課題となる分野において、両者の交流が深まり意識が高まれば、情報セキュリ
ティサービスの拡大が見込まれ、地域における情報セキュリティのレベルの底上げに
つながると考えられる。
情報セキュリティという分野は、犯罪に関連する可能性がある危険な側面を有して
いるため、熊本県警察をはじめとして、県レベルでの人材育成支援も必要となるので、
IT 産業とユーザ企業の交流、熊本県から民間企業への支援など官民交流のネットワー
クを拡大していくことが、情報セキュリティを中心とした IT 人材育成の基盤形成へつ
ながっていくものと考えられる。
24
2.2
実施スケジュール
本事業において実施した、全体スケジュールは表 26 のとおりである。
表 26 実施スケジュール
平成16年
作業項目
10月
上
中
平成17年
11月
下
上
中
○
○
12月
下
上
中
1月
下
上
中
○
○
2月
下
上
1.ニーズ調査
調査(アンケート)票の作成
アンケート調査
ヒアリング調査
訓練ニーズの分析
2.人材育成基盤構想策定
育成する人材の分析
人材育成基盤の検討
教育訓練の検討
3.教育訓練実施
4.人材育成基盤の評価・育成
教育訓練の評価
人材育成基盤の実践性評価
報告書のまとめ
5.委員会
25
○
○
中
3.
3.1
実施体制
実施体制
各機関の役割は表 31、実施体制図 31 のとおりである。
表 31 各機関の役割
実施代表機関/連携機関
団体・組織名
役割
実施代表機関
熊本県情報セキュリティ
実施代表機関は、以下を行う。
(幹事会社)
推進協議会
・ 事業計画の策定
(熊本ソフトウェア株式
・ 人材育成基盤の策定
会社)
・ アンケートの作成
・ 研修計画及び研修の実施
・ 評価・分析
・ 報告書の作成
地域 IT プロフェッショナル人材育成委員会を設
立し事業の計画・実施及び報告書の作成について
アドバイスを行う。
人材育成基盤推進担当
熊本県警察本部生活安全
人材育成基盤担当は、本事業について産業振興に
部生活安全企画課
必要な情報セキュリティ犯罪の捜査・防止のサイ
ハイテク犯罪対策室
ドから本事業についてアドバイスをいただく。ま
た、地域 IT プロフェッショナル人材育成委員会
にも委員として参加・協力する。
連携機関
株式会社 UFJ 総合研究所
連携機関は、以下を行う。
・ 事業の全体計画の策定
・ アンケート案の作成
・ アンケート、ヒアリング調査の実施
・ 人材育成ニーズの評価・分析
・ 報告書の作成(人材育成ニーズ関連部)
また、地域 IT プロフェッショナル人材育成委員
会に委員として参加・協力する。
26
実施代表機関 熊本県情報セキュリティ推進協議会
(幹事会社:熊本ソフトウェア株式会社)
・全体マネジメント
・契約管理
・人材育成基盤の策定
・研修計画及び研修の実施
・報告書の策定
地域 IT プロフェッショナル人
材育成委員会
・全体計画の策定
・アンケートの作成
・人材育成基盤の実践性評価
・調査のまとめ
人材育成基盤推進担当
熊本県警察本部ハイテク犯罪対策室
・産業振興に不可欠となっている情報
セキュリティ犯罪・防止の立場から
の事業推進
・人材育成基盤のアドバイス
連携機関
株式会社 UFJ 総合研究所
・全体計画の策定
・アンケート、ヒアリング
・ニーズ調査
図 31 実施体制図
※熊本県情報セキュリティ推進協議会
・ コンピュータ・ネットワークの秩序の確立をはかることを目的とし、情報セキュリテ
ィ対策に関する活動等を行う組織として平成9年度に発足(県警と連携した協議会と
しては全国初)
。熊本県警察の「熊本県情報セキュリティコミュニティセンター活動」
の協力団体としても活動する。
・ 熊本県内企業 40 社で構成(九州経済産業局、九州総合通信局、熊本県警察本部、九
州管区警察局、熊本県がアドバイザとして参加)
。
・ 下部組織として、
熊本県インターネットプロバイダ連絡部会がある
(会員企業 21 社)
。
27
地域 IT 産業における人材ニーズ調査・分析
4.
4.1
調査の目的
本調査は、ユーザ企業及び IT 企業における情報セキュリティ人材に関する実態を把
握することにより、地域のニーズに応じた効果的な人材育成基盤の構築に資すること
を目的とする。
4.2
調査対象
本事業の実施代表機関である「熊本県情報セキュリティ推進協議会」
(以下、「協議
会」とする。
)に属する企業を中心に、熊本県内の情報セキュリティに関する教育訓練
ニーズを調査した。具体的には、地域企業へのアンケート調査と有識者に対するヒア
リング調査により、ニーズ調査を行うこととした。
(1) アンケート調査
情報セキュリティ人材を高度な情報セキュリティサービスを提供する IT 企業のコア
人材とユーザ企業内において情報セキュリティを推進する人材とに大別し、それぞれ
の人材を有する企業を調査対象とした。
それぞれの対象企業における選定基準を以下に示す。
①IT 企業(IT 関連企業で、高度な情報セキュリティサービスを提供する企業)
IT 企業の選定にあたっては、協議会(熊本県インターネットプロバイダ連絡部会を
含む)に属する IT 企業を中心に、93 社を選定し、アンケート票を発送した。なお、対
象はいずれも熊本県内の企業とした。
②ユーザ企業(IT サービスのユーザで、企業内で情報セキュリティを推進する企業)
ユーザ企業の選定にあたっては、協議会に属するユーザ会員を中心として、個人情
報を扱っているカード・クレジット、食品、印刷、ホテル、不動産、流通・運輸、有
線・放送、金融、ケーブルテレビ等の業種から 107 社を選定(内訳は表 41 参照)し、
アンケート票を発送した。なお、対象はいずれも熊本県内の企業とした。
表 41 ユーザ企業の業種内訳
業 種
企業数
業 種
企業数
カード・クレジット
17社
流通・運輸
9社
食品
17社
有線・放送
9社
印刷
15社
金融
7社
ホテル
15社
ケーブルテレビ
2社
不動産
11社
その他
5社
計
28
107社
(2) ヒアリング調査
熊本県地域において情報セキュリティを推進している有識者に対して、情報セキュ
リティに関する取り組みや、人材育成基盤のあり方などについてヒアリング調査を実
施した。
ヒアリング対象は、以下に示すとおり、熊本県警察、熊本県及び大学とした。
・ 熊本県警察本部 生活安全部 生活安全企画課 ハイテク犯罪対策室
・ 熊本県庁 地域振興部 情報企画課
・ 熊本保健科学大学 衛生技術学科 林秀樹助教授
図 41 ヒアリング調査の対象
4.3
調査・分析方法
(1) アンケート調査
アンケート調査における実施内容及び分析内容は、以下の図の通りである。
研修コースを設定するための作業と並行してアンケート調査・分析を実施した。具
体的には、熊本県の地域ニーズに基づく研修対象スキル項目についての仮説を設定し、
その仮説を検証する内容のアンケート調査を実施した。アンケート調査結果の分析に
より、具体的な研修ニーズを明確化し、研修コースの作成を行った。
アンケート調査・分析
研修コースの作成
参考
②アンケート票(案)の設計
②アンケート票(案)の設計
①研修対象スキル項目の洗い出し
①研修対象スキル項目の洗い出し
地域性を反映
③委員会による検討
③委員会による検討
⑤アンケート票の作成
⑤アンケート票の作成
⑥アンケート調査の実施・分析
⑥アンケート調査の実施・分析
IT スキル標準
に準拠
設問との
整合性 ④ 熊本県の地域ニーズに基づく研修
④熊本県版の研修対象
対象スキル項目(仮説)の作成
スキル項目(仮説)の作成
仮説の
検証
⑦研修対象スキル/研修ニーズ
⑦研修対象スキル/研修ニーズ
の明確化(ニーズマップの作成)
の明確化(ニーズマップの作成)
研修対象スキルに対応する
研修コースの作成・実施
図 42 アンケート実施手順及び分析作業との関係
29
①研修対象スキル項目の洗い出し
IT スキル標準の研修コースを基に、人材育成基盤における研修対象スキル項目とし
て取り上げる項目を洗い出した。
具体的には、IT スキル標準における情報セキュリティに関連した職種である「IT ス
ペシャリスト」及び「IT アーキテクト」の研修コースの専門分野「セキュリティ」の
各研修コース内容から、当該分野の IT プロフェッショナル人材の育成に必要なスキル
項目のロングリストを作成した。
②アンケート票(案)の作成
上記のスキル項目を中心に、地域企業の情報セキュリティ対策に対する意識、情報
セキュリティ人材育成に関する潜在的なニーズ及び具体的な研修ニーズ等を引き出す
ためのアンケート票の案を作成した。
作成に当たっては、IT 企業とユーザ企業とは別々に設計する。IT 企業については、
主に情報セキュリティサービスを提供する側として、システム設計・開発・運用・保
守等の高度な情報セキュリティスキルに関する人材育成ニーズがあるかという観点か
ら設計を行った。また、ユーザ企業については、主に情報セキュリティサービスを利
用する側として、どのように情報セキュリティ対策を行うべきか、またどのような情
報セキュリティサービスへのニーズがあるかという観点から設計を行った。
③委員会による検討
上記の観点で作成したアンケート票の案を、
「地域 IT プロフェッショナル人材育成
委員会」において検討した。特に、熊本県地域の地域性に応じた研修コースを作成す
るためのニーズ調査・分析を行うのに適しているか、という観点から検討を行った。
なお、委員会における主な意見は以下のとおりであった。
・ 熊本県地域の企業の情報セキュリティのレベルは、
IT 企業でも多くは IT スキル
標準のエントリ・レベルである。したがって、エントリ・レベル及びその準備
段階の基礎レベルにおけるスキル項目を特に重視するとともに、アンケートの
設問を簡単な答えやすいものにする必要がある。
・ 情報セキュリティ分野においては、IT 企業側のサービス提供のレベルを向上さ
せるだけでなく、サービスを利用するユーザ企業側の意識・スキルを向上させ
なければ、情報セキュリティの向上にはつながらない。
・ 個人情報保護法の施行等を背景に、セキュリティ監査やセキュリティシステム
管理に関する意識が高まりつつあり、この分野が IT 企業とユーザ企業の接点と
なると考えられる。ただし、IT スキル標準は、この分野に十分に対応していな
い面がある。
・ また、IT スキル標準は IT 企業向けに作成されたものであるため、ユーザ企業に
そのまま適用することは困難である。IT 企業におけるエントリ・レベルの準備
30
段階の基礎レベルにおける対応とあわせて、ユーザ企業向けの研修コースを検
討する必要がある。
・ 情報セキュリティに関する IT スキル標準の研修コース及び研修スキル項目はや
や総花的であり、具体的なスキルにブレイクダウンする必要がある。
・ アンケートの発送・回収に際しては、回答内容の秘密保持・情報漏洩防止の観
点から、用途を明記するとともに無記名とし、郵送で返信封筒を用意するなど
の対策を講じて、極めて慎重に行わなければならない。
図 43 委員会における意見
④熊本県の地域ニーズに基づく研修対象スキル項目(仮説)の作成
上記の委員会で挙げられた意見を踏まえ、IT スキル標準に準拠した形で、熊本県の
地域ニーズに基づく対象研修スキル項目の仮説を作成した。
研修ロードマップとしては、
「IT アーキテクト」の高度なスキルに関する項目を省き、
「IT スペシャリスト」のスキル項目に準拠するものとした。
既存の研修の大分類である、
「テクノロジ」
「メソドロジ」
「プロジェクトマネジメン
ト」
「パーソナル」
「ビジネス/インダストリ」の 5 分類に加えて、
「セキュリティ監査・
管理」という要素を付け加えて、熊本県地域における情報セキュリティニーズに即し
たものとして再分類した。
また、総花的であるという指摘を考慮して、
「テクノロジ」
「メソドロジ」の分野で、
個別の情報セキュリティ要素(
「ファイアウォール」
「暗号鍵・認証」
「不正アクセス探
知」
「ウィルス対策メソドロジ」など)を盛り込んだ軸を考案し、ニーズ分析の柱とす
ることにした。
このように作成したニーズ分析に使用する対象スキル項目を以下の 14 項目とした。
31
表 42 IT スキル標準におけるスキル項目と
熊本県の地域ニーズに基づいた研修対象スキル項目
IT スキル標準の大分類
テクノロジ
熊本県の地域ニーズに基づく研修対象スキル項目
1
コンピュータシステム設計・管理
2
ネットワークインフラ
3
ファイアウォール
4
暗号鍵・認証
5
不正アクセス探知
6
VPN
7
システム実装メソドロジ
8
ウィルス実装メソドロジ
プロジェクトマネジメント
9
プロジェクトマネジメントの基礎
ビジネス/インダストリ
10
セキュリティ関連知識
パーソナル
11
コミュニケーション
セキュリティ監査・管理
12
セキュリティシステムの運用・管理
13
情報セキュリティの監査制度/基準
14
セキュリティ・ポリシの作成
メソドロジ
⑤アンケート票の作成
上記の対象スキル項目に対応した設問を、アンケート内容に盛り込み、アンケート
票を確定した(別添資料「アンケート票」参照)
。
⑥アンケート調査の実施・分析
IT 企業 93 社、ユーザ企業 107 社の合計 200 社に対してアンケート票を発送した。発
送媒体は、アンケート内容が企業機密に関わり守秘性が高いため、email や FAX での
返信は避け、郵便による無記名での返送とすることにより、回答企業が特定できない
ように配慮した。なお、回収期日は、2 週間に設定した。
回収したアンケート結果の分析については、設問のうち熊本県版の研修対象スキル
項目に対応する設問を抽出して配点表を作成しておき、対象設問の回答状況に応じて
加点し、加重平均などの統計的処理により平準化した上で分析を行った。
【配点(例)
】
設問ごとに3段階で配点。配点は設問により異なるが、以下の水準を目
安に配点している。
・2ポイント ⇒拡大的な研修ニーズあり
・1ポイント ⇒潜在的な研修ニーズあり
・0ポイント ⇒研修ニーズなし
図 44 ニーズ調査における配点の例
32
⑦対象スキル/研修ニーズの明確化(ニーズマップの作成)
アンケートの集計結果を基に、IT 企業とユーザ企業のニーズマップを作成した。ニ
ーズマップは、熊本県のニーズに基づく研修対象スキル項目の 14 項目で作成した。
その上で、熊本県地域の企業で求められているスキルニーズから研修ニーズへの落
とし込みを行った。具体的には、IT スキル標準の職種「IT スペシャリスト」の専門分
野「セキュリティ」における研修ロードマップをベースに、調査結果からニーズが高
いと分析された項目を抽出し、ニーズに応じて研修内容を重点化することにより、熊
本県地域に応じてカスタマイズした「熊本県版 IT セキュリティ研修プログラム」の策
定につなげることとした。
(2) ヒアリング調査
守秘性の高い内容であることから、アンケート調査では把握が難しい地域企業の現
状等について、地域の情報セキュリティ推進を側面支援している熊本県警察、熊本県
及び大学の有識者から専門的な意見を聴取し、ニーズ調査および研修を策定・実行す
るための補完的な材料として活用した。
4.4
調査結果
(1) 回収結果(全体)
アンケートの回収結果は以下のとおりであった。
・IT 企業有効回答数
26 社(発送: 93 社、回収率:28.0%)
・ユーザ企業有効回答数
22 社(発送:107 社、回収率:20.6%)
合 計
48 社(発送:200 社、回収率:24.0%)
図 45 アンケートの回収結果
(2) IT 企業
①回答企業の属性
従業員規模については、50 人未満の企業が 6 割弱を占めた。また、500 人以上の企
業も約 4 分の 1 存在した。
500人以上
26.9%
300∼499人
0.0%
100∼299人
7.7%
50人未満
57.7%
50∼99人
7.7%
(n=26)
図 46 従業員規模
33
資本金規模については、1,000 万超から 3,000 万円の企業が最も多く、次いで 1,000
万円以下、そして 10 億円超と続いた。
無回答
3.8%
10億円超
19.2%
1,000万円以下
23.1%
5億円超∼10億円
7.7%
1億円超∼5億円
3.8%
5,000万円超∼1
億円
3.8%
3,000万円超∼
5,000万円
11.5%
1,000万円超∼
3,000万円
26.9%
(n=26)
図 47 資本金規模
業種については、各種サービスが 46%、ソフトウェアが 42%と大半を占めた。
その他
7.7%
ハードウェアが主
3.8%
ソフトウェアが主
42.3%
各種サービスが
主
46.2%
(n=26)
図 48 業種
34
②情報セキュリティに関する意識等
情報セキュリティ対策において、考慮したいものについての IT 企業に対する回答結
果は、下記のとおりであった。ほとんどの企業がすでに取り組んでいるものとしては、
「ファイアウォールの設置」が挙げられた。また、今後取り組みを考慮したいものと
しては、
「セキュリティ監査」が最も多い項目で、次いで「不正侵入検地システムの導
入」
「情報セキュリティ・ポリシの策定」
「ISMS(情報セキュリティマネジメントシス
テム)の認証」が挙げられた。情報セキュリティ、特に監査、およびセキュリティ・
ポリシに対する関心が、非常に高まっていることがわかった。
0%
20%
40%
データやネットワークの暗号化
46.2%
回線監視
46.2%
42.3%
100%
3.8%
26.9%
不正侵入検地システムの導入
23.1%
プライバシーマークの取得
23.1%
ISMSの認証
23.1%
11.5%
26.9%
38.5%
情報セキュリティポリシの策定
セキュリティ監査
80%
96.2%
ファイアウォールの設置
認証技術導入により利用者確認
60%
23.1%
50.0%
42.3%
7.7%
26.9%
53.8%
42.3%
46.2%
15.4%
19.2%
30.8%
23.1%
61.5%
19.2%
(n=26)
すでに取り組んでいる
今後考慮したい
特に考慮していない
わからない
無回答
図 49 情報セキュリティ対策の取り組みで考慮したいもの
外部向けにどのような情報セキュリティサービスを提供しているか、については、
半数の 13 企業が外部向け(ユーザ企業向け)に、情報セキュリティサービスを提供し
ていた。
これら 13 企業の提供サービスについては、現在提供しているサービスでは、
「VPN 機
器」
「アンチウイルス・ソフト」が最も多く、次に「ファイアウォール」が続いた。な
お、これらのサービスについては、近いうちに実施したいサービスとしては、ほとん
ど回答がなく、熊本県地域の IT 企業のなかでは、既に定着しているものであることが
分かった。
一方、近いうちに実施したいサービスの項目では、
「セキュリティ監査」を選ぶ企業
35
が最も多かった。次いで、
「ISMS コンサルタント」
「プライバシーマークコンサルタン
ト」などが続き、これらを現在提供している企業は、まだ比較的少なかった。今後の
ニーズは、上記のような広義のセキュリティ監査サービスにあることがわかる結果と
なった。
0
2
4
6
8
(社)
12
10
アンチウイルス・ソフト 0
11
VPN機器 0
11
ファイアウォール
メール・WEBフィルタリング
ログ解析
8
2
8
1
ポートスキャン
不正侵入検地ツール(IDS)
9
1
6
2
5
1
4
4
ISMSコンサルタント
3
セキュリティ監査
脆弱性アセスメント(疑似アタックなど)
2
プライバシーマーク・コンサルタント
2
2
3
現在提供している
サービス
5
近いうちに実施し
たいサービス
(n=13)
図 410 外部向け情報セキュリティサービスの実施状況
③情報セキュリティ人材の育成に対するニーズ
企業内に保有している情報セキュリティ人材については、ファイアウォール等のセ
キュリティシステムを構築できる技術者数は平均3名で、こうした技術者が全職員に
占める割合は、平均で 17.9%であった。
また、ファイアウォール等の情報セキュリティステムを構築できる技術者について、
今後社内で育成したい技術者数は平均約 4.2 名であり、現在保有している技術者数の
約 1.5 倍の技術者を育成したいという高い人材育成ニーズがあることがわかった。ま
た、情報セキュリティに関する資格を持つ技術者の保有状況は、以下の通りであった。
いずれの資格についても、企業内に有資格技術者を多数保有する現状ではなかった。
・システム監査技術者
平均約 0.37 名(最高 3 名)
・情報セキュリティアドミニストレータ 平均約 0.52 名(最高 5 名)
・CCSA/CCSE 認定者
平均約 0.05 名(最高1名)
36
情報セキュリティ技術に対する対応状況については、自社内で情報セキュリティ専
門の人材を抱える企業は 46.1%で、今後対応を検討・予定している企業も 38.5%であ
り、ほとんどの企業で対応が進みつつあった。
続いて対応が進んでいるのが「ネットワーク・セキュリティ設計」であり、4割強
の企業が対応中としている。また、
「セキュリティシステムの運用管理」についてもほ
ぼ同様の対応状況であり、約4割の企業が対応中であった。両者とも、今後対応を検
討・予定している企業が5割弱を占め、いずれも意識が高かった。
情報セキュリティ教育、IT に関するリスクマネジメント及びセキュリティシステム
のテストについては、3 割弱が対応中であり、5∼6 割が今後対応を検討・予定してお
り、今後人材育成ニーズが高まることも考えられる項目といえよう。
「セキュリティシステムの開発部隊を社内に抱える」については、対応中の企業は
約 2 割であり、約 4 割が今後対応を検討・予定中としているが、対応の意向なしと答
えた企業も4割を占めていた。また、情報セキュリティに関する専門家を他企業に派
遣している企業は、対応中の割合が現状では約 8%と最も低く、対応の意向なしとする
企業も約 7 割を占めた。
0%
20%
自社内で情報セキュリティ
専門の人材を有する
34.6%
ネットワーク・セキュリティ設計を
適切に行うことができる
60%
11.5%
23.1%
セキュリティシステムの運用管理を
適切に行うことができる
情報セキュリティに関する教育を、
社内で体系づけられた形で行う
40%
19.2%
19.2%
19.2%
80%
100%
38.5%
11.5%
46.2%
7.7%
46.2%
11.5%
7.7%
19.2%
50.0%
19.2%
ITに関するリスクマネジメント全般に
7.7%
適切に対応できる
19.2%
50.0%
19.2%
セキュリティシステムのテストを適切に
3.8%
行うことができる
23.1%
57.7%
セキュリティシステム開発部隊を
3.8% 15.4%
社内に抱える
情報セキュリティに関する専門家を
3.8%
他企業に派遣する
3.8%
対応中で今後強化
対応中
38.5%
19.2%
対応を検討・予定中
38.5%
69.2%
対応の意向なし
図 411 情報セキュリティ技術に関する対応状況
37
11.5%
無回答
自社内でどのような情報セキュリティ人材を育成したいか、という設問については、
「重点的に育成したい」というニーズは全体的に少ないが、IT スキル標準に即した「IT
スペシャリスト」及び「IT アーキテクト」には1割前後の一定のニーズがみられた。
「育成したい」をあわせると、約 6 割を超える企業に人材育成ニーズがあり、特に「IT
スペシャリスト」のレベル 1∼2、3∼4 については 7∼8 割の企業に人材育成ニーズが
あった。
その他の資格では、
「情報セキュリティアドミニストレータ」
「システム監査技術者」
における人材育成ニーズが高く、約 8 割の企業が「育成したい」と回答した。
「CCSA/CCSE 認定者」及び「CIW セキュリティ・プロフェッショナル」については、
「育成したい」とする企業は 3 割前後となった。
0%
ITスペシャリスト(レベル3∼4)
20%
15.4%
情報セキュリティアドミニストレータ
11.5%
ITスペシャリスト(レベル5以上)
11.5%
ITアーキテクト(レベル5以上)
11.5%
ITスペシャリスト(レベル1∼2)
40%
CIWセキュリティ・プロフェッショナル
80%
61.5%
26.9%
50.0%
7.7%
15.4%
57.7%
26.9%
7.7%
19.2%
76.9%
34.6%
7.7%
34.6%
65.4%
65.4%
3.8%
3.8%
30.8%
46.2%
7.7%
100%
19.2%
57.7%
システム監査技術者
CCSA/CCSE認定者
60%
7.7%
7.7%
7.7%
(n=26)
重点的に育成したい
育成したい
育成ニーズは特にない
図 412 自社内で育成したい情報セキュリティ人材
38
無回答
情報セキュリティ人材の育成に関する研修の必要性については、研修ニーズとして
は、
「IT スペシャリスト(セキュリティ)
」
「不正アクセス防止対策」
「ネットワーク・
セキュリティ」などが上位に挙げられた。しかしながら、飛び抜けてニーズが高いス
キルは存在しなく、バランス良く総花的に学べるスキルが上位に位置している。その
一方で、
「CCSA/CCSE」などのハイレベルな研修に関しては、ニーズがあまり高くない
のが現状であった。以上の結果から、研修プログラムを策定する際には、IT スキル標
準の IT スペシャリストに準拠しながら、ニーズが高いスキルも盛り込むように留意す
べきであるといえよう。
0%
20%
ITスペシャリスト(セキュリティ)
40%
60%
23.1%
不正アクセス防止対策
15.4%
不正侵入検地システム(IDS)
15.4%
VPN構築
15.4%
80%
100%
61.5%
11.5% 3.8%
76.9%
3.8%
3.8%
73.1%
11.5%
69.2%
11.5% 3.8%
ネットワークセキュリティ(Windows編)
11.5%
ファイアウォール構築
11.5%
73.1%
7.7% 7.7%
システム管理技術者
11.5%
73.1%
7.7% 7.7%
脆弱性アセスメント(疑似アタック等)
11.5%
メール、WEBフィルタリング
11.5%
ISMS
11.5%
ITアーキテクト(セキュリティ)
11.5%
プライバシーマーク(JIS Q 15001)
80.8%
7.7%
69.2%
15.4% 3.8%
65.4%
11.5%
61.5%
15.4%
53.8%
7.7%
7.7%
23.1%
80.8%
ネットワークセキュリティ(UNIX/Linux編) 3.8%
11.5%
26.9%
69.2%
コンピュータウィルス対策 3.8%
11.5%
7.7% 7.7%
76.9%
11.5% 7.7%
セキュリティポリシ立案実践 3.8%
73.1%
11.5%
11.5%
インターネットにおける電子認証技術(PKI) 3.8%
73.1%
11.5%
11.5%
情報セキュリティアドミニストレータ 3.8%
CCSA/CCSE
65.4%
46.2%
CIWセキュリティ・プロフェッショナル
7.7%
46.2%
42.3%
受講したい
23.1%
7.7%
46.2%
関心がある
関心がない
11.5%
無回答
図 413 情報セキュリティ人材の育成に関する研修ニーズ(IT 企業)
39
研修の形態に関して、希望日数については、3 日間が最も多く、13 社が回答した。
0
2
6
8
10
12
(社)
14
2
1日
2日
4
1
13
3日
1週間
1
内容・レベルに応じて適宜設定
1
(n=26)
図 414 研修の希望日数
研修の希望費用については、10 万円が最も多く 5 社が回答し、ついで 3 社が 5 万円、
3 万円と回答した。
0
1
2
4
1
3万円
3
5万円
3
10万円
対効果で設定
(社)
6
5
2
1万円
2万円
3
5
1
(n=26)
図 415 研修の希望費用
40
研修の希望開催場所については、熊本市内を希望する企業が最も多く、ついでいず
れでも可という回答であった。
0
2
4
6
8
10
(社)
14
12
熊本市内
13
郊外
2
5
いずれも可
(n=26)
図 416 研修の希望開催場所
研修の希望形態については、講義形式が最も多く 14 社が回答し、eLearning、ワー
クショップ、Action Learning を希望する企業も存在した。
0
2
4
6
8
10
12
14
(社)
16
14
講義
e-Learning
3
ワークショップ
3
Action Learning
3
(n=26)
図 417 研修の形態
その他、研修の要望については、
「講義内容、勤務状況に応じた、多様性のある講義
形態が望ましい」などの意見が寄せられた。
また、情報セキュリティ人材の育成の課題として、
「お客様に迷惑を掛けない、つま
り CS 向上のためにも、まず自社内及び提供するサービス・製品のセキュリティ品質確
保・向上への意識強化を推進している。そのために組織的な計画・投資を実行してい
る。ISMS の取得についても今後取り組む予定である」という情報セキュリティ及びセ
キュリティ監査に対して前向きな意見が挙げられる一方で、懸念点としては「急速に
進展する IT 社会の中で情報漏洩を防止することは企業として重要な課題となっている
ことは充分認識していることではあるが、複雑化、高度化するシステムに対し何をど
こまでどの程度実施すれば安全かという到達点がないところが悩ましいところであ
る」という声も挙がった。
41
(3) ユーザ企業
①回答企業の属性
ユーザ企業については、回答企業は 50 人未満が 4 割を占め、次いで 100∼299 人と
500 以上の規模の会社が多かった。
500人以上
22.7%
50人未満
40.9%
300∼499人
4.5%
100∼299人
22.7%
50∼99人
9.1%
(n=22)
図 418 従業員規模
資本金規模については、10 億円超が 36%を占めており、それを含めて 5 億円以上の
企業が全体の 5 割強を占めた。
無回答
13.6%
1,000万円以下
13.6%
1,000万円超∼
3,000万円
9.1%
3,000万円超∼
5,000万円
4.5%
10億円超
31.8%
5億円超∼10億
円
13.6%
5,000万円超∼1
億円
9.1%
1億円超∼5億
円
(n=22)
4.5%
図 419 資本金規模
42
業種については、最も多いのが金融業であり、次いで製造業、教育業、放送業と続
いた。
その他
18.2%
金融業
27.3%
ホテル業
4.5%
食品業
4.5%
不動産業
4.5%
製造業
13.6%
小売業
4.5%
教育業
9.1%
放送業
9.1%
建設業
4.5%
(n=22)
図 420 業種
②情報セキュリティに対する意識等
情報セキュリティに関する主要な用語の認知度については、コンピュータウィルス、
ファイアウォール及び個人情報保護法の認知度は高く、
「知っている(説明できる)」
の割合が 6∼8 割を占めた。一方、ISMS やセキュリティポリシに対する認知度は低く、
「知っている(説明できる)
」の割合は 2∼4 割にとどまった。
0%
20%
40%
60%
80%
100%
(n=22)
コンピュータウィルス
77.3%
ファイアウォール
72.7%
個人情報保護法
ISMS
18.2%
63.6%
プライバシーマーク
情報セキュリティポリシ
22.7%
36.4%
50.0%
31.8%
36.4%
18.2%
40.9%
22.7%
22.7%
50.0%
知っている(説明できる)
聞いたことがある
27.3%
(n=22)
聞いたことがない
図 421 情報セキュリティ用語に関する認知度
43
9.1%
情報セキュリティに関する取り組み状況については、
「パソコン等の端末へのウィル
スチェックプログラムの導入」については9割以上の企業が取り組み済みであった。
以下、
「添付ファイルや html メールを不用意に開くことの禁止」
「サーバへのウィルス
チェックプログラムの導入」
「ID、パスワード管理に関するルールの明文化」等につい
て、取り組み済みの企業の割合が高く、6 割以上の企業がすでに取り組んでいた。
また、今後考慮したい項目としては、
「認証技術導入による利用者確認」が最も高く、
すでに取り組んでいる割合が 2 割弱であるのに対して、約7割の企業が「今後考慮し
たい」と回答した。
「プライバシーマークの取得」及び「ISMS の認証」については、取
り組み済みの企業はゼロであるが、
「今後考慮したい」とする企業がいずれも 5 割を超
えており、セキュリティの監査・管理に関する人材育成ニーズが今後拡大していくと
想定される。
0%
20%
40%
パソコン等の端末へのウィルス
チェックプログラムの導入
添付ファイルやhtmlメールを
不用意に開くことの禁止
サーバへのウィルスチェック
プログラムの導入
ID、パスワードの管理に関する
ルールの明文化
60%
72.7%
18.2% 4.5%
4.5%
68.2%
27.3%
63.6%
18.2% 4.5% 18.2%
54.5%
45.5%
45.5%
40.9%
4.5%9.1%
45.5%
40.9%
13.6%
31.8%
54.5%
27.3%
情報セキュリティ事故や事件に
対する罰則規定
22.7%
不正侵入検知システムの導入
22.7%
アクセスログの定期的な解析
22.7%
認証技術導入による利用者確認
18.2%
情報セキュリティ対策における
社内での定期的な説明会の開催
18.2%
4.5%
36.4%
59.1%
情報セキュリティポリシの策定
100%
4.5%
4.5%
90.9%
ファイアウォールの設置
許可しないソフトウェアの
インストールの禁止
パソコン廃棄時のフォーマット
の実施
社外から社内へのアクセスに
対する制限
入社の際の機密情報の取り
扱いに関する承諾書の作成
80%
9.1%4.5%
45.5%
4.5%
50.0%
22.7%
40.9%
13.6%
36.4%
22.7%
13.6%
18.2%
22.7%
68.2%
9.1%
59.1%
59.1%
プライバシーマークの取得
54.5%
ISMSの認証
4.5%
13.6% 4.5%
13.6%
27.3%
13.6%
27.3%
(n=22)
すでに取り組んでいる
今後考慮したい
特に考慮していない
わからない
図 422 情報セキュリティ対策の取り組み状況
44
情報セキュリティ対策の実施体制については、専門の組織があるのは 1 割弱にとど
まった。その他のほとんどの企業には専門の組織がなく、情報システムの運用担当者
が兼務している企業が 63.6%と最も多かった。13.6%の企業には、情報セキュリティ担
当者がいない状況であった。
専門の組織があ
り、情報システム
の運用管理者が
兼務
9.1%
専門の組織はない
が、一部外部委託
4.5%
専門の組織はな
く、セキュリティ担
当者もいない
13.6%
専門の組織はない
が、専従のセキュ
リティ担当者を設
置
9.1%
専門の組織はない
が、情報システム
の運用担当者が
兼務
63.6%
(n=22)
図 423 情報セキュリティの実施体制
情報セキュリティ対策を実施する上での制約条件については、
「予算がない」が最大
の原因となっており、7社から回答が得られた。続いて、
「実施する知識・ノウハウが
ない」
「人材がいない」といった意見が挙げられた。
なお、
「効果がないため、必要性を感じない」と回答した企業はなく、情報セキュリ
ティ対策の必要はすべての企業が感じている状況にあった。
0
1
2
3
4
5
6
(社)
8
7
予算がない
実施する知識・ノウハウがない
5
人材がいない
5
4
手間がかかる
3
トップの理解が得られない
2
情報セキュリティ対策は十分に実施(課題なし)
効果がないため、必要性を感じない
7
0
(n=22)
図 424 情報セキュリティ対策を実施する上での制約条件
45
外部の専門業者における情報セキュリティサービスの利用状況については、
「現在利
用しているサービス」としては、
「ファイアウォール」
「アンチウィルス・ソフト」
「WEB・
メールフィルタリング」を挙げる企業が 8∼9 社と半数弱にのぼった。
「近いうちに利用したいサービス」としては、回答数は多くなかったが、
「ファイア
ウォール」を2社が挙げている他、現在利用している企業がない「ポートスキャン」
「プ
ライバシーマークコンサルタント」
「ISMS コンサルタント」を含めて、各種の情報セキ
ュリティサービスを挙げる企業が存在した。
0
2
4
6
ファイアウォール
9
アンチウイルス・ソフト
9
8
ログ解析
2
1
不正侵入検知ツール(IDS)
2
1
VPN機器
2
1
(社)
12
2
8
メール・WEBフィルタリング
10
1
セキュリティ監査
1
ポートスキャン
1
プライバシーマークコンサルタント
1
現在利用している
サービス
ISMSコンサルタント
1
近いうちに利用した
いサービス
脆弱性アセスメント(疑似アタックなど) 0
(n=22)
図 425 情報セキュリティサービスの利用状況
③情報セキュリティ人材の育成に対するニーズ
情報セキュリティ人材の社内での育成に対する意識については、
「自社で情報セキュ
リティ人材を育成・確保したい」という回答が「たいへんそう思う」
「そう思う」をあ
わせると 8 割を超え、自社内での人材育成ニーズは高いといえる。また、
「個人情報保
護法施行に向けた全社員の教育を推進したい」についても同様に約 8 割の企業が人材
育成をしたいと回答しており、個人情報保護法の制定が一つの契機となって情報セキ
ュリティ対策への意識が高まっていることがうかがえた。
また、
「全社的な情報セキュリティ統括責任者を社内で育成・確保したい」というニ
ーズについては 7 割強の企業が「たいへんそう思う」または「そう思う」と答えてお
り、社内での人材育成ニーズが高かった。ただし、部門単位、課単位の情報セキュリテ
ィ推進者やセキュリティ監査人になると、
「あまりそう思わない」が3∼4割を占めた。
46
なお、現在、社内の情報セキュリティ人材の育成・確保は十分なレベルにあると思
っている企業は少なく、
「まったくそう思わない」
「あまりそう思わない」で約 7 割を
占めた。ユーザ企業にとっても、情報セキュリティ人材の育成は大きな課題となって
いることがわかった。
0%
20%
自社でセキュリティ人材を
育成・確保したい
22.7%
個人情報保護法施行に向けた
全社員の教育を推進したい
22.7%
全社的な情報セキュリティ統括
責任者を社内で育成・確保したい
13.6%
部門単位の情報セキュリティ
責任者を社内で育成・確保したい
13.6%
現在、社内の情報セキュリティ人材の
育成・確保は十分なレベルにある
たいへんそう思う
80%
9.1% 13.6%
59.1%
40.9%
50.0%
40.9%
13.6%
あまりそう思わない
4.5% 9.1%
31.8%
13.6%
4.5% 13.6%
31.8%
まったくそう思わない
図 426 情報セキュリティ人材育成に対する意識
47
13.6%
31.8%
36.4%
40.9%
100%
4.5%
13.6%
54.5%
13.6%
そう思う
60%
59.1%
課単位の情報セキュリティ
4.5%
推進者を社内で育成・確保したい
情報セキュリティ監査人を
4.5%
社内で育成・確保したい
40%
13.6%
(n=22)
無回答
情報セキュリティ人材育成の取り組み状況については、
「情報セキュリティ担当者の
自己学習程度」が 3 割弱、
「外部研修への参加」及び「社員による OJT の実施」が 1 割
強の企業で行われているが、大半の企業では取り組みが行われていない状況であった。
ただし、
「取り組みを検討・予定中」及び「未検討だが必要を感じている」という回
答をあわせると、いずれも約 6 割以上にのぼり、大多数の企業が必要性を感じていた。
「社外講師による社内研修の実施」については、現時点で取り組んでいる企業はなく、
「取り組みを検討・予定中」とする企業もごくわずかにとどまったが、
「未検討だが必
要性を感じている」とする企業は約7割にのぼり、高い潜在ニーズがあるといえる。
0%
20%
情報セキュリティ担当者の自己学習程度
27.3%
外部研修への参加
13.6%
社員によるOJTの実施
13.6%
40%
18.2%
18.2%
80%
45.5%
40.9%
13.6%
社外講師による社内研修の実施
60%
9.1%
13.6%
59.1%
68.2%
100%
13.6%
13.6%
13.6%
4.5%
13.6%
(n=22)
取組中
未検討だが必要性を感じている
無回答
取り組みを検討・予定中
必要性を感じていない
図 427 情報セキュリティ人材育成の取り組み状況
48
人材育成に関する課題としては、
「本社での検討事項で、各支店・事業所では考察が
無理」という意見も 2 件挙げられた。全国規模の会社では、このような制約も考えら
れた。
情報セキュリティ人材の育成に関する研修の必要性については、
「受講したい」とい
う具体的なニーズは、全体的に数社ずつ回答が挙がった。
「関心がある」を含めると、
「コンピュータウィルス対策」や「不正アクセス防止策」
「ネットワーク・セキュリテ
ィ(Windows 編)
」のニーズが高かった。
0%
20%
ネットワークセキュリティ(Windows編)
18.2%
ファイアウォール構築
18.2%
ISMS
18.2%
情報セキュリティアドミニストレータ
18.2%
プライバシーマーク(JIS Q 15001)
18.2%
40%
60%
54.5%
50.0%
80%
9.1% 18.2%
13.6%
45.5%
22.7%
40.9%
22.7%
36.4%
100%
18.2%
13.6%
18.2%
27.3%
18.2%
コンピュータウィルス対策
13.6%
63.6%
9.1% 13.6%
不正アクセス防止策
13.6%
63.6%
9.1% 13.6%
インターネットにおける電子認証技術(PKI)
13.6%
ネットワークセキュリティ(UNIX/Linix編)
13.6%
40.9%
27.3%
18.2%
システム監査技術者
13.6%
40.9%
27.3%
18.2%
54.5%
セキュリティポリシ立案実践 9.1%
50.0%
VPN構築 9.1%
50.0%
13.6%
22.7%
18.2%
18.2%
18.2%
22.7%
(n=22)
受講したい
関心がある
関心がない
図 428 ユーザ企業における研修ニーズ
49
無回答
研修の形態に関して、希望日数については、1 日間及び 3 日間が多く、それぞれ 5 社、
4 社が回答した。
0
1
2
3
4
(社)
6
5
5
1日
4
3日
1
1週間
(n=22)
図 429 研修の希望日数
研修の希望費用については、1 万円及び 3 万円が多く、それぞれ 4 社が回答した。
0
1
2
無料
3
(社)
5
4
2
1万円
4
3万円
4
10万円
1
(n=22)
図 430 研修の希望費用
研修の希望開催場所については、
「熊本市内」を希望する企業が多く、8 社が回答し
た。
「いずれでも可」という回答も 2 社から挙げられた。
0
1
2
3
4
5
6
熊本市内
いずれも可
7
8
(社)
9
8
2
(n=22)
図 431 ユーザ企業における希望研修場所
50
研修の希望形態については、講義形式が最も多く 9 社が回答し、eLearning、Action
Learning、ワークショップを希望する企業も存在した。
0
1
2
3
4
5
6
7
講義
9
(社)
10
9
e-Learning
2
Action Learning
2
ワークショップ
8
1
(n=22)
図 432 研修の希望形態
(4) ヒアリング結果
前掲のアンケート調査のほかに、熊本県警察、熊本県県庁、および大学関係者から
成る有識者へのヒアリングを行った。熊本県で求められている情報セキュリティに関
する、全般的な課題および問題点、熊本県の IT スキルレベルの現状、および企業で求
められている人材ニーズと研修ニーズなどについて、アンケート調査からは伺えない
問題意識を採り上げた。
①熊本県県警
・ 情報セキュリティスキルのニーズ
情報セキュリティに関する犯罪の数としては、携帯電話の運用トラブルが抜きん
出て多い。次に、情報漏洩関係で、スパイウェア、ファイル共有ソフトなどの被害
がある。また、ウィルス関連も多い。したがって、これらに対応できるようなスキ
ルを持った人材育成を企業が中心となって行う必要がある。
不正アクセス関係の被害は上記の犯罪に比べて比較的少ないが、セキュリティ・ホ
ールを狙った詐欺などがある。外部からの不正アクセスよりも、内部での ID・パス
ワードの運用ミスによる被害などの問題が多い。
・ 低年齢層に対する教育ニーズ
学生に対する教育では、オークション・サイトや出会い系サイトに対する怖さを
認識させる教育が大事である。
・ 研修形式に関するニーズ
講演会などの広報・啓蒙活動に力を入れる必要がある。学校などの教育機関やシ
ステム関係者を対象としているが、要望が多く月に6回ほど講演している。今後と
51
も継続して行う必要があるであろう。
・ 研修についての関連組織
県警内の「熊本県情報セキュリティコミュニティセンター」は、サイバー犯罪に
対するワンストップ窓口的役割を果たす。各方面の OB へのパイプがあり、彼らの知
識は実体験に基づいており、役に立つものである。研修会を、教育機関や各自治体、
および民間企業などを対象として行っている。頻度は 3 ケ月に 1 度程度である。彼
らを今後は中小企業や NPO に派遣してコンサルテーションを行って頂いたりするこ
とも可能であろう。
・ 熊本県警察内での IT(セキュリティ)スキルを持つ人材育成ニーズ
県警内での情報セキュリティに関する人材育成が必要である。ハイテク犯罪対策
室以外の部署では、必ずしも IT スキル、情報セキュリティスキルは高いとはいえな
い。簡単なレベルのファイアウォールや不正アクセスチェック研修が存在するが、
ユーザ企業のレベルで運用などを教える必要がある。具体的には、検察庁、情産協、
および民間 IT 企業などの外部の研修を受ける必要性を感じている。
そうすることで、
県警内で専門家が増え、企業など関連主体に教育を行ってゆくことが可能であろう。
②熊本県県庁
・ 教育対象に対するニーズ
モラルの分野については、
「IT リテラシー・モラルの向上」を目指した施策は入っ
ている。情産協や熊本県情報セキュリティ協議会の協力を借りながら、教育を子供
達にメインに行っている。被害から身を守る方法として、今後も啓蒙を行う必要が
ある。
・ 分野別の人材育成ニーズ
IT モラルを向上するための啓蒙・啓発活動、また IT リテラシーの世代間格差の解
などを相互に教えあう仕組みを作ることである。分からないときは、ここにコンタ
クトしたら良いという、インフラ・体制整備が必要であろう。
つまり、IT スキルといった技術的な面よりも、IT の利用方法に関する取り組み(研
修)を行うことがまずは先決である。IT の利活用を進めていく上の障害として、情
報セキュリティがあり、その障害を克服するために、IT リテラシーの向上が必要で
あるという位置づけである。
・ 情報セキュリティ人材育成における考え方
「法律で守るべきもの(法令遵守)
」を教えるのか、
「採るべき方法(情報セキュ
リティ対策)
」を教えるのかという課題がある。
・ 県内企業の IT スキルレベル及び研修ニーズに関する現状
市町村によっては、取り組みに積極的な地域もある。例を挙げると、ある市町村
では 3 分の1が独自で自分で研修を企画し、3 分の 2 は、県の研修に参加している。
ワード、エクセルなどの基礎研修を年間 1,000 名受講している(1 企業で、5060 名
受ける企業もある)
。また、ネットワーク・セキュリティなどの専門研修を年間で 200
52
名が受講する。
市町村のニーズに合わせながら、内容に関してアンケートを行っている。平成 14
年度が 100 名の受講者だったが、平成 15・16 年度は、上記の受講者数で、ニーズは
高まっている。
情報セキュリティに関する研修ニーズも高い。初級・中級に分かれ、中級はセキ
ュリティシステムの実装ができる程度である。
・ セキュリティ・ポリシ、セキュリティ監査に関する県庁内の意識
実際に省内部でも読んでいる人は少なく、知っているかどうかも怪しい。研修に
割かれる時間もわずかだった。だが、個人情報保護法の発布に伴い、意識は以前に
比べると格段にあがってくる。まずは、省内の意識改革を行わないと何も始まらな
い。セキュリティ監査に関しては、今年から積極的に取り組んでいこうという方針
はあるが、全職員を集めた研修の実行は実質困難なので、一部専門的な研修を行い
たいと考える。
現状は上記のような状態なので、人材育成や企業ニーズを汲み上げる環境の整備
は現状では困難である。
・ IT スキル標準に対する意識
個人によりばらつきがある。一部は、ファイル共有を行うなど先進的な取り組み
もある。
③熊本保健科学大学 衛生技術学科 林秀樹助教授
・ 情報セキュリティに関する大学でのニーズ
大学においては、医療分野の個人レベルの情報セキュリティなどの方が、情報通
信分野よりも大事なのではないか。個人情報保護法成立で、個人情報などを扱う特
に医療・金融とかにおいて講座が存在する可能性が高い。
・ 大学と企業ニーズとの乖離
情報セキュリティの実際の事例が大学では分からない。民間企業からの情報セキ
ュリティに関する情報は、大学には入ってこないからである。企業からの情報セキ
ュリティスキルを持った人材に関してはニーズがないか、あったとしても IT 企業の
一部であろう。
・ 学生の情報セキュリティ資格試験に関するニーズ
資格を取れば、就職には強いと考えているのでニーズは存在する。一方、企業側
は、普通一旦入社させて、情報セキュリティ専門人材に育てるということを考えて
いることが多い。
・講義形態による限界
講義では、情報セキュリティに関する現実性がどうしても欠ける。情報セキュリ
ティは「攻める側」と「受ける側」に分けると、受ける側(攻撃を受ける場)の理
論が分からないと難しいと考える。学生は各論については学べるが、現場の感覚は
分からないので、講義形態を工夫する必要がある。
53
4.5
分析と考察
(1) ニーズマップの作成・分析
アンケートの回答から、研修対象スキル項目別の研修ニーズを明確化するため、ニ
ーズマップを作成した。
IT スキル標準の分類とそれに対応した熊本県のニーズに基づく研修対象スキルの分
類軸ごとに、関連するアンケートの設問を整理し、表 43 に示すアンケート設問項目
と配点の対応表にしたがって、それぞれの回答に応じて得点を加算した。研修対象ス
キルにより、アンケート設問項目との関連が多い項目とそうでない項目が存在するが、
その場合は各設問項目から得られた得点の平均点を算出することで、スキル項目間の
配点の絶対値の調整をはかり、スキルに関連する設問の多寡によりニーズの強さ/弱
さがでないように統計的に処理を行った。
前述の方法論に基づき、IT 企業及びユーザ企業別に、分類軸ごとに回答企業の得点
を集計した。その結果をレーダーチャートに示したものがニーズマップである(図
433)
。また、表 44 には、IT 企業及びユーザ企業別に、得点(スキルニーズ)の多
い順に項目を並び替えた表を示した。
IT 企業においては、
「セキュリティ・ポリシの作成」が最もニーズが高く、次いで「情
報セキュリティの監査/基準」が高い結果となった。4 位の「セキュリティシステムの
運用/管理」とあわせて、セキュリティ監査・管理に対する関心の高さを裏付ける結
果となった。とりわけ、情報セキュリティの監査や基準に関する制度面での関心が高
く、特定の情報セキュリティスキルについての関心はその次に挙げられた(3 位は、
「暗
号鍵・認証」
、5 位は「ウィルス対策メソドロジ」
)
。
ユーザ企業においても、セキュリティ監査・管理に関するニーズが高く、1 位は、
「情
報セキュリティの監査/基準」
、2 位は「情報セキュリティの監査/基準」という結果
が得られた。
特筆すべきは、IT 企業で1位になった「セキュリティ・ポリシの作成」が、ユーザ
企業では 13 位とかなり軽視されていることである。これは、情報セキュリティ・ポリ
シに対する認知度がユーザ企業において低い(図 421 参照)ということから起因した
もので、まずは情報セキュリティ全般においてリテラシーが低い(言葉を知らない)
ことが遠因となっていると考えられよう。総体的な対象スキル項目では情報セキュリ
ティニーズは高いので、個別・全般的なリテラシーの向上が、ユーザ企業では特に必
要であると考えられる。
IT 企業、ユーザ企業の両方において、個人情報保護法の施行に伴った、情報セキュ
リティ制度、およびその運用の必要性を感じている企業が多い結果となった。
54
表 43 ニーズマップ作成のためのアンケート設問項目と配点の対応表
熊本県の地域ニーズ 企業
分類
に基づく研修対象
スキル項目
中項目
ITSS分類
コンピュータシステム
設計・管理
ユーザ企業アンケート設問項
目(中項目と設問番号)
IT企業アンケート設問項目(中項目と設問番号)
2-1
2−2
3-1
③
ネットワークインフラ
ファイアウォール
①
暗号鍵・認証
②,④
不正アクセス探知
⑥
③
⑤
①
①,②,⑤
3-2
3-3
3-5
3-1
3-2
3-4
⑥
⑤,⑥,⑦,
⑱,⑲
⑧
⑤
③
⑩,⑪,⑯
⑦,⑧
③,④
⑤,⑯,⑰
⑤
⑥
④
④
④
②,⑦,,⑨,
⑰
②
③
⑥,⑯
⑥
⑥,⑦
⑩,⑪,⑱
⑦,⑧
⑥
①
①
①
テクノロジ
⑤
VPN
メソドロジ
プロジェクトマ
ネジメント
ビジネス/イン
ダストリ
パーソナル
セキュリティ監
査・管理
④,⑦
システム実装メソド
ロジ
ウィルス対策メソドロ
ジ
プロジェクトマネジメ
ントの基礎
セキュリティ関連知
識
設
問
番
号
⑤
②
②,④
上記設問の
回答に対する
配点
⑪
⑥
②,③
コミュニケーション
セキュリティシステム
の運用・管理
情報セキュリティの
監査制度/基準
セキュリティポリシの
作成
⑥
⑥,⑧
①,②,④
⑤,⑧,⑨ ⑨,⑩,⑪ ③
⑦
特に考慮し
ていない=
0, 今後考
慮したい=
2,すでに取
り組んでい
る=1,わか
らな=n/a
⑥
①,②,③,
④
⑤,⑥
①,⑤,⑥, ②,④,⑦, ⑧,⑭,⑰,
④,⑦
⑦,⑧
⑧
⑲
①,⑤,⑥,
①,②,③,
①
⑫,⑬,⑮
⑦
⑤,⑥,⑦
④
現在提供
している
サービス
=1. 近いう
ちに実施し
たいサービ
ス=2, 記
入なし=
n/a
⑰
人数2名ま 対応中で
たは比率 今後強化
2%以上= =2, 対応中
2, 人数1名 =1,対応を
または比 検討・予定
率1%以上 中=2,対応
=1, その の意向なし
他=0,(設 =0
問③,④,⑤
は人数2名
以=2,人数
1名=1、
その他=
⑥
③
重点的に
育成したい
=2,育成し
たい=1,
育成ニー
ズは特に
ない=0
受講したい
=2, 関心が
ある=1,
関心がな
い=0
⑧,⑫
⑨,⑩,⑪
③
大変そう思
う=2, そう
思う=1.2,
あまりそう
思わない
=0.6,まった
くそう思わ
ない=0
取り組み
中=1, 取
り組みを検
討・予定中
=2, 未検討
だが必要
性を感じて
いる=1,
必要性を
感じていな
い=0
受講したい
=2, 関心が
ある=1,
関心がな
い=0
※表中の丸数字は、各アンケート設問項目における設問番号を示す。
回答企業が、各設問で回答した内容によって最下段の配点基準に沿って得点を加算する
(n/a:無効)
。熊本県の地域ニーズに基づく研修対象スキル項目の 14 項目ごとに、全回答企
業の得点を集計し、平均値を算出する。
(例)
「コンピュータシステム設計・管理」における点数の計算
IT 企業アンケート設問項目「21」の設問番号③の設問において、
IT 企業Aが「特に考慮していない」と回答した場合 →0 点
IT 企業Bが「今後考慮したい」と回答した場合
→2 点
IT 企業Cが「わからない」と回答した場合
→n/a(無効)
平 均
1 点(
(0+2)÷2)
→同様に、
「32」
(⑥)
、
「33」
(③、⑤、⑦、⑧)
、
「35」
(⑱、⑲)についても各企業
の平均点を計算。
→「コンピュータシステム設計・管理」におけるすべての設問番号の平均点を計算。
55
セキュリティ
監査・管理
①コンピュータシステム設計・管理
⑭セキュリティポリシの作成
②ネットワークインフラ
Level 1.5
1.021
1.164
Level
0.902 1
⑬情報セキュリティの監査制度/基準
1.104
1.088
テクノロジ
テクノロジ
0.972
0.817
0.789
③ファイアウォール
1.000
0.786
⑫セキュリティシステムの運用・管理
1.101
1.000
0.957
1.100
⑪コミュニケーション
0.718
0.606
0.789
1.056
0.935
⑩セキュリティ関連知識
0.947
0.972
0.964
0.972
1.053
ビジネス /
インダストリ
④暗号鍵・認証
0.920
1.079
パーソナル
1.085
Level 0.5
1.060
⑨プロジェクトマネジメントの基礎
⑤不正アクセス探知
⑥VPN
⑦システム実装メソドロジ
Level 2:拡大的ニーズあり
Level 1:潜在的ニーズあり
Level 0:ニーズなし
⑧ウィルス対策メソドロジ
プロジェクトマネジメント
IT企業
メソドロジ
図 4-33 アンケート結果による熊本県地域の IT 企業及びユーザ企業のスキルニーズマップ
56
ユーザ企業
表 44
順位
IT 企業及びユーザ企業の求めるスキルニーズの順位表
IT 企業
ポイント
ユーザ企業
ポイント
1位
セキュリティ・ポリシの作成
1.164
情報セキュリティの監査制度/基準
1.104
2位
情報セキュリティの監査制度/基準
1.088
セキュリティシステムの運用・管理
1.101
3位
暗号鍵・認証
1.085
不正アクセス探知
1.100
4位
セキュリティシステムの運用・管理
1.060
コミュニケーション
1.079
5位
ウィルス対策メソドロジ
0.972
セキュリティ関連知識
1.056
6位
システム実装メソドロジ
0.964
ウィルス対策メソドロジ
1.053
7位
不正アクセス探知
0.957
コンピュータシステム設計・管理
1.021
8位
プロジェクトマネジメントの基礎
0.935
ファイアウォール
1.000
9位
コミュニケーション
0.920
暗号鍵・認証
1.000
10 位
コンピュータシステム設計・管理
0.902
ネットワークインフラ
0.972
11 位
ネットワークインフラ
0.817
システム実装メソドロジ
0.972
12 位
ファイアウォール
0.786
プロジェクトマネジメントの基礎
0.947
13 位
セキュリティ関連知識
0.718
セキュリティ・ポリシの作成
0.789
14 位
VPN
0.606
VPN
0.789
(2) 研修対象スキルニーズと、企業の情報セキュリティ実施状況
IT スキルに関するニーズと IT 企業の自社および他社へのサービス実施状況の関係を
考察する。そのために、
「熊本県の地域ニーズに基づく研修対象スキル項目」を、前述
の IT 企業アンケートの「外部向け情報セキュリティサービスの実施状況」
(図 410 参
照)の回答結果に対して以下のように適用した。
表 45
熊本県の地域にニーズに基づく研修対象スキル項目と
IT サービスの実施状況の対応関係
熊本県の地域ニーズに基づ
情報セキュリティ対策
IT サービスの実施状況
く研修対象スキル項目
への取り組み
(現在提供しているサービス)
ファイアウォール
ファイアウォールの設置
ファイアウォール
暗号鍵・認証
認証技術導入による利用者確認
メール・WEBフィルタリング
不正アクセス探知
不正侵入検地システムの導入
不正侵入検知ツール(IDS)
VPN
データやネットワークの暗号化
VPN 機器
ウィルス対策メソドロジ
回線監視
アンチウィルス・ソフト
情報セキュリティの監査制
プライバシーマーク の取得、
セキュリティ監査、プライバシ
度/基準
ISMS の認証
ーマークコンサルタント、ISMS コン
サルタントの平均値
セキュリティ・ポリシの作
情報セキュリティ・ポリシの策
成
定
57
セキュリティ監査
上記の対応関係を用いた、IT スキルニーズ(IT 企業)と IT 企業の自社および他社
へのサービス実施状況の関連は、図 434 のグラフで示される。
「セキュリティ・ポリシの作成」
「情報セキュリティの監査制度/基準」など研修対
象スキルニーズが最も高いスキルは、現在他社へのサービス提供実施率が最も低かっ
た。したがって、今後企業側が他社へ最も提供したいサービスの一つであると考えて
いるであろうことが考えられよう。また、
「暗号鍵・認証」「不正アクセス探知」のス
キルも、自社対策および他社へのサービス提供いずれも高くないが、スキルニーズは
比較的高かった。上記のスキルも次いでもとめられているスキルであるということが
考えられる。
一方で、
「ファイアウォール」
「VPN」に関するスキルは、自社対策実施率・他社への
サービス提供率とも高いが、スキルニーズは高くなかった。これらのスキルは、あま
り地場でのニーズは高くなかった。すなわち、既に当該スキルをある程度保有してい
るものと考えられる。
「ウィルス対策メソドロジ」については、サービス実施率、スキルニーズとも高く、
すでに IT 企業において一定のサービスを実施がされている中でさらにそれを強化した
いと考えられている項目といえる。
自社での対策実施率
他社へのサービス
提供実施率
96.2%
1.085
0.786
34.6%
26.9%30.8%
0.957
23.1%
46.2%
42.3% 46.2%
研修対象スキルニーズ
0.972
42.3%
1.164
1.088
38.5%
20.5%
11.5%
11.5%
セ キ ュリ テ ィ ・
ポ リ シ の作 成
情 報 セ キ ュリ テ ィ の
監査制度/基準
ウ ィル ス 対 策
メ ソド ロジ
V
P
N
(ポイント)
2.0
1.8
0.606
19.2%
不 正 ア ク セ ス探 知
暗 号 鍵 ・認 証
フ ァイ ア ウ ォー ル
情
100.0%
報 90.0%
セ 80.0%
キ 70.0%
ュ 60.0%
リ 50.0%
テ 40.0%
ィ 30.0%
対 20.0%
策 10.0%
0.0%
実
施
率
図 434 IT 企業の対象スキルニーズと情報セキュリティ対策状況(自社、他社)
58
1.6研
1.4修
1.2対
1.0
象
0.8
ス
0.6
キ
0.4
0.2ル
0.0ニ
|
ズ
また、ユーザ企業(情報セキュリティサービスを受ける側)の現在受けているサー
ビスと、研修対象スキルニーズは以下のような結果が得られた。スキルニーズが高か
った「情報セキュリティの監査制度/基準」
「不正アクセス探知」に関しては、まだ 1
割未満の企業しかサービスを利用しておらず、今後このようなスキルを自社内でまた
は他社のサービスを利用しながら蓄積していきたいと考えている企業が多いと推測さ
れる。
「ウィルス対策メソドロジ」は、既に他社からのサービスを 4 割強が受けている
が、今後も拡大ニーズが高かった。その一方で、
「セキュリティ・ポリシの作成」
「VPN」
など個別的なスキルは利用率が低いにかかわず、スキルニーズは高くなかった。ここ
でも情報セキュリティに関するリテラシーの低さがこのような結果を導くことになっ
たと考えられる。
他社のサービス利用率
(ポイント)
100.0%
90.0%
2.0
1.8研
80.0%
70.0%
60.0%
50.0%
40.0%
30.0%
20.0%
1.6修
1.4
対
1.2
象
1.0
ス
0.8
0.6キ
0.4ル
40.9%
1.000
36.4%
1.100
1.053
0.789
0.789
ウ ィル ス 対 策
メ ソド ロジ
不 正 ア ク セ ス探 知
1.5%
4.5%
セ キ ュリ テ ィ ・
ポ リ シ の作 成
9.1%
V
P
N
1.104
40.9%
情 報 セ キ ュリ テ ィ の
監査制度/基準
9.1%
暗 号 鍵 ・認 証
10.0%
0.0%
1.000
フ ァイ ア ウ ォー ル
情
報
セ
キ
ュ
リ
テ
ィ
利
用
率
研修対象スキルニーズ
0.2ニ
0.0|
ズ
図 435 ユーザ企業の対象スキルニーズとサービス利用状況
(3) 考察
熊本県地域における IT 産業は、従業員 50 人以下の中小企業、あるいは全国区有名
企業の支店が多い。またソフトウェア及び IT サービス業が中心である。
情報セキュリティに関しては、ファイアウォールやアンチウィルス・ソフト、VPN、
メール・WEB フィルタリングなどのソフト、サービスを提供しており、基礎的なソフト
ウェア、サービスは提供できるスキルレベルにあると考えられる。
しかしながら、自社内で情報セキュリティ専門の人材を抱えているのは半数に満た
ず、また社内で情報セキュリティに関する教育を体系づけて行っている企業は、3 割に
も満たない状況である。
59
したがって、社内・社外を問わず、情報セキュリティに特化した人材育成の機会を
提供することが有用と考えられる。
地域的な特徴としては、外部に今後提供していきたい情報セキュリティサービスは、
システムの設計・開発のみならず、セキュリティ監査や ISMS 認定やプライバシーマー
クなどの情報セキュリティ管理面での意識が高い。もちろん、セキュリティシステム
構築全般(設計・開発・テスト等)にかかわるスキルは重要視されているが、熊本県
警察からの教育機関への啓蒙活動、
また民間の企業 40 社が集まって構成されている
「熊
本県情報セキュリティ推進協議会」においても、情報セキュリティ管理面への高い関
心が同様にみられた。
これは IT 産業に限った話ではなく、ユーザ企業においても、特に個人情報を扱う金
融業、放送業、教育業等を中心として、情報セキュリティ管理は当然意識しなければ
ならない問題となっている。さらに個人情報保護法が施行されること、及び情報セキ
ュリティに関する様々な資格認定(国家資格、民間資格)が出現した時代の趨勢を考
えると、その傾向はますます強まることであろう。
このような地域性を顧みた際に、情報セキュリティのスキルの必要性を、漠然と感
じているレベルから、実際にスキルの育成可能にするレベルまで上げるためのプラッ
トフォームを整備する必要がある。特に、セキュリティ監査・管理の分野は、IT 産業
のみならず、ユーザ企業にとっても人材育成ニーズは高いと考えられる。
こうした取り組みを進めるためには、まずは IT 産業が、セキュリティ監査・管理サ
ービスを提供できる段階まで、スキルを向上させる必要がある。具体的に IT スキル標
準に照らして熊本県地域の IT 産業の平均的な職種およびレベルを考えると、
「IT スペ
シャリスト(セキュリティ)
」のレベル 1∼2 レベルに該当すると仮定できる。その理
由は、以下の通りである。
・ IT 企業向けのアンケート結果において、自社内で育成したい情報セキュリティ人
材として、
「IT スペシャリスト(レベル 3∼4)
」が最も多く挙げられたため、現在
のスキルレベルは、
「IT スペシャリスト(レベル 1∼2)
」に相当すると推測できる。
・ また、実際に受講したい研修ニーズとして、
「IT スペシャリスト(セキュリティ)
」
が最も多く挙げられたため、研修の必要性が高いということは、いまだ身に付い
ていないスキルである可能性が高く、また現時点のスキルレベルが高いものでは
ないと推測できる。
したがって、
「IT スペシャリスト(セキュリティ分野)
」を育成するための研修の策
定・実行が不可欠である。また、IT スペシャリスト職は、IT スキル標準において定義
された研修ロードマップでは、セキュリティのある分野だけに特化したものではなく、
60
セキュリティ分野を全体的に網羅したものであるので、その他研修ニーズが高かった
「不正アクセス防止対策」
「ネットワーク・セキュリティ(Windows)
」などのスキルを
も習得することが可能である。
つまり、汎用的な IT スペシャリスト育成プログラム、さらに地場でのセキュリティ
監査・管理へのニーズを踏まえた、熊本県独自の情報セキュリティ研修を継続的に行
うことが、熊本県の実情に相応しい施策と考えることができよう。
61
5.
5.1
人材育成基盤構想の構築
人材育成基盤の目的と目標
本事業における人材育成基盤は、熊本県地域において、職種を横断した IT インフラ
の要といわれる情報セキュリティ技術の向上を図ることを目的とし、
「熊本県情報セキ
ュリティ推進協議会」が熊本県警察本部と連携して、ユーザ企業における情報セキュ
リティを推進する人材および IT 企業における情報セキュリティサービスを提供するた
めの人材を育成するプラットフォームを整備することを目標とする。
その具体的な目標は、地域で情報セキュリティサービスを提供する IT 企業における
高度な情報セキュリティ人材を育成するためのニーズと、個人情報を扱う企業を中心
としたユーザ企業で自社の情報セキュリティを推進する人材を育成するためのニーズ
を把握するとともに、その地域性を的確に反映した地域版の研修ロードマップを作成
し、教育研修を発展的に継続することにより、地域の情報セキュリティレベルの底上
げを図ることにある。
5.2
対象とする地域と人材
対象とする地域については、地域ニーズを踏まえた IT プロフェッショナル人材育成
基盤構築のあり方を検討する本事業の趣旨に鑑み、熊本県警察本部と連携して熊本県
地域での情報セキュリティを推進する活動を行っている熊本県情報セキュリティ推進
協議会を母体として事業を計画・実施することを想定している。こうしたことから、
熊本県地域を本事業の対象地域とする。
対象とする人材については、地域の企業等に情報セキュリティサービスを提供する
IT 企業において高度な情報セキュリティスキルを持った人材を対象とする。ただし、
情報セキュリティサービスは、提供側の企業・担当者と利用側の企業・担当者とが、
情報セキュリティに関して技術面を含めて一定のコミュニケーションをしながら導
入・活用が進んでいくという性質を有することから、サービスを利用するユーザ企業
側の意識及びスキルが一定水準に達していることが必要となる。言い換えれば、ユー
ザ企業側で情報セキュリティに関する意識が向上し、外部の IT 企業から提供される情
報セキュリティサービスを利用しようとする気運が高まるとともに、ユーザ企業内で
自社の情報セキュリティを推進する人材が育成され、IT 企業から提供される情報セキ
ュリティサービスを適切に活用できる素地が整うことによってはじめて、情報セキュ
リティサービスに対する需要が生まれるといえる。こうした需要の顕在化と相まって、
IT 企業側での情報セキュリティ人材育成ニーズが向上すると考えられる。このような
情報セキュリティ分野の特性を考慮して、本事業においては、IT 企業における高度な
情報セキュリティ技術を持った人材に加えて、ユーザ企業側の人材、具体的には個人
情報を扱う企業の中で自社の情報セキュリティを推進する人材についても対象にする
こととする。
62
人材育成基盤の内容
5.3
5.3.1
人材育成基盤の機能
人材育成基盤とは、地域における IT 産業構造の実態や地域ニーズ等を踏まえ、地域
企業におけるスキルニーズに対応した教育訓練を地域で継続的に供給する社会システ
ムを指す。こうしたシステムを実現するためには、誰が(主体)
、どのように実施する
のか(教育訓練の供給の仕組み)
、を明確にし、整備することが必要である。
そこで、本事業では、人材育成基盤を、地域における情報セキュリティを推進する
ための「主体」と「教育訓練の供給の仕組み」の二つの要素で構成するものとして捉
える。
(1) 人材育成基盤の「主体」
「主体」については、地域における情報セキュリティ推進にかかる主体が連携し、
熊本県地域における地域ニーズの検討・分析に基づく研修プログラムの作成・実施及
び評価・改善を担う体制を整備する必要がある。
具体的には、熊本県地域には、コンピュータ・ネットワークの秩序の確立をはかる
ことを目的とし、情報セキュリティ対策に関する活動等を行う産学官共同組織として、
平成9年度に発足して以来活動を推進している「熊本県情報セキュリティ推進協議会」
が存在しており、当協議会をベースに体制を整備することとする。
実際の教育訓練を供給する機関としては、熊本県地域においてすでに IT 人材育成を
実践している機関を核とする必要がある。当協議会の事務局であり、経済産業省及び
厚生労働省、熊本県から出資を受けた第三セクターで、IT 人材育成機関である熊本ソ
フトウェア株式会社が中核機関を担うこととする。
地域の産業構造の実態や地域ニーズを分析・把握する上では、地域企業の参加が必
要である。特に、熊本県地域の情報セキュリティを先導する IT 企業において、情報セ
キュリティ部門を担当しているキーパーソンの参加が求められる。当協議会は、40 社
の県内企業が参加しており、さらに当協議会の下部組織として「熊本県インターネッ
トプロバイダ連絡部会」に 21 社の会員企業がある。これらの会員企業を母体として地
域ニーズの把握等に活用することとする。
また、情報セキュリティの分野は、技術動向や犯罪動向の変化が速い分野であるこ
とから、最新の動向に迅速に対応する体制を整備する必要がある。特に、熊本県地域
における情報セキュリティ犯罪の対策にあたっており、最先端の事例情報・技術情報
を有する熊本県警察から、事業全般にわたるアドバイスを受けることとする。
さらに、IT 産業の振興や IT 人材の育成という地域政策的な側面から、国や県、教育
機関との連携も求められるところであり、当協議会を通じて、九州経済産業局及び九
州総合通信局、熊本県及び大学との連携関係を構築することとする。
63
主体分類
人材育成機関
(中核機関)
位置づけ・役割
主体名
教育訓練を供給
熊本ソフトウェア株式会社
地域企業
地域の産業構造の実態や地
域ニーズの分析・把握
協議会会員企業
警察
最新の技術動向・犯罪動向
への対応
熊本県警察本部ハイテク犯罪
対策室
国・自治体・
教育機関
地域におけるIT産業の振興
やIT人材の育成との連携
九州経済産業局、九州総合
通信局、熊本県、県内の大学
「熊本県情報セキュリティ推進協議会」
をベースに組織化
図 51 人材育成基盤における「主体」
(2) 人材育成基盤の「教育訓練の供給の仕組み」
「教育訓練の供給の仕組み」については、地域ニーズを的確に踏まえた研修プログ
ラムを作成・提供するとともに、そういった研修プログラムの作成→提供のサイクル
が継続的に推進される仕組みを構築する必要がある。
具体的には、標準的な研修ロードマップとしては、IT スキル標準の研修ロードマッ
プがあり、これをベースとすることが必要である。ただし、IT スキル標準はあくまで
も標準型である。標準型をそのまま地域に導入するのではなく、地域でこれをより有
効に活用し、成果をあげられるよう、地域ニーズに適合した形にアレンジすることが
重要である。
そこで、地域企業へのアンケート調査を中心としたニーズ調査を実施し、その分析
結果を踏まえて、IT スキル標準の研修ロードマップをアレンジし、熊本県のニーズに
基づいた研修ロードマップを作成することとする。それに基づいてカリキュラム及び
研修プログラムを作成し、研修を実施する。
また、人材育成基盤を継続的・発展的に運用するためには、上記のような過程で作
成・実施した研修の内容・成果を事後検証し、その結果を翌年度の取り組みに反映さ
せることで、継続的に改善・ブラッシュアップを行う PDCA(Plan−Do−Check−Action)
サイクルを構築することが重要である。
なお、こうした PDCA サイクルを回すことにより、進展の速い情報セキュリティ分野
における技術動向・犯罪動向等にも迅速に対応することが可能になると考えられる。
また、熊本県においては、学校などの教育機関やユーザ企業における情報セキュリ
ティ意識を高める必要があることから、進展する情報セキュリティに対応して必要と
思われる内容を講演会・シンポジュウム等により啓蒙する活動も併せて実施する。
64
5.3.1 人材育成基盤の機能
①ITスキル標準研修ロードマップ
③熊本県のニーズに基づく研修ロードマップ
5.3.2 人材育成基盤で採用する
教育訓練の内容
①カリキュラム
次年度の取り組みに反映
②ニーズ調査
②研修プログラム
③研修の実施・結果の評価
図 52 人材育成基盤における「教育訓練の供給の仕組み」
以上、人材育成基盤の機能をまとめると、以下の図のように表すことができる。
教育訓練の
供給の仕組み
主 体
• 地域の関係主体
が連携。
• 地域ニーズの検討、
研修の実施、実施
結果の検証を行う。
地域における情報
セキュリティの推進
• ITスキル標準を
ベースに、地域
ニーズを踏まえて
アレンジし、研修を
実施。
• 実施結果を検証し、
その結果を翌年度
の取り組みに反映
させるPDCAサイ
クルを構築。
人材育成基盤
の整備とは
「ITスキル標準を活用した人材育成の推進にかかる
地域版PDCAサイクルの構築」(セキュリティ分野)
図 53 人材育成基盤の概略(まとめ)
65
図 54 人材育成基盤のフレーム
①IT スキル標準研修ロードマップ
教育訓練の内容を検討するに当たり、まず、IT スキル標準をベースとして、情報セ
キュリティ人材育成に係るキャリアパスを作成する。
IT スキル標準では、情報セキュリティ分野において、
「IT スペシャリスト(レベル 1
∼6)
」及び「IT アーキテクト(レベル 3∼7)
」のスキル項目が設定されている。これ
をもとに、エントリレベル(レベル 1∼2)への準備段階としての基礎レベルとして「レ
ベル 0」を設定する。また、情報処理技術者試験や各種ベンダー試験との対応関係を明
らかにしたキャリアパスが次ページの図である。
66
基礎
レベル
レベル6
レベル5
レベル6
レベル7
レベル5
レベル4
ベンダー試験
レベル4
情報処理
技術者試験
ハイレベル
レベル3
IT
アーキテクト
ミドルレベル
レベル3
レベル2
レベル1
レベル0
IT
スペシャリスト
エントリレベル
基本情報
技術者試験
CompTIA
Security+、
マスター
CIW
CIWアドミニ
セキュリティ ストレータ、
プロフェッ
CCSP
ショナル、
SCSecA
図 55 IT スキル標準(セキュリティ)におけるキャリアパスと各種資格試験との対応関係
また、熊本県のニーズに基づく研修ロードマップを作成するに当たり、ベースとし
て活用する IT スキル標準における研修ロードマップ(IT スペシャリスト及び IT アー
キテクト)は、次のページ以降の図のとおりである。
ただし、
「4.地域 IT 産業における人材ニーズ調査・分析」でみたように、現状での
本地域の IT 企業における人材ニーズは「IT スペシャリスト」のレベル 3∼4 までが大
勢と考えられるため、当面は IT スキル標準における「IT スペシャリスト」の研修ロー
ドマップを活用する。
将来的に、地域の IT 企業の人材におけるスキルレベルが向上し、
「IT アーキテクト」
についても一定の人材ニーズが生じた場合には、IT スキル標準における「IT アーキテ
クト」の研修ロードマップも活用することとする。
ここでは、こうした将来的な拡充・展開の可能性も踏まえて、IT スキル標準におけ
る「IT スペシャリスト」及び「IT アーキテクト」の研修ロードマップを掲載する。
67
図 56 IT スキル標準における IT スペシャリスト(セキュリティ)の研修ロードマップ
(研修コース群体系図)
68
図 57 IT スキル標準における IT スペシャリスト(セキュリティ)の研修ロードマップ
(研修コース一覧)
69
図 58 IT スキル標準における IT アーキテクト(セキュリティ)の研修ロードマップ
(研修コース群体系図)
70
図 59 IT スキル標準における IT アーキテクト(セキュリティ)の研修ロードマップ
(研修コース一覧)
②ニーズ調査
ニーズ調査については、
「4.地域 IT 産業における人材ニーズ調査・分析」で詳述
したとおり、主にアンケート調査の結果からニーズマップを作成し、ヒアリング調査
内容を踏まえて、人材育成ニーズを具体的な研修ロードマップに落とし込む。
委員会
有識者
アンケート調査
調査票
の設計
IT企業
ユーザ企業
ヒアリング調査
県警
ニーズ・マップの作成
研修ニーズへの落とし込み
図 510 ニーズ調査の結果の反映
71
県
大学
(i) アンケート調査結果の概要
熊本県内の IT 企業及びユーザ企業に対して行ったアンケート調査結果に基づく
地域の現状及び地域ニーズは、次のように整理できる。
IT企業
– 情報セキュリティに関する資格を持つ技術者を保有する企業はほとんどない。
– ただし、今後自社内で情報セキュリティ専門の人材を保有する方向で対応を検討している企業は多
い。
– 具体的には、ITスペシャリスト(レベル1∼2、3∼4)、システム監査技術者等の育成ニーズが高い。
また、「CCSA/CCSE認定者」「CIWセキュリティ・プロフェッショナル」のベンダー試験についても、育
成ニーズがみられる。
– 自社内の情報セキュリティ対策については、「ファイアウォールの設置」はほぼすべての企業で実施
済み。「セキュリティ監査」「不正侵入検知システムの導入」「情報セキュリティポリシの策定」等は、
今後の導入意向が高い。
– 提供している情報セキュリティサービスとしては、「アンチウィルスソフト」「VPN機器」等が多い。今後
の実施意向としては、「セキュリティ監査」「ISMSコンサルタント」等をあげる企業が多い。
ユーザ企業
– 情報セキュリティに関する用語の認知度は高く、意識は高い。
– 自社内に専門の組織・専従の担当者を置く企業もみられる。自社でセキュリティ人材を育成・確保し
たいとの意向は高い。個人情報保護法施行に向けた全社員教育の推進、全社的な情報セキュリ
ティ統括責任者の育成・確保に対するニーズがある。
– 自社内の情報セキュリティ対策については、「ウィルスチェックプログラム」はほとんどの企業で実施
済み。「プライバシーマーク」「ISMS」については、現状では導入済の企業はないが、半数以上の企
業が今後の意向を有している。
ニーズマップ
– IT企業、ユーザ企業とも、「セキュリティ監査・管理」に関するスキル・ニーズが最も高く現れている。
図 511 アンケート調査結果に基づく地域の現状及び地域ニーズ
(ii) 委員会及びヒアリング調査結果の概要
委員会及び熊本県警察、熊本県及び大学(熊本保健科学大学林助教授)へのヒ
アリング調査結果に基づく地域の現状及び地域ニーズは、次のように整理できる。
IT企業に高度な情報セキュリティ人材が育っていない。<供給面の課題>
- 現時点で、高度な情報セキュリティ人材の育成ニーズは高くはない。
- 高度なITスキルに挑戦できる人材育成、ITスキル標準のエントリレベル(レベル
1)にチャンレンジにする前段階の人材育成のニーズが高い。
- 設計・開発等に関するスキルのみならず、セキュリティ監査・セキュリティシステム
運用に対する意識が高まっている。
サービスを受けるユーザ企業側の意識・体制が整っていない。<需要面の課題>
- ユーザ企業側の情報セキュリティに対する意識が高まっておらず、また、外部の
情報セキュリティサービスを活用するだけのスキル・ノウハウも蓄積されていない。
- 個人情報保護法の施行を控え、プライバシー保護を中心に、情報セキュリティ対
策に対する意識は高まりつつある。
情報セキュリティサービスの受け手であるユーザ企業側のニーズが高まらないため、開
発・提供側のIT企業にIT人材育成の気運が高まらないという状況がある。
一方、情報セキュリティ分野では、個人情報保護法の施行等を契機として、監査・管理に
対する意識が高まりつつあるが、ITスキル標準はこれに十分に対応していない面がある。
監査・管理は、ユーザ企業・IT企業共通で人材育成ニーズが発生している分野である。こ
れを「共通言語」としてユーザ企業・IT企業の相互交流を促進することにより、地域全体の
情報セキュリティ対策の推進、ひいてはIT人材育成の推進につながると考えられる。
図 512 委員会及びヒアリング調査結果に基づく地域の現状及び地域ニーズ
72
5.3.2
人材育成基盤で採用する教育訓練の内容
(1) 基本的な考え方
ニーズ調査(アンケート調査・ヒアリング調査)の分析結果から、熊本県地域の現
状としては、IT 企業について、情報セキュリティ資格を有する高度な IT 人材を保有し
ている企業はほとんどないが、今後自社内に情報セキュリティ専門人材を育成・確保
したい意向があることが確認された。具体的なスキルニーズとしては、IT スキル標準
におけるエントリ・レベル以上のニーズを有しているケースは少なく、エントリ・レ
ベルの準備段階(基礎段階)の人材育成ニーズが高い状況にあるといえる。ただし、
「IT
スペシャリスト」や、
「CCSA/CCSE 認定者」及び「CIW セキュリティ・プロフェッショ
ナル」といったベンダー試験に関心を持つ企業も一部にみられた。
一方、ユーザ企業については、個人情報保護法の本格施行を控えていること等とも
相まって、情報セキュリティ対策に対する認知度・意識が高まりつつある状況にある。
今後自社内に情報セキュリティ人材を育成・確保したい意向もみられた。具体的なス
キルニーズとしては、プライバシーマーク制度や ISMS に対する意識が高く、それらの
認定制度を中心に、社内の情報セキュリティ対策の推進者・旗振り役における人材育
成ニーズが高い状況にある。
なお、IT 企業・ユーザ企業共通して、
「セキュリティ監査・管理」に最も高いニーズ
がみられているところであり、こうした地域のニーズに対応するためには、セキュリ
ティ監査・管理における研修プログラムを充実化することが重要であるといえる。ま
た、IT 企業及びユーザ企業がともにセキュリティ監査・管理に取り組むことを契機と
して、地域内の情報セキュリティレベルを底上げし、それを通じて地域における情報
セキュリティサービスの需要拡大を図ることで、さらなる人材育成のモチベーション
につなげていくことが重要と考えられる。
以上を踏まえ、本事業における熊本県のニーズに基づく研修ロードマップを作成す
る上では、まず、IT 企業の中で情報セキュリティに関する取り組みが先行しており、
エントリ・レベルの高度 IT 人材を保有する企業向けに、IT スキル標準に則してさらな
るスキルアップにつなげるエントリ・レベルのセキュリティ・プロフェッショナルコ
ースを実施することが有効と考えられる。
一方、エントリ・レベルの高度 IT 人材を現時点で保有していない IT 企業に対して
は、その準備段階としての基礎レベルの研修を実施することにより、エントリ・レベ
ルの IT 人材を育成することにつなげることが有効と考えられる。その際には、特に関
心の高いセキュリティ監査・管理に関連するものとして、個人情報保護のための管理
者養成コースなどを実施することが考えられる。
また、情報セキュリティという分野は犯罪に関連する可能性がある危険な側面を有
しているため、熊本県警察をはじめとして、県レベルでの人材育成支援も必要となる。
こういった IT 産業とユーザ企業の交流、および熊本県から民間企業への支援などの官
民交流、さらにその交流ネットワークを拡大していくような講演会やシンポジュウム
73
などを開催し、情報セキュリティを中心とした IT 人材育成の基盤形成へとつなげてい
くことも必要であろう。
ユーザ企業におけるセキュリティ監査の取り組みが進展し、情報セキュリティに関
するスキルレベルが向上することにより、外部で高度な情報セキュリティサービスを
提供する IT 企業との間で、情報セキュリティ推進のための検討・やり取り等のコミュ
ニケーションを進展させることが可能になると考えられる。それによって、IT 企業と
ユーザ企業が一体となって情報セキュリティ対策が推進され、熊本県地域全体の情報
セキュリティレベルが高まるとともに、IT 企業からの情報セキュリティサービスの提
供とユーザ企業による利用が促進され、情報セキュリティ人材の一層の育成・スキル
アップにつながる将来像を描くことができる。
現 状
ユーザ企業
• 情報セキュリティ
対策に対する認知
度・意識高まってい
る。
•今後は自社内に情
報セキュリティ人材
を育成・確保したい
意向あり
• ITスペシャリスト
ベンダー試験に
関心あり
• エントリ・レベル
の準備段階に
育成ニーズあり
• プライバシー
マーク制度、
ISMSに対する
意識が高い
• 社内の情報
セキュリティ
対策推進者の
育成ニーズあり
セキュリティ監査・管理に共通の高いニーズあり
IT企業
• 高度IT人材を保有
している企業少ない。
• 今後は自社内に情
報セキュリティ専門
人材を育成・確保し
たい意向あり。
スキル・ニーズ
研 修
目 標
エントリ・レベルの研修
(セキュリティ・プロ
フェッショナル講座)
• ITスキル標準に則
したスキル・アップ
(レベル2、3、、、へ
ステップ・アップ)
• エントリ・レベルの
IT人材の育成
基礎レベルの研修
(個人情報保護のため
の管理者養成コース)
• 社内での情報セ
キュリティ推進者の
育成
(情報セキュリティ
サービスの需要の
開拓・拡大)
図 513 熊本県の地域ニーズに基づいた研修ロードマップ作成に当たっての
基本的な考え方
(2) 熊本県の地域ニーズに基づくキャリアパスの設定
熊本県の地域ニーズに基づいた研修ロードマップのキャリアパスとしては、上記の
ような地域ニーズを反映させ、IT 企業については基礎レベル∼エントリレベル(レベ
ル 0∼2)
、ユーザ企業についてはニーズの高い基礎レベル(レベル 0)に重点を置いた
ものを設定する。
74
基礎
レベル
ミドルレベル
レベル5
レベル6
レベル4
レベル5
レベル6
レベル7
レベル4
ユーザ企業の
ニーズが高い
レベル3
IT
アーキテクト
ハイレベル
レベル3
レベル2
レベル1
レベル0
IT
スペシャリスト
エントリレベル
IT企業の
ニーズが高い
図 514 熊本県の地域ニーズに基づいたキャリアパス
(3) 熊本県の地域ニーズに基づく研修ロードマップの作成
以上を踏まえ、熊本県のニーズに基づいた研修ロードマップを作成する。
地域企業の現状及び人材育成ニーズは、基礎レベルからエントリ・レベルにおいて
高い状況にあることから、ミドル・レベル以上で構成される「IT アーキテクト」は除
外し、
「IT スペシャリスト」における IT スキル標準の研修ロードマップをベースに考
えることとする。
熊本県地域におけるニーズ調査では、セキュリティ監査・管理に高いニーズがある
ことが確認され、分析軸として「セキュリティ監査・管理」の項目を追加して分析を
行った。そこで、熊本県のニーズに基づく研修ロードマップにおいても、
「IT スペシャ
リスト」における IT スキル標準の研修ロードマップの分類項目に「セキュリティ監査・
管理」を追加する。
その上で、ニーズマップにおいて、上位に位置づけられたスキルニーズの項目に対
応して、IT 企業及びユーザ企業それぞれについて、ニーズの高い研修コース群及び研
修コースをマーキングし、熊本県のニーズに基づく研修ロードマップを作成した。
75
図 515 熊本県のニーズに基づく研修ロードマップ(研修コース群体系図)
76
図 516 熊本県のニーズに基づく研修ロードマップ(研修コース一覧)
77
(4) カリキュラムの作成
前節、「図 516 熊本県のニーズに基づく研修ロードマップ(研修コース一覧)
」に
おいて、IT 企業及びユーザ企業のニーズが特に高かった範囲(網掛け部分)の「セキュ
リティ」に関するコースカリキュラムを作成した。
「①IT 基本1:IT 入門」∼「⑦システム運用/保守: セキュリティの運用/保守」
のカリキュラムは、IT スキル標準における研修ロードマップのカリキュラムに、実際
の「研修講座名」
「研修内容」を追加して作成したものである。そして、「⑧セキュリ
ティ監査基礎:セキュリティの監査」及び「⑨セキュリティシステム運用基礎:セキ
ュリティシステムの運用基礎」のカリキュラムについては、
「図 516 熊本県のニーズ
に基づく研修ロードマップ(研修コース一覧)
」の追加部分に相当し、ニーズ調査結果
に基づいてカリキュラムを作成した。本事業における研修カリキュラムを以下に示す。
①IT 基本 1: IT 入門
講座分類
■入門講座 □基礎講座 □上級講座 □特別講座
■IT スペシャリスト共通 □プラットフォーム □システム管理
対象専門分野
□データベース □ネットワーク □分散コンピューティング
□セキュリティ
当コースは、
「IT 基本1」コース群の一つとして、IT スキル標準で示す各職種へ就職する
前提として必要となる基本的かつ普遍的な知識の修得を目的とする。
○ 当コースでは、テクノロジ、メソドロジ、プロジェクトマネジメント、
コース概要
ビジネス、インダストリにわたる広範な領域における基本的かつ普遍的な知識について
学習する。
○ 当コースは、下記の「関連する知識」に示すテーマ単位に分割して提供することを推
奨する。
受講前提
受講対象者
研修方法
期間
なし
IT スキル標準で示す各職種への就職を目指す者(当面の間、本コースで示す内容を十分
に学習しないまま就職したエントリレベル(レベル1)の者を含む)
eラーニング
標準時間 60時間 (eラーニング 1日6時間×10日)
)
研修終了後のスキル IT(情報技術)の基本的な知識を活用し、上位者の指導の下、技術チームメンバとして、開
習得目標
発、運用、保守などのプロジェクトに参加することができる。
78
対象スキル
関連する知識
・コンピュータ科学基礎
情報の基礎理論,データ構造とアルゴリズム
・コンピュータシステム
テクノロジ
ハードウェア,基本ソフトウェア,システムの構成と方式,システム応用
・システムの開発環境
システム開発手法,言語,ツール,ソフトウェアパッケージの把握と活用 ネットワ
ーク技術の理解と活用 プロトコルと伝送制御
・標準化
開発と取引のプロセスの標準化,情報システム基盤の標準化,データの標準化,標準化
ソフトウェアエン
ジニアリング
組織の把握,活用
・監査
システム監査の基礎,システム監査の計画,システム監査の実施と報告 セキュリティ
とプライバシ セキュリティ対策(機密保護,改ざん防止対応,不正侵入,コンピュータ
ウィルス,インテグリティ対策,可用性対策,安全対策,ソーシャルエンジニアリング)
・情報化と経営
業務分析
情報戦略,企業会計,経営工学,エンジニアリングシステム分野とビジネスシステム分
野における情報システムの活用,関連法規の理解と遵守
研修講座名
研 修 内 容
・ネットワークの概要とネットワークアーキテクチャ
ネットワークの構成要素、マルチベンダーネットワーク、LAN、WAN など
コンピュータ
ネットワーク入門
プロトコルとネットワーク、OSI、TCP/IP など
・LAN・WAN
CSMA/CD 方式、トークンパッシング方式、公衆回線、回線交換、パケット交換など
・インターネット
インターネットの概要、アクセス方法、サービスプロバイダ、サービスなど
・セキュリティ上の脅威
セキュリティとは、不正アクセス、ウィルス、攻撃を受ける経路など
・セキュリティ対策の必要性
セキュリティポリシー、技術的対策、標準規格、情報提供サイトなど
セキュリティ入門
・情報の取扱上の留意点
種類と利用形態、FD/CD などの取扱、パソコン情報/ネットワーク情報の取扱など
・パソコン利用上の留意点
ID/パスワードの保護、ファイル管理、ウィルス対策、メールの利用など
・インターネット利用上の留意点
インターネットの仕組み/危険性、通信の安全性、個人情報の取扱など
79
②IT 基本 2: IT エンジニアの基礎
講座分類
■入門講座 □基礎講座 □上級講座 □特別講座
■IT スペシャリスト共通 □プラットフォーム □システム管理
対象専門分野
□データベース □ネットワーク □分散コンピューティング
□セキュリティ
当コースは、
「IT 基本2」コース群の一つとして、情報システムに関して基本的、普遍
的に必要とされる技術的知識の修得を目的とする。
コース概要
○当コースでは、テクノロジ、メソドロジの領域に関して、コンピュータシス
テムの基本となる事項から、プラットフォーム、ネットワーク、データベースなどの
テクノロジ、および外部設計、内部設計、プログラム設計、オブジェクト指向開発な
どのソフトウェアエンジニアリングについて学習する。
受講前提
受講対象者
研修方法
期間
「IT 基本1」コース群を修了していること、または同等の知識を有していること
IT スキル標準で示す各職種(セールスを除く)への就職を目指す者、本コースで示す内
容を十分に学習しないまま就職したエントリレベル(レベル1)の者
eラーニング (受講者のスキルレベルに応じて企業方針等を踏まえて、適宜、ワークシ
ョップを付加することを推奨する)
標準時間 36時間 (1日6時間 × 6日)
、
(付加したワークショップにかかる期間)
研修終了後のスキル 情報技術の基本的な知識を活用し、上位者の指導の下、技術チームメンバとして、開発、
習得目標
運用、保守などのプロジェクトに参加することができる。
対象スキル
関連する知識
・システムプラットフォーム技術
オペレーティングシステム技術の活用と実践(メインフレーム、分散機(オフコン)、
Unix、Windows、Linux など)
テクノロジ
・ネットワーク技術の理解と活用
プロトコルと伝送制御,符号化と伝送,ネットワーク関連法規,ネットワークセキュ
リティ,通信機器,インターネット,ネットワークソフト,回線に関する技術(ATM
(Asynchronous Transfer Mode),フレームリレーや LAN、WAN など),TCP/IP インター
ネット技術 インターネットの歴史
・セキュリティとプライバシ
セキュリティ対策(機密保護、改ざん防止対応、不正侵入、コンピュータウィルス、
ソフトウェアエンジ
ニアリング
インテグリティ対策、可用性対策、安全対策、ソーシャルエンジニアリリング)
、プ
ライバシ保護、リスク管理、ガイドラインと関連法規
・セキュリティシステムの実装、検査
セキュリティ製品、ツールの選定、導入、セキュリティ機能の開発、セキュリティ
技術の実装
80
対象スキル
関連する知識
・外部設計
外部設計の手順、システム機能設計、データモデルの設計、外部設計書の作成
・内部設計
機能設計、インタフェース設計、内部データ設計、サブコンポーネントの識別、役
割定義、サブコンポーネント間の関係定義、内部設計書の作成
・オブジェクト指向開発
オブジェクト指向の基本概念、UML、オブジェクト指向開発プロセス、分析、設
計、実装、主なオブジェクト指向技術
・セキュリティとプライバシ
セキュリティ対策(機密保護、改ざん防止対応、不正侵入、コンピュータウィルス、
ソフトウェアエンジ
ニアリング
インテグリティ対策、可用性対策、安全対策、ソーシャルエンジニアリリング)
、プ
ライバシ保護、リスク管理、ガイドラインと関連法規
・セキュリティシステムの実装、検査
セキュリティ製品、ツールの選定、導入、セキュリティ機能の開発、セキュリティ
技術の実装
・外部設計
外部設計の手順、システム機能設計、データモデルの設計、外部設計書の作成
・内部設計
機能設計、インタフェース設計、内部データ設計、サブコンポーネントの識別、役
割定義、サブコンポーネント間の関係定義、内部設計書の作成
・オブジェクト指向開発
オブジェクト指向の基本概念、UML、オブジェクト指向開発プロセス、分析、設計、
実装、主なオブジェクト指向技術
研修講座名
研 修 内 容
・システム開発の手順
要求提議、外部設計、内部設計、プログラム設計、プログラミング、テストなど
システム開発入門
・システムの運用と保守
システムの運用、システムの保守
・システムの構成と保守
システムの性能、システムの信頼性
・UNIX/Linux 概要
システムへのアクセス方法、vi エディタ、ファイル操作、ファイルとディレクト
UNIX/Linux 基礎
リ・操作コマンド、パス名、ファイルのアクセス権、シェルとシェルスクリプト
概要、リモート接続など
81
研修講座名
研 修 内 容
・Java 言語の概要
Java 言語の特徴、実行環境の構築、実行方法など
・Java 言語の基本
変数と式、配列、制御文、メソッド、キャスト(基本データ型)、クラスの利用など
オブジェクト指向開
発
・オブジェクト指向開発概要
基本的な考え方、ウォータフォール型開発、反復型インクメタル開発、メリット
・UML 概要
モデリングと UML、UML ダイアグラム、オブジェクト利用の仕方など
・Java によるオブジェクト利用
クラスの定義、インスタンスの生成と利用など
③システム開発基礎:セキュリティの基礎
講座分類
□入門講座 ■基礎講座 □上級講座 □特別講座
■IT スペシャリスト共通 □プラットフォーム □システム管理
対象専門分野
□データベース □ネットワーク □分散コンピューティング
□セキュリティ
当コースは、
「システム開発基礎」の基礎コース群の一つとして、セキュリティに関する
基礎知識の修得を目的とする。
○当コースでは、情報セキュリティの重要性、情報システムに対する脅威や脆
コース概要
弱性、その影響度など、情報セキュリティに対する基本的な考え方ととも
に、情報を危険にさらすリスクに対する基礎的な対処法について学習する。また、プ
ライバシの課題についても脅威、重要性、プライバシ侵害等の事件
を起こした場合の影響などを学習する。
受講前提
受講対象者
研修方法
期間
「IT 基本 1」
、
「IT 基本 2」コース群を修了していること、または同等の知識を有してい
ること
技術チームメンバとして、システム開発プロジェクトに参加した経験を持つ者(IT スペ
シャリストのレベル2を目指す者)
eラーニング
標準時間 18時間 (eラーニング 1日 6時間×3日間)
研修終了後のスキル セキュリティの基本的な知識を活用し、上位者の指導の下、技術チームメンバとして、
習得目標
セキュリティシステムの開発を実践することができる。
82
対象スキル
関連する知識
・モデリング技法の理解と活用
データモデリング技法の活用と実践、プロセスモデリング技法の活用と実践、パフ
デザイン
ォーマンスモデリング技法の活用と実践、プロトタイピング技法の活用と実践、ベ
ンチマーキング技法の活用と実践
・設計手法
オブジェクト指向設計、構造化設計、データ中心型設計
・リスクマネジメント計画策定
・リスク識別
資料分析、情報収集技術(ブレインストーミング、インタビュー、SWOT 分析)の活用
と実践、仮説分析、ダイアログ技術の活用と実践
・リスク対応計画
許容、回避、移転、軽減、受容
・リスク監視とリスクコントロール
リスクマネジメント
プロジェクトリスク対応監査、定期的なプロジェクトリスク検証、Earned Value
分析
・定性的リスク分析
リスク発生頻度と損害の大きさによる分析、リスク発生頻度と損害の大きさの評価、
マトリックスによる分析
・定量的リスク分析
情報収集技術(インタビュー)の活用と実践、重大性分析、デシジョンツリ分析、
シミュレーションの実施
・システム価値の検証
IT 価値の定義、IT 価値管理のフレームワーク構築
業務分析
・情報化と経営
情報戦略、企業会計、経営工学、
エンジニアリングシステム分野とビジネスシステム分野における情報システムの
活用、関連法規の理解と遵守
・セキュリティとプライバシ
セキュリティ対策(機密保護,改ざん防止対応,不正侵入、コンピュータウィルス、
インテグリティ対策、可用性対策,安全対策、ソーシャルエンジニアリング)、
ソフトウェアエンジ
ニアリング
プライバシ保護、リスク管理、ガイドラインと関連法規
・セキュリティシステムの実装,検査
セキュリティ製品、ツールの選定,導入、セキュリティ機能の開発、
セキュリティ技術の実装、技術検証手法の活用と実践、プロトタイピング
83
研修講座名
インターネット
セキュリティ技術
研 修 内 容
・インターネットセキュリティの概要
セキュリティ対策、暗号技術、TCP/IP アプリケーションプロトコルの弱点、
セキュリティネットワーク構成のポイント、セキュリティガイドラインなど
・セキュリティマネジメント概要
BS7799、セキュリティポリシー策定手順、リスク分析、個人情報保護など
セキュリティ
マネジメント基礎
・ISMS 制度
関連法規、ISMS 認証基準、リスクアセスメント、ISMS 文書、ISMS 監査など
・ケーススタディ
不適合報告書、ロールプレイニング、模擬監査など
④要素技術: セキュリティの要素技術
講座分類
□入門講座 ■基礎講座 □上級講座 □特別講座
□IT スペシャリスト共通 □プラットフォーム □システム管理
対象専門分野
□データベース □ネットワーク □分散コンピューティング
■セキュリティ
当コースは、
「システム開発基礎」コース群の後続となる「要素技術」コース群の一つと
して、セキュリティ機能を実現する要素技術に関する知識の修得を
目的とする。
コース概要
○当コースでは、セキュリティに関する技術、考え方を理解し、技術動向、代
表的な製品などを学習する。
○当コースは、eラーニング形式による提供も可能であるが、講義形式によっ
て各製品の実演などを行うことが望ましい。
受講対象者
受講前提
研修方法
期間
研修終了後のスキル
習得目標
技術チームメンバとして、システム開発プロジェクトに参加した経験を持つ者(IT スペ
シャリスト(専門分野:セキュリティ)のレベル3を目指す者)
技術チームメンバとして、システム開発プロジェクトに参加した経験を持つ者(IT スペ
シャリスト(専門分野:セキュリティ)のレベル3を目指す者)
講義、またはeラーニング
標準日数 3日(クラスルーム)
、または標準時間 18時間 (eラーニング:1日 6時
間×3日間)
セキュリティの要素技術、製品に関する知識を活用し、上位者の指示の下、技術チーム
メンバとして、適用技術の選定と技術的問題解決を実践すること
ができる。
84
対象スキル
関連する知識
・セキュリティ技術動向
シングルサインオン技術動向の把握,PKI 技術動向の把握,セキュリティアドミニス
トレーション技術動向の把握,侵入防止技術動向の把握,暗号化技術の把握と活用,
セキュリティ機能構築
電子署名技術の把握と活用,ファイアウォール技術の把握と活用
・セキュリティシステムの実装,検査
セキュリティ製品,ツールの選定,導入,セキュリティ機能の開発,セキュリティ技術
の実装
・プライバシシステムの実装と検査
研修講座名
研 修 内 容
・セキュリティポリシ
セキュリティポリシの確認、システム・ネットワーク管理者からのヒアリング、
情報収集など
・アセスメントプラン構築
セキュリティアセス
メントと標準化
アセスメント作業、結果分析、アセスメント・レポートの作成及び報告など
・リスク管理
リスク管理の概要、リスク分析、リスク対策など
・セキュリティ対策
対策の必要性、機密保護等の対策、アタック対策、インテグリティ対策など
・情報システムと標準化
標準化の必要性、標準化組織、システム基盤の標準化、法令及びガイドラインなど
⑤システム設計: セキュリティの設計
講座分類
対象専門分野
□入門講座 ■基礎講座 □上級講座 □特別講座
□IT スペシャリスト共通 □プラットフォーム □システム管理 □データベース □ネ
ットワーク □分散コンピューティング ■セキュリティ
当コースは、
「システム開発基礎」コース群の後続となる「システム設計」コース群の一
つとして、情報システムにおけるセキュリティ対策の採用に関する
関する知識の修得を目的とする。
コース概要
○コース前半では、eラーニング形式によって、情報資産に対するセキュリテ
ィ対策とセキュリティ運用の考え方と、セキュリティ関連法規やセキュリティ対策を
理解し、セキュリティ技術と製品の機能に関する技術的な知識を学習する。
後半では、講義形式、ワークショップ形式で、情報資産のリスクを評価し、安全対策
を定め、セキュリティ技術を採択する方法を実践的に学習する。
85
受講対象者
技術チームメンバとして、システム開発プロジェクトに参加した経験を持つ者(IT スペ
シャリスト(専門分野:セキュリティ)のレベル3を目指す者)
受講前提
「システム開発基礎」を修了していること、または同等の知識を有していること。
研修方法
eラーニング、講義、ワークショップ
期間
研修終了後のスキル
習得目標
前半:標準時間 12時間 (eラーニング:1日 6時間×2日間)
、後半:標準日数 3
日(クラスルーム)
情報システムのセキュリティ対策に関する知識を活用し、上位者の指示の下、技術チー
ムメンバとして、情報システムのセキュリティの設計を実践するこ
とができる。
対象スキル
関連する知識
・セキュリティとプライバシ
セキュリティ対策(機密保護,改ざん防止対応,不正侵入,コンピュータウィルス,イ
セキュリティ機能構築
ンテグリティ対策,可用性対策,安全対策,ソーシャルエンジニアリング),プライバ
シ保護,リスク管理,ガイドラインと関連法規
・企業システムへの脅威
脅威の動機と種類の把握と活用 社会環境 関連法規の理解と遵守
研修講座名
研 修 内 容
・コンピュータシステムにおける脅威と対策
・Solaris 上のシステムセキュリティ設定
データ保護とユーザのアクセス制御、不正行為の検出とデバイス管理、リソース
セキュリティ・プロ
フェッショナルコー
ス(SCSecA)
の保護、ホストやネットワークの制御、システムアクセスや認証、暗号技術など
・セキュリティ概要
Solaris OE のセキュリティモジュール、ユーザアカウントの管理、パスワード、
ファイルシステムの攻撃と監査、ネットワークデータの攻撃と保護、
・セキュリティネットワークサービス
ネットワークサービスの認証、リモートアクセスの保護、システムの強化など
・ファイアウォール
ファイアウォールの構成と特徴、パケットフィルタリング、ゲートウェイなど
・VPN
ネットワーク
セキュリティ基礎
構成と特徴、暗号方式と暗号アルゴリズム、L2TP、IPSec、MPLS など
・セキュリティ監査ツール
監査ツールの構成と特徴、アーキテクチャ、設定手順、データベースの管理など
・無線 LAN のセキュリティ対策
無線 LAN の問題点、アーキテクチャ、デフォルト設定の問題点、ESSID、MAC の
アドレス制限、暗号化など
86
研修講座名
研 修 内 容
・セキュリティ計画
セキュリティ計画の作成、脅威の識別、セキュリティリスクの分析
セキュリティ設計
・セキュリティ設計
物理リソース/コンピュータ/アカウント/認証/データのセキュリティ設計、
データ転送のセキュリティ作成、ネットワークセキュリティの作成、
・セキュリティ侵害への対応策の設計
⑥システム構築: セキュリティの構築
講座分類
対象専門分野
□入門講座 ■基礎講座 □上級講座 □特別講座
□IT スペシャリスト共通 □プラットフォーム □システム管理 □データベース
□ネットワーク □分散コンピューティング ■セキュリティ
当コースは、
「システム開発基礎」コース群の後続となる「システム構築」コース群の一
つとして、セキュリティ管理製品の選定と導入、セキュリティ実装の
検証に関する知識の修得を目的とする。
○コース前半では、eラーニング形式で、セキュリティ管理製品の選定基準や
コース概要
セキュリティ勧告の情報を理解し、セキュリティ構築において考慮すべき事
項に関する技術的な知識を学習する。
後半では、講義形式、ワークショップ形式で、情報システムにおけるセキュリティ製
品の選択と導入、セキュリティ機能の検証、運用によるセキュリティ対策の実施など
を実践的に学習する。
受講対象者
技術チームメンバとして、システム開発プロジェクトに参加した経験を持つ者(IT スペ
シャリスト(専門分野:セキュリティ)のレベル3を目指す者)
受講前提
「システム開発基礎」を修了していること、または同等の知識を有していること。
研修方法
eラーニング、講義、ワークショップ
期間
前半:標準時間 12時間 (eラーニング 6時間×2日間)
、後半:標準日数 3日 (ク
ラスルーム)
研修終了後のスキル セキュリティ管理の製品と導入に関する知識を活用し、上位者の指示の下、技術チーム
習得目標
メンバとして、セキュリティシステム構築を実践することができる。
対象スキル
関連する知識
・セキュリティシステムの実装,検査
セキュリティ機能構築
セキュリティ製品,ツールの選定,導入,セキュリティ機能の開発,セキュリティ技術
の実装
・プライバシシステムの実装と検査
87
研修講座名
研 修 内 容
・情報セキュリティ対策
・ネットワーク環境における技術的対策の基礎
セキュリティ機能
構築・運用
ファイアウォールによるセキュリティ対策、暗号技術によるセキュリティ対策、
認証システムによるセキュリティ対策、ウイルス対策など
・その他の技術的対策
物理的対策、管理的対策、セキュリティシステムの運用管理、情報セキュリティの
評価と改善
・セキュリティの概要
セキュリティの現状、ファイアウォール・VPN の構築事例
・ファイアウォール構築の概要
ファイアウォール
構築実践
Proxy、アドレス変換機能、URL フィルタリング、認証機能など
・ファイアウォール構築実習
外部・内部・DMZ セグメントの構築、サーバとの連携、セキュリティルールの設計、
ログ・レポート・管理ツールなど
・VPN 構築概要
Branch Office VPN、Mobile User VPN、VPN の構築実習など
⑦システム運用/保守: セキュリティの運用/保守
講座分類
□入門講座 ■基礎講座 □上級講座 □特別講座
□IT スペシャリスト共通 □プラットフォーム □システム管理
対象専門分野
□データベース □ネットワーク □分散コンピューティング
■セキュリティ
当コースは、
「システム開発基礎」コース群の後続となる「システム運用/保守」コース
群の一つとして、セキュリティポリシに従ったシステムの運用、保
守に関する知識の修得を目的とする。
○コース前半では、eラーニング形式で、情報システムのセキュリティを維持
コース概要
管理していくためのプロセスを理解し、運用手順、ツール、情報収集などに
関する技術的な知識を学習する。
後半では、講義形式、ワークショップ形式で、システムの使用状況の監視、セキュリテ
ィ情報の収集とパッチの適用、ユーザ教育などを実践的に学習
する。
受講対象者
技術チームメンバとして、システム開発プロジェクトに参加した経験を持つ者(IT スペ
シャリスト(専門分野:セキュリティ)のレベル3を目指す者)
88
受講前提
「システム開発基礎」を修了していること、または同等の知識を有していること。
研修方法
eラーニング、講義、ワークショップ
期間
研修終了後のスキル
習得目標
前半:標準時間 12時間 (eラーニング 6時間×2日間)
、後半:標準日数 3日 (ク
ラスルーム)
情報システムのセキュリティに関する知識を活用し、上位者の指示の下、技術チームメン
バとして、セキュリティシステムの運用、保守を実践することが
できる。
対象スキル
関連する知識
・システム管理技術
システム資源監視技術,プロセス監視技術,システムソフトウェアやミドルウェアの
テクノロジ
管理機能のインタフェース技術,パフォーマンス計測技術,ハードウェアやソフトウ
ェアの構成管理機能,ソフトウェア配布機能,ジョブ管理,遠隔操作機能,アクセス管
理,ユーザ管理,リスク管理,ストレジ管理
・セキュリティシステムの運用管理
セキュリティ運用手続きの実施、システム動作の監視と記録、システム保守、ユーザ
教育、セキュリティ技術者教育
・セキュリティの分析
セキュリティ機能構築
事故の検知、事故の初動処理、事故の分析、事故からの復旧、再発防止策の実施、セ
キュリティ評価の活用と実践
・セキュリティの見直し
技術情報の収集と評価、運用上の問題点整理と分析、技術上の問題点整理と分析、新
たなリスクの整理と分析、セキュリティポリシ更新
研修講座名
研 修 内 容
・情報セキュリティの概要
セキュリティの分類、情報セキュリティ関連規格、攻撃とセキュリティポリシなど
・ネットワークプロトコルのセキュリティ
セキュリティ・プロ
フェッショナルコー
ス
(CompTIASecurity+)
DoD モデル、セキュリティ要素、暗号技術、認証と進入検知対策など
・脅威の実態
クラッカー、物理環境・ネットワーク環境での調査、進入・妨害・誘導攻撃など
・情報セキュリティ対策
物理的なセキュリティ対策、コンピュータウィルス対策、サーバのセキュリティ対
策、リスクマネジメントなど
・情報セキュリティの実装と運用管理
計画の立案、ポリシーの策定、セキュリティ対策の実施、ISMS 認証取得など
89
研修講座名
研 修 内 容
・ネットワーク構築
ネットワーク技術、ネットワーク設計、通信機器、IP アドレス、ルータの設定、
サーバのセキュリティ、クライアント設定など
ネットワークトラブ
・運用・管理
ルシューティング・
ポリシーとルール、ログ管理、信頼性、セキュリティ、ルーティン・ワーク、
実践トレーニング
管理チーム、組織体制とプロジェクトの進め方など
・ネットワークの障害とトラブル
検出と検知、トラブルの解決、アップグレードなど
⑧セキュリティ監査基礎:セキュリティの監査
講座分類
□入門講座 □基礎講座 □上級講座 ■特別講座
□IT スペシャリスト共通 □プラットフォーム □システム管理
対象専門分野
□データベース □ネットワーク □分散コンピューティング
■セキュリティ
当コースは、
「セキュリティシステム運用基礎」の基礎コース群の一つとして、セキュリ
ティ・プロフェッショナルに関する基礎知識の習得を目的とする。
○当コースでは、セキュリティの一般概念、コミュニケーションセキュリティ、
コース概要
インフラストラクチャセキュリティ、暗号化技術の基本、業務・組織面でのセキュリ
ティ等、基本レベルのセキュリティ担当者に要求される技術知識を習得する。
○個人情報保護のための管理者として必要な法律の知識、マネジメントシステムに基づ
く保護体制の構築と運用及び維持・改善の方法等について、経済産業省ガイドライン
に沿った内容を体系的に学習することができる。
受講対象者
研修方法
期間
コンピュータの概念、ネットワークの基礎知識を保有しディスクトップの捜査ができる
者。
講義
3日間(21 時間)
研修終了後のスキル ○基本レベルのセキュリティ技術知識を習得する
習得目標
○IT スペシャリスト「セキュリティ」のレベル2相当をカバーする
90
対象スキル
セキュリティ監査
関連する知識
・セキュリティ監査
セキュリティ監査の基礎、基準、実施、報告
研修講座名
研 修 内 容
・ネットワークセキュリティとファイアウォール
セキュリティの基本、応用暗号、アタックの種類、一般的な範囲、プロトコルレ
イヤとセキュリティ、セキュリティのリソース、ファイアウォールプロテクショ
セキュリティ・プロ
フェッショナルコー
ス(CIW)
ンのレベル、発見と排除、など
・システムのセキュリティ
セキュリティの原則、アカウントセキュリティ、ファイルシステムセキュリティ、
リスク評価など
・セキュリティ監査の実践的方法
発見法、セキュリティ監査とコントロール、進入発見、アタック技術の監査、
監査とログ分析、監査の結果など
・個人情報保護の概要
・漏洩事例
自治体での漏洩事例、民間会社での漏洩事例、漏洩時の被害額など
・個人情報とは
個人情報保護
個人情報の定義、個人情報保護法の構成、組織が保有する個人情報など
・個人情報取扱い事業者の義務
セキュリティの確保、本人への対応
・ガイドライン
施行に向けたスケジュール、経済産業省ガイドライン、総務省ガイドラインなど
・プライバシーマーク制度の概要 JIS Q 15001 等
保護すべき個人情報、個人情報保護の方針・規程の制定、社内規程の作成、教育計
プライバシーマーク
基礎
画の作成と実践、安全管理の実践、監査の実施など
・申請書類の作成方法
作成方法と審査手続、付属資料、申請手続きと審査への対応など
・プライバシーマークの活用方法
・ISMS 適合性評価制度
情報セキュリティ関連法規、個人情報保護、
ISMS 審査員試験対
策
・ISMS 認証基準
ISMS 構築の手順とセキュリティポリシー、リスクアセスメントとリスクマネジメ
ント
・ISMS 審査手順
書類審査、実地審査、審査業務一般に関する知識など
91
⑨セキュリティシステム運用基礎:セキュリティシステムの運用基礎
講座分類
□入門講座 □基礎講座 □上級講座 ■特別講座
□IT スペシャリスト共通 □プラットフォーム □システム管理
対象専門分野
□データベース □ネットワーク □分散コンピューティング
■セキュリティ
当コースは、
「セキュリティシステム運用基礎」の基礎コース群の一つとして、セキュリ
ティ・プロフェッショナルに関する基礎知識の習得を目的とする。
コース概要
○当コースでは、プライバシーマーク制度の認定実績を踏まえ、さらには「個
人情報保護法」の考え方を反映して、マネジメントシステムに基づくセキュリティ運
用及び維持・改善の方法等について、学習する。
○個人情報を取り扱う部門の責任者
受講対象者
○個人情報保護の運用状況を監査する立場の者
○プライバシーマークの取得を推進している者
研修方法
期間
講義
2日間(12時間)
○個人情報保護法の考え方と関連法規を理解する
研修終了後のスキル習 ○プライバシーマーク制度を理解する
得目標
○JIS Q 15001 を理解する
○コンプライアンス・プログラム(CP)を理解する
対象スキル
セキュリティ運用
関連する知識
・情報セキュリティ知識
VPN,ファイアーウォール、KPI
研修講座名
研 修 内 容
・セキュリティ技術
暗号技術、電子証明書、PKI の概要
セキュリティ・プロ
フェッショナルコー
・マネージド PKI
マネージド PKI 導入の計画立案、マネージド PKI 利用手順
ス(VCA:ベリサイン
・証明書ライフサイクル管理
認定管理者養成)
・ローカル・ホスティング
ローカル・ホスティングの準備、Web サーバを使用したローカル・ホスティング、
セキュア電子メールシステム、パスコード認証など
92
5.3.3
人材育成基盤の実践性評価方法
人材育成基盤の実践性の評価については、下記の視点・方法により、研修そのもの
に対する評価を行った上で、その結果を踏まえつつ、人材育成基盤に対する評価を行
う。
図 517 人材育成基盤の実践性評価方法
5.4
人材育成基盤の事業計画
本人材育成基盤は、
「熊本県情報セキュリティ推進協議会」を核とした主体による推
進を想定しているため、今後は、
「熊本県情報セキュリティ推進協議会」の活動の中に
取り込むことにより、事業として継続して推進していくこととする。
また、IT 企業において育成された IT プロフェッショナル人材が、ユーザ企業向けの
講習の講師として人材育成基盤に参加する仕組みを構築することにより、講師人材を
継続的に確保できるようにするとともに、研修を通じて IT 企業とユーザ企業の交流を
促進し、新たな情報セキュリティニーズを生み出したり増幅させたりすることにつな
げていくこととする。
93
人材育成基盤の実践性評価・分析
6.
評価対象とした教育訓練の内容
6.1
本事業においては、
「個人情報保護のための管理者養成コース」
、
「セキュリティ・プ
ロフェッショナルコース」そして、
「シンポジュウム∼個人情報保護法と情報セキュリ
ティ∼」を評価対象の教育訓練とした。以下に各教育訓練の実践性評価・分析を述べ
る。
6.1.1
募集方法
今回実施した各教育訓練における受講者の募集は、以下の 3 つの方法で行った。
①ニーズ調査アンケートに研修パンフレットを同封
②ダイレクトメールによる案内
③熊本県情報セキュリティ協議会定例会において、会員に研修パンフレットを
配布
「①」については、
「4.3 調査・分析方法」で記述したニーズ調査アンケートに研修
パンフレットを同封した。
「②」については、ニーズ調査アンケートを送付した企業の
他に、個人情報保護法に関心の高い、県内の「印刷業」
、
「学習塾」
、
「病院」などを追
加し、ダイレクトメールにより研修の案内を郵送した。
「③」については、平成 16 年
12 月 16 日(木)に行われた「熊本県情報セキュリティ推進協議会第 2 回定例会」にお
いて、参加者全員に研修パンフレットを配布すると共に、内容の説明を行った。
次に、シンポジュウムについては、以下の方法により受講者の募集を行った。
①熊本県情報セキュリティ協議会会員への FAX による案内
②ニーズ調査アンケートを送付した企業への FAX による案内
③熊本県情報セキュリティコミュニティセンター会員への FAX による案内
なお、
「③熊本県情報セキュリティコミュニティセンター」は、熊本県警ハイテク犯
罪対策室がハイテク犯罪に対する広報啓発活動推進のために設置した組織である。
6.1.2
受講者の特性
(1) 「個人情報保護のための管理者養成コース」
本コースでは、主にユーザ企業を対象にしているため、ユーザ企業用の業務経歴書
を作成し、受講者の特性を把握した。ユーザ企業用の業務経歴書では、以下の項目に
関する質問を行った。
・ 受講者の現在の担当業務について
・ 情報セキュリティに関する知識や指導経験について
94
・ セキュリティ認証資格取得について
本業務経歴書から、受講者の特性を以下のようにまとめる。
①受講者の業務について
今回参加した受講者は、
情報セキュリティの推進責任者又は推進担当者が半数を占め、
残りの半数についても、
何らかの形で情報セキュリティに関連ある業務の担当者であっ
た。受講者の担当業務については、セキュリティシステムの管理運用、コンピュータ管
理、ネットワーク管理、ウィルス対策等を担当している受講者が多かったが、担当期間
は割合短く、最近担当を任命された人もいた。
②知識や指導経験について
今回の受講者は、担当期間が短いこともあり、情報セキュリティに関する知識につ
いては、80%が“殆ど知らない”といっていた。その他の受講者も詳しく知っている
ものはなく、概要程度を知っている人であった。また、指導経験についても、殆どが
経験のない受講者であった。
受講者の中で情報セキュリティセミナー等への参加者は少なかったが、情報セキュ
リティの認証に「プライバシーマーク」や「ISMS」といったものがあることを知って
いる受講者は多かった。
③セキュリティ認証資格の取得について
受講者の中の 90%は、認証資格取得の必要性を感じているが、今直ぐにでも取り組
むべきであると考えている受講者は、そのうちの 30%であった。また、認証取得の必
要性を感じているものの中で、認証取得までは必要がないと考えている受講者が 30%
で、
情報セキュリティ対策はまったく必要がないとしている受講者が他に 1 名あった。
必要性を感じている受講者では、最も必要と思っている認証は「プライバシーマー
ク」であるが、その取り組みについては、予算、人材不足、会社文化、従業員モラル
等が障害になっているようであった。また、取引先等からのセキュリティ認証規格の
保持確認については、
「ない」または「知らない」としている受講者のみで、確認をう
けた受講者はなかった。
(2) 「セキュリティ・プロフェッショナルコース」
本研修は、情報セキュリティに関する技術知識の習得を目標としているため、情報
セキュリティに関して、ある程度の専門知識を持ち、システム開発、管理・運用を行
う IT 技術者を対象とした。本研修における受講者の特性は、以下のとおりであった。
①受講者の業種・業務について
今回参加した受講者のほとんどは、システム開発、管理・運用を業務としていた。そ
95
の他の受講者についても、
「職業訓練指導」など何らかの形で情報セキュリティに関連
ある業務の担当者であった。
②研修受講実績・プロフェッショナル活動経験について
今回の受講者には、企業内において「職業訓練指導」などの業務をしている受講者
はいたものの、
「学会活動」や「講演・講師等」のプロフェッショナル活動の経験があ
る人は少なかった。
③公的資格・ベンダー資格の取得について
今回の受講者の中で、資格取得者は全体の 33%であったが、中には複数の資格を取
得しているも者もいた。取得していた資格は以下のとおりである。
・ MCP(Microsoft Certified Professional)
・ Oracle master silver
・ CCNA(Cisco Certified Network Associate)
・ 基本情報処理技術者試験(2種)
・ 初級アドミニストレータ
・ 情報セキュリティアドミニストレータ
(3) 「シンポジュウム」
シンポジュウムには、以下の組織から聴取者が参加した。
・ 熊本県情報セキュリティ推進協議会会員
・ 熊本県情報コミュニティセンター会員
・ 本事業でニーズ調査アンケートを送付した企業
最も参加者が多かったのが、
「熊本県情報セキュリティ推進協議会」の会員であっ
た。また、
「熊本県情報コミュニティセンター」からは、主に県内における高等学校
の教諭が参加していた。そして、本事業でニーズ調査アンケートを送付した企業か
らは、主に金融業からの参加者が多かった。
(4) 各教育訓練における受講者特性の概要
各教育訓練に参加した受講者の業務経歴書から要約すると、今回の受講者の特性を
表 61 のようにまとめることができる。
96
表 61 受講者の特性
コース名
受講者の特性
個人情報保護に
本研修では、
「印刷業」
、
「金融」
、
「病院」
、
「専門学校」など様々な業
おける
界から受講しており、年齢に関しては 40 代∼50 代が最も多かった。
管理者
養成コース
人数
12 人
すべて熊本県内の企業から受講しており、中には、プライバシーマ
ークの取得を予定している企業からも参加していた。
本研修では、各企業において情報セキュリティ業務に携わっている
受講者がほとんどであったが、担当期間が短いため、情報セキュリ
ティに関する知識は浅く、指導経験ない受講者が多かった。
また、セキュリティ認証取得の必要性を感じている受講者は多いが、
予算や人材不足の問題など多くの課題を抱えている。
セキュリティ・プ
本研修では、すべての受講者が熊本県内の「IT 企業」から受講して
ロフェッショナ
いた。年齢層としては、30 代が最も多かった。資格取得者やプロフ
ルコース
ェッショナル活動の経験者は数名であったが、ほとんどの受講者が
9人
システム開発、管理・運用などの業務に就いていた。
シンポジュウム
本シンポジュウムには、本事業においてアンケートを送付した IT
∼個人情報保護
企業・ユーザ企業、熊本県情報セキュリティ推進協議会の会員、そ
と情報セキュリ
して、熊本県情報コミュニティセンターの会員が参加した。業種と
ティ∼
しては、IT 企業や学校などの公共団体が最も多く、その他、金融業、
85 人
サービス業からの聴取者がいた。役職としては、管理職が最も多か
った。
6.1.3
実施した教育訓練の範囲
今回実施した教育訓練は、「5.3.2(4)カリキュラムの作成」で記述した研修カリ
キュラムの中から、ユーザ企業、IT 企業それぞれで特にニーズが高い教育訓練研修を
抽出し、2 つの教育訓練を実施した。また、
「5.3.1 人材育成基盤で採用する教育訓練
の内容」で述べたように、主にユーザ企業のセキュリティ意識の底上げに関する試み
として、シンポジュウムを実施した。本事業において実施した教育訓練を以下に示す。
・ 「個人情報保護のための管理者養成コース(ユーザ企業向け)」
・ 「セキュリティ・プロフェッショナルコース(IT 企業向け)」
・ 「シンポジュウム∼個人情報保護法と情報セキュリティ∼」
(1) 「個人情報保護のための管理者養成コース(ユーザ企業向け)」について
アンケート及びヒアリング結果から、ユーザ企業ではプライバシ保護を中心にセキ
ュリティ意識が高まっていることから、ユーザ企業向けには、個人情報保護のための
管理者を養成する目的で、
「5.3.2 人材育成基盤で採用する教育訓練の内容 (4)カリキ
97
ュラムの作成」で記述した「⑧セキュリティ監査基礎」の研修講座名「個人情報保護」
及び「プライバシーマーク基礎」をアレンジし「個人情報保護のための管理者養成コ
ース」として実施した。
(2) 「セキュリティ・プロフェッショナルコース(IT 企業向け)」について
「4.地域 IT 産業における人材ニーズ調査・分析 ③情報セキュリティ人材の育成
に対するニーズ 図 412 自社内で育成したい情報セキュリティ人材」にあるように、
IT 企業では、IT スキル標準におけるレベルの 1∼2 程度の人材を育てたいと希望して
いるところが多い。また、
「図 413 情報セキュリティ人材の育成に関する研修ニーズ
(IT 企業)
」にあるように、研修ニーズとしては、ネットワークセキュリティに関する
項目が最も多くなっている。これらのことから、IT 企業については、
「5.3.2 人材育成
基盤で採用する教育訓練の内容 (4)カリキュラムの作成」で記述した「④セキュリテ
ィの要素技術∼⑦セキュリティの運用/保守」にある「セキュリティ・プロフェッショ
ナルコース(CompTIA Security+)」を実施した。
(3) シンポジュウム∼個人情報保護と情報セキュリティ∼
ニーズ調査、ヒアリング調査から IT 企業とユーザ企業との間に情報セキュリティに
関する意識・対策に大きな差があることがわかった。また、
「4.5 分析と考察」で述べ
たように、ユーザ企業には、個別・全般的なリテラシの向上が必要である。そこで、
主にユーザ企業における情報セキュリティに対する意識の底上げを行う目的で、基調
講演・パネルディスカッションを行うシンポジュウムを実施した。
6.1.4
教育訓練の内容
IT の利活用を推進する上で、情報セキュリティ対策は最大の課題であり、全国的な
ニーズとして官民での取り組みが開始されていることから、情報セキュリティに対す
る意識は高くなっているが、その対策は必ずしも進んでいない。
情報セキュリティ対策の推進は、IT 企業による的確なコンサルティングやセキュリ
ティシステムの設計・構築による環境整備と、ユーザ企業における適切な運用・管理
が行われてはじめて効果あるものとなるものである。そこで、今回の教育訓練は、ユ
ーザ企業において外部の情報セキュリティサービス等を適切の活用しつつ、監査や評
価の体制を整備するといった、自社の情報セキュリティを推進する人材の育成と、IT
産業においてセキュリティポリシの策定、コンサルティングやセキュリティシステム
の設計・構築といった上流工程を含めた人材の育成が必要であることから、教育訓練
として、2 コースを設定して実施した。また、ニーズ調査、ヒアリング調査において、
ユーザ企業が全般的に情報セキュリティに関するリテラシが低いことから、そのリテ
ラシを高めるために基調講演・パネルディスカッションを行うシンポジュウムを実施
した。
98
(1) 個人情報保護のための管理者養成コース(ユーザ企業向け)
個人情報保護の施行を間近に控え、多くの企業でその対策が急務になっている。そ
の中で、日本情報処理開発協会(JIPDEC)により発行された ISMS(Information Security
Management System)や、個人情報保護の取り組みに対する認証制度であるプライバシ
ーマーク制度などが大きく注目されている。また、
「5.3.1 人材育成基盤の機能 (2)人
材育成基盤の「教育訓練の供給の仕組み」 ②ニーズ調査 (ⅱ)委員会及びヒアリング
調査結果の概要」で述べたように、熊本においてもユーザ企業の個人情報保護に対す
るセキュリティ意識は高まりつつある。このことから、今回、主にユーザ企業向けに
「個人情報保護のための管理者養成コース」を実施した。この教育研修では、各企業
において個人情報を取扱う人材やプライバシーマーク等のセキュリティ認証資格を取
得する担当者となる人材を育成するため、
「個人情報保護法」などの法令・各種ガイド
ラインの知識や、プライバシーマーク認証取得に必要なコンプライアンスプログラム
の作成方法などを学習する。受講後には、以下の項目を理解し、それを実践できるよ
うになることを目標とした。
・ 個人情報保護法の考え方と関連法規
・ プライバシーマーク制度
・ JIS Q 15001 の内容
・ コンプライアンスプログラム(CP)
本教育訓練におけるカリキュラムを表 62 に示す。
表 62 「個人情報保護のための管理者養成コース」研修カリキュラム
99
(2) セキュリティ・プロフェッショナルコース(IT 企業向け)
近年、ユーザ企業、IT 企業共に急務となっている課題として、情報セキュリティ対
策があげられる。得に IT 企業においては、専門の知識が要求され、求められる情報セ
キュリティレベルも高くなっている。また、情報セキュリティ対策を自社で行ってい
る IT 企業も少なくない。そこで、
「4.4 調査結果」で述べたニーズ調査の結果から、
IT スキル標準の IT スペシャリストに準拠する研修として、
「セキュリティ・プロフェ
ッショナルコース」を実施した。
この資格を取得すると、IT スキル標準の「IT スペシャリスト」専門分野「セキュリ
ティ」のレベル 2 をカバーできる。
本研修の目的は、
「CompTIA Security+」を取得するための知識を習得することであ
り、情報セキュリティに関する幅広い知識を習得することが必要となる。そこで、
「CompTIA Security+」の知識範囲と「4.3 調査・分析方法 表 4.3 IT スキル標準に
おけるスキル項目と熊本県の地域ニーズに基づいた研修対象スキル項目」で記述した
「研修対象スキル項目」を対応させ、全部で 9 つの区分を理解できることを目標とし
た。表 63 に本研修の 9 区分を示す。
表 63 セキュリティ・プロフェッショナルコースの範囲
No
ニーズマップ区分
1
①コンピュータシステム設計・管理
2
②ネットワークインフラ
3
③ファイアーウォール
4
④暗号鍵・認証
5
⑤不正アクセス探知
6
⑦システム実装メソドロジ
7
⑨プロジェクトマネジメントの基礎
8
⑫セキュリティシステムの運用・管理
9
⑬情報セキュリティの監査制度/基準
①∼⑫はニーズマップ区分の番号
本教育訓練におけるカリキュラムを表 64 に示す。
100
表 64「セキュリティ・プロフェッショナルコース」研修カリキュラム
(3) シンポジュウム
「5.3.1 人材育成基盤の機能
(2)人材育成基盤の教育訓練の仕組み
②ニーズ調
査」の(ⅰ)アンケート調査結果の概要および(ⅱ)委員会及びヒアリング調査結果の概
要から、ユーザ企業のセキュリティ意識は全般的に低く、その対策も遅れがちである
ことが分かった。そこで本事業では、特にユーザ企業のセキュリティ意識を高めるこ
とを目的に、熊本県警などと共同でシンポジュウムを実施した。
4 月からの個人情報保護法も施行を前に、ユーザ企業においても個人情報保護に対す
るセキュリティ意識は高まりつつあることから、本シンポジュウムのテーマを「個人
情報保護法と情報セキュリティ」と題し、テーマに沿った基調講演及びパネルディス
カッションを行った。
(4) コースフロー
今回実施した教育訓練及びシンポジュウムのコースフローを図 61 に示す。
101
図 61 実施したコースフロー図
実施した教育訓練の「個人情報保護のための管理者養成コース」、
「セキュリティ・
プロフェッショナルコース」では、研修の事前と事後に研修の学習度合いを測るアン
ケート・スキルチェックを行った。そして、
「シンポジュウム」では、シンポジュウム
終了後に感想、情報セキュリティに対する今後の取り組みなどを調査するアンケート
を行った。これらの結果を教育訓練の評価指標の一つとして使用した。
102
(5) 個人情報保護のための管理者養成コースにおける教育訓練の内容
本コースは、2 日間の集合研修(座学)であり、個人情報保護法や経済産業省が発表し
た個人情報保護に関するガイドラインに基づいて、企業内における個人情報の漏洩対
策などを学習する。また、近年多くの企業が取得しているプライバシーマークについ
ての知識や、それを取得する上で必要となるコンプライアンスプログラムなどの作成
方法を学習する。そして、グループディスカッションでは、自社内における組織的・
物理的な情報セキュリティ対策や企業の情報管理のあり方などを研究し、企業として
の情報セキュリティに対する基本方針や運用方法の策定、また、万が一情報漏洩等が
発生した場合の対応などができるようになることを目標とする。本講座のカリキュラ
ムを表 65 に示す。
表 65「個人情報保護における管理者養成コース」のカリキュラム
1日目
2 日目
Ⅰ.個人情報保護に関する概要
Ⅰ.コンプライアンスプログラム
最近の事件、傾向個人情報とは?
作成手順
個人情報保護法とは?
作成における注意点
プライバシーマークとは?
Ⅱ.内部監査
‾
ケーススタディ‾
内部監査の進め方、注意点
貴社で漏洩したら損害賠償はどのぐらい
に?
Ⅲ.取扱い業務のリスクアセスメント
‾
ケーススタディ‾
Ⅱ.プライバシーマーク
個人情報の特定
JISQ15001 要求事項の解説
リスク分析
Ⅲ.取扱い業務のリスクアセスメント
Ⅳ.業務での状況チェック(アンケート)
リスクと安全対策の考え方
質問項目における現状把握とその対策、
改善点
本コースにおける教育訓練の内容を表 66 に、
使用した教材の一覧を表 67 に示す。
103
表 6-6 個人情報保護のための管理者養成コース」おける教育訓練内容
科目
教育訓練内容
形式
期間
講師
場所
設備
教材番号
熊本ソフトウェア
PC
1
(*1)
「個人情報保護のため 個人情報保護に関する概要
A
1 日目
の管理者養成コース」
(株)テクノアート
緒方
良光氏
株式会社
花端教室
プライバシーマーク
Z
1 日目
同
同
同
2
取扱い業務のリスクアセスメント
Z
1 日目
同
同
同
3
コンプライアンスプログラム
Z
2日目
同
同
同
4
内部監査
Z
2日目
同
同
同
5
取扱い業務のリスクアセスメント
G
2日目
同
同
同
6
業務での状況チェック(アンケート)
A
2日目
同
同
同
7
(*1)Z:座学、E:e-ラーニング、G:グループワーク、O:OJT 、A:アンケート
104
表 6-7 使用教材一覧
教材番号
1
教材の名称
個人情報保護とプライバシーマ
メディア
教材の内容
紙媒体
講師作成の資料
電子データ
財団法人日本情報処理開発協会プライバシーマーク事務局の資料
ーク制度
2
個人情報保護に関するコンプラ
イアンス・プログラムの要求事項
http://privacymark.jp/ref/jisq15001.pdf
(JIS Q 15001)
3
個人情報保護での安全対策の考
電子データ
え方
4
個人情報保護に関するコンプラ
http://privacymark.jp/seminar/pms-sec.pdf
電子データ
イアンス・プログラムの作成指針
5
プライバシーマーク制度におけ
財団法人日本情報処理開発協会プライバシーマーク事務局の資料
財団法人日本情報処理開発協会プライバシーマーク事務局の資料
http://privacymark.jp/ref/howtomake.pdf
電子データ
る監査ガイドライン
財団法人日本情報処理開発協会プライバシーマーク事務局の資料
http://privacymark.jp/ref/pmaugl.pdf
6
ケーススタディ1
紙媒体
グループディスカッションでの結果をまとめる用紙
7
ケーススタディ2
紙媒体
グループディスカッションでの結果をまとめる用紙
8
リスク管理シート
紙媒体
ケーススタディ2におけるリスクのまとめ
9
アンケート表
紙媒体
学習状況を測るアンケート用紙
105
(6) セキュリティ・プロフェッショナルコース(専門研修)における教育訓練の内容
本コースは、3 日間の集合研修(座学)で行い、情報セキュリティ技術に関する実務的知
識やスキルを学習する。
具体的には、
CompTIA 認定資格テキストである
「Security+ complete
テキスト(DAIX 出版)
」を使用し、
「情報セキュリティに関する規格」
、
「ネットワークプ
ロトコルのセキュリティ」
、
「暗号技術」などの企業におけるセキュリティ担当者に必要な
知識を学習する。受講後の目標は、CompTIA 認定資格の1つである「CompTIA Security+」
の取得を目指すための知識を得ることである。本講座のカリキュラムを表 68 に示す。
表 68 カリキュラム
9:30∼10:40
10:50∼12:00
○オリエンテーショ ☆ Chapter1
ン
1 日目 ○スキルチェック
13:00∼14:30
☆ Chapter3
情報セキュリティ概要
☆ Chapter2
14:40∼16:00
☆ Chapter4
16:10∼17:30
☆ Chapter5
攻撃とセキュリテ ネットワークプロトコルのセキュリテ 暗号技術
ィポリシー
ィ
☆ Chapter8
★ Chapter1
情報セキュリティに関連
する企画
☆ Chapter6
☆ Chapter7
2日目 機密性、真正性、完全 可用性と責任追跡性 事業継続性の管理
★ Chapter1
脅威の実態
性、否認防止性の対策 の対策
★ Chapter2
3日目
★ Chapter2
★ Chapter3
情報セキュリティ対策に
ついて
★ Chapter4
★ Chapter4
リスクマネジメン 情報セキュリティの実装と ○成果測定
ト
運用管理
☆:教科書上巻 ★:教科書下巻
本コースにおける教育訓練の内容を表 69 に、使用した教材の一覧を表 610 に示す。
106
表 6-9 セキュリティ・プロフェッショナルコースにおける教育訓練内容
科目
教育訓練内容
形式
期間
講師
場所
設備
教材番号
1 日目
株式会社 NTT ネオ
熊本ソフトウェア
なし
1
メイト中九州
株式会社
(*1)
「セキュリティ・プ
事前スキルチェック
Z
ロ フ ェ ッシ ョナ ル
コース」
境
「CompTIA Security+」上巻
泰男氏
Z
1 日目
同
同
なし
2
Z
2 日目
同
同
なし
2
Z
2 日目
同
同
なし
3
Z
3 日目
同
同
なし
3
A
3 日目
同
同
なし
4
Chapter1∼Chapter5
「CompTIA Security+」上巻
Chapter6∼Chapter8
「CompTIA Security+」下巻
Chapter1
「CompTIA Security+」下巻
Chapter2∼Chapter4
事後スキルチェック
(*1)Z:座学、E:e-ラーニング、G:グループワーク、O:OJT、A:アンケート
107
表 6-10 使用教材一覧
教材番号
教材の名称
1
事前スキルチェック
2
COMPLETE テキスト
上巻
メディア
基礎
教材の内容
紙媒体
講師作成の事前スキルチェック問題
紙媒体
2004 年 DAI-X 出版(株式会社
知識編
ウチダ人材開発センタ著)
セキュリティ技術者の登竜門といわれる「Security+」の取得を目指す人のために、独自に開
発したオリジナルテキスト。基礎知識に関する試験範囲の技術知識を網羅している。
3
Security+ COMPLETE テ キ ス ト
紙媒体
下巻 実務編
2004 年 DAI-X 出版(東日本電信電話(株)、(株)ラック ISMS コンサルチーム/共著)
セキュリティ技術者への登竜門「Security+」を取得するために、コンピュータ教育のスペシ
ャリストが、日本の受験者向に独自に開発したオリジナルテキスト。
4
事後スキルチェック
紙媒体
講師作成の事前スキルチェック問題
108
(7) 「シンポジュウム」における教育訓練の内容における教育訓練の内容
本シンポジュウムで行った基調講演及びパネルディスカッションの内容を以下に示す。
○基調講演1
テーマ:「個人情報をめぐるトラブルと対策」
講師 :熊本県警察本部生活安全部 ハイテク犯罪対策室室長 島袋修氏
「地域 IT プロフェッショナル人材育成委員会」のアドバイザである島袋氏が、官の立場
から、実際に報告されている犯罪の事例、個人情報保護法の概要、そして個人情報漏洩対
策についての講演を行った。
○基調講演2
テーマ:「個人情報保護に向けた情報セキュリティ」
講師 :NTT 西日本株式会社 セキュリティ推進室担当課長 中台芳夫氏
NTT 西日本株式会社の中台氏が、個人情報を取り扱う企業の立場から、情報セキュリテ
ィ技術を中心に個人情報漏洩対策についての講演を行った。
○パネルディスカッション
テーマ:「情報セキュリティと人材育成」
参加者:【コーディネータ】
・林 秀樹(熊本保健科学大学助教授)
【パネリスト】
・諌山 徹也(西部電気工業㈱営業本部第二 IT 事業部長)
・川副 秀(西日本システム建設㈱熊本 IT ビジネス部長)
・島袋 修(熊本県警察本部ハイテク犯罪対策官)
・中台 芳夫(西日本電信電話(株)セキュリティ推進室担当課長)
・渡辺 昭雄(熊本ソフトウェア㈱教育研修部長)
パネルディスカッションでは、
「地域 IT プロフェッショナル人材育成委員会」の中から
委員 5 名と基調講演を行った中台氏の計 6 名がパネラーとして参加した。
各パネラーが、自社の活動や取り組みなどを講演し、その後、それぞれの内容について
の討議を行った。パネルディスカッション後半で行われた質疑応答では、聴取者それぞれ
の立場からの個人情報保護対策、
情報セキュリティ対策に関する質問が寄せられた。
また、
パネラーの企業の中には、
「ISMS」や「プライバシーマーク」を取得しているところがあり、
認証取得に関する質問もあった。
109
本シンポジュウムのカリキュラムを表 611 に示す。
表 611 シンポジュウムのカリキュラム
演目(テーマ)
基調講演1
内容
・個人情報を不正に取得する犯罪
「個人情報をめぐるトラブルと対策」
・個人情報保護法の概要
・個人情報漏洩のトラブル事例
・個人情報漏洩対策
基調講演2
・個人情報漏洩事件
「個人情報保護に向けた情報セキュリティ」 ・個人情報の価値
・個人情報保護法の概要
・個人情報漏洩の問題
・個人情報保護のためのガイドラインと安全管理措置
・個人情報保護に向けたさまざまな取り組み
パネルディスカッション
・自社での情報セキュリティに対する取り組み状況について紹介
「情報セキュリティと人材育成」
・情報セキュリティを守るために注意すること
・熊本県での情報セキュリティ推進人材育成に期待すること
・「コンピュータウイルス等による脅威」
・「内部からの情報流出による脅威」
・「情報流出対策の取り組みに必要なもの」
・本事業におけるニーズ調査の結果について
・ユーザ企業に対しての「情報セキュリティ」研修のあり方
本コースにおける教育訓練の内容を表 612 に、使用した教材の一覧を表 613 に示す。
110
表 6-12 シンポジュウム∼個人情報保護法と情報セキュリティ∼における教育訓練内容
科目
教育訓練内容
形式
期間
講師
場所
設備
教材番号
熊本県警
PC
1
同
PC
2
同
PC
3
同
なし
4
(*1)
基調講演1
「個人情報をめぐるトラブルと対策」
Z
45 分
熊本県警察本部生活安全部
策室室長
ハイテク犯罪対
島袋修氏
察本部多
目的ホー
ル
基調講演2
「個人情報保護に向けた情報セキュリティ」
Z
45 分
NTT 西日本株式会社 セキュリティ推進室担当
課長
パネルディスカッ
「情報セキュリティと人材育成」
Z
90 分
ション
中台芳夫氏
・熊本保健科学大学助教授
林秀樹氏
・熊本県警察本部ハイテク犯罪対策官 島袋修
氏
・西日本電信電話(株)セキュリティ推進室担当
課長
中台芳夫氏
・西部電気工業㈱営業本部第二 IT 事業部長
諌山徹也氏
・西日本システム建設㈱熊本 IT ビジネス部長
川副秀氏
・熊本ソフトウェア㈱教育研修部長 渡辺昭雄
氏
アンケート
シンポジュウムの感想
A
30 分
なし
(*1)Z:座学、E:e-ラーニング、G:グループワーク、O:OJT、A:アンケート
111
表 6-13 使用教材一覧
教材番号
教材の名称
メディア
教材の内容
1
講演資料
紙媒体
講師作成の講演資料
2
講演資料
紙媒体
講師作成の講演資料
3
講演資料
電子媒体
各パネラー作成の講演資料(PowerPoint)
4
アンケート
紙媒体
受講者へのアンケート
112
6.1.5
インストラクター
(1) 教育訓練におけるインストラクターの経歴・実績
教育訓練における各講師の経歴及び実績を表 614 に示す。
表 614 インストラクター
氏名
所属
経歴・実績
担当コース
緒方 良光
株式 会社テク ノアー
地元システム会社に勤務し、企業ネットワー
個人情報保
ト
ク設計、構築をする傍ら、2003 年より九州エ
護のための
リアを中心にプライバシーマーク認証取得の
中級コース
コンサルタントとして活動、現在に至る。
境 泰男
株式会社 NTT ネオメイ
NTT グループ企業に勤務し、プログラミング
セキュリテ
ト中九州
開発業務の経験を持ち現在は、社内における
ィ・プロフェ
九州ブロックネットワーク管理と社外向けセ
ッショナル
キュリティコンサルティングをおこなってい
コース
る。その間、業務に関連したネットワーク等
について、社内外向けに研修を実施している。
(2) シンポジュウムにおける講師・パネラーの経歴・実績
本シンポジュウムにおける講師、パネラーの経歴及び実績を表 615 に示す。
表 615 講師、パネラーの経歴及び実績
氏名
島袋修
所属
熊本県警察本部
経歴・実績
担当コース
「九州管区警察局通信部」
、
「警察庁長官官房 情
シ ンポ ジュ ウ
報管理課」
、
「沖縄県警察本部 情報管理課」等に
ム(基調講演)
おいて、
「ネットワークの保守・運用」
、
「ネットワ
ークシステムの開発」などに従事。現在では、
「熊
本県警察本部生活安全部ハイテク犯罪対策管 兼
ハイテク犯罪対策室長」として、
「ハイテク犯罪に
関する捜査、啓蒙活動等」を行う。
113
中 台 芳 雄
NTT ネオメイト
(基調講演)
長岡技術科学大学大学院 電気電子システム工学
シ ンポ ジュ ウ
専攻修了後、日本電信電話株式会社に入社。その
ム(基調講演、
後、
「NTT ヒューマンインタフェース研究所」
、
「NTT
パ ネル ディ ス
サイバーソリューション研究所」などにおいて、
カッション)
「音声認識技術の高耐性化および装置化研究開
発」
、
「ISDN 端末の開発」
、
「インターネット端末の
開発」等に従事。現在では、
「NTT 西日本ソリュー
ション営業本部 ソリューションビジネス部」に
おいて「情報セキュリティに関するコンサルティ
ング、特にお客様研修を主体とした啓発活動」を
行う。
委員5名
6.2
本事業委員会
熊本県情報セキュリティ協議会の役員・会員であ
シ ンポ ジュ ウ
り本事業の委員。各委員の詳細は「2.1 実施内容
ム(パネルディ
表 21 委員会名簿」を参照。
スカッション)
評価・分析方法
実施した教育訓練の評価は、
「5.3.3
人材育成基盤の実践性評価方法」で記述した
「受講者へのアンケート・レポート」、
「インストラクターのコメント」などを用いて
行った。評価手法とその説明を以下に述べる。
①受講者へのアンケート・レポート
受講者の学習度合いを測るための成果測定テスト
②研修に対する受講者の評価アンケート
受講者から見た研修の評価を行うための研修に関するアンケート。
③インストラクターから見た研修の評価
研修を行った講師から研修の評価を行うための講師のコメント。
「受講者の学習状況」
、
「受講者からの研修評価」
、そして「インストラクターからの
研修評価」から得られる評価データを分析し、今回実施した教育訓練の評価を行う。
次に、シンポジュウムは、ユーザ企業におけるセキュリティ意識底上げのための啓
蒙活動と位置づけており、シンポジュウムに対する聴取者の評価アンケートでシンポ
ジュウムの感想及び受講者の今後の取り組みを調査した。
教育研修及びシンポジュウムそれぞれについての具体的な評価方法を以下に述べる。
(1) 「個人情報保護のための管理者養成コース」について
①受講者へのアンケート・レポート
本研修では、研修前と研修後における受講者のセキュリティ意識の変化をアンケー
トにより調査した。
「6.1.4 教育訓練の内容」で記述した「受講後の目標」それぞれに
114
関して、表 616 に示す質問を行った。
表 616「個人情報保護のための管理者養成コース」質問項目
受講者には、受講前における情報セキュリティ対策の現状と受講後にどのような対
応を行うかを記述してもらった。そして、受講前と受講後のセキュリティ意識の変化
を比較した表にまとめ、その変化から本研修における各受講者の知識習得の度合いを
測った。
②研修に対する受講者の評価アンケート
研修終了後、本研修に関する理解度及び感想などの評価アンケートを受講者に行っ
た。それらの結果から、本研修が受講者にとってどの程度有用であったのかを検討し
た。
③インストラクターのコメント
「受講者の成果物」、
「受講態度」及び「アンケート結果」などから、インストラク
ターから見た「所感」
、
「研修参加者の様子」
「今後の課題、改善点」などの項目で本研
修の評価を行ってもらった。その結果から、今回の研修における反省点・問題点を洗
い出し、今後の教育訓練並びに人材育成基盤に反映させる。
(2) 「セキュリティ・プロフェッショナルコース」について
①受講者へのアンケート・レポート
本研修では、研修開始前と研修終了後に同程度の難易度でスキルチェックを行った。
115
その回答状況による知識の伸張度合いを測り、それを教育訓練評価の指針とした。事
前スキルチェックと事後スキルチェックの区分及び各問題を、表 617、表 618 に示
す。
表 617 事前スキルチェック問題の質問項目
116
表 618 事後スキルチェック問題の質問項目
事前・事後のスキルチェック問題は、「CompTIA Security+」の教科書の中から抽出
して実施した。
「②研修に対する受講者の評価アンケート」
、
「③インストラクターのコメント」に
ついての評価は、
「個人情報保護のための管理者養成コース」と同様の内容で行った。
(3) 「シンポジュウム」について
シンポジュウム終了後、参加者へのアンケートを行った。アンケート票を図 62 に
示す。
117
図 62 シンポジュウムアンケート票
118
評価結果
6.3
6.3.1
「個人情報保護のための管理者養成コース」について
(1) 受講者のアンケート・レポートの評価結果
「6.1.4 教育訓練の内容
(1) 個人情報保護のための管理者養成コース(ユーザ企
業向け)
」で述べたように、本研修では、セキュリティ意識を 4 区分に分け、受講者の
受講前と受講後のセキュリティ意識の変化をアンケートにより調査した。以下に「個
人情報保護のための管理者養成コース」における評価結果を述べる。
①個人情報保護法の考え方と関連法規について
表 619 「個人情報保護法の考え方と関連法規」の受講前と受講後のセキュリティ意識
「評価と分析」
「1.社外で得意先と連絡を取る場合の対応」では、図 63 に示したように、受講
前には、
「まったく気にしない」
、
「あまり気にせず連絡する」などの受講者が多かった
が、受講後には、その人数はほとんど0になり、
「その他の項目」として、
「メール又
は帰社後に連絡する」、
「だれもいないところで連絡する」など、他人に聞かれないと
ころで連絡をとるような意識付けがされている。
「2.プリンタに出力したデータの取扱い」では、受講前からセキュリティ意識が
高かった。受講後においても、
「その他の項目」として、
「必要なものは印刷しない」
など、更なるセキュリティ意識の向上が見られる。
「3.宛先を間違ったメール送信の有無」では、ほとんどの受講者に経験がないが、
受講後には、
「注意して送信する」などの記述があり、セキュリティ意識の向上が見ら
れる。
「4.インターネットでの個人情報の入力」では、図 64 に示したように、ほとん
どの受講者に経験があるが、受講後には、
「SSL サイトに限定する」
、
「信用を見て行う」
など、自身の個人情報を保護するセキュリティ意識も高まっている。
119
0
その他
2
1
まったく気にしない。
0
あまり気にせず連絡する。
0
受講前
受講後
5
4
誰もいないところで連絡する。
0
7
1
2
3
4
5
6
7
図 63 社外で得意先等と連絡を取る場合の対応(複数回答)(n=12)
2
ない
6
たまにある
2
よくある
0
1
2
3
4
5
6
図 64 インターネットでの個人情報の入力経験(複数回答)(n=12)
個人情報の保護を考える場合、何が個人情報となりうるのかを把握する事が重要で
ある。たとえば、社外において取引先と連絡する場合は、他人にその内容を聞かれて
しまう恐れがあり、また、インターネットで個人情報を入力する際には、フィッシン
グ詐欺などの被害に合う可能性も否定できない。全体的に見ると、個人情報がどのよ
うな媒体で漏洩する恐れがあるのかについて、また、その対応策方法についても具体
的に記述していることからセキュリティ意識が高まったと判断できる。
120
②プライバシーマーク制度の理解について
表 620 「プライバシーマーク制度の理解」の受講前と受講後のセキュリティ意識
「評価と分析」
「1.来客時などで離席する場合の対応」については、図 65 に示したように、受
講前には「ノートパソコンのふただけ閉める」
、
「そのまま席を立つ」などを選択した
受講者が多いが、受講後には、それらの回答をした数は 0 になり、受講後には「パソ
コンの電源を切る」などと記述した受講者が増えた。また、最も多く記述されたのは、
「パスワードつきスクリーンセイバーを使用する」であり、セキュリティ意識が高ま
ったことが分かる。
「2.帰宅時の机上書類の処置」では、図 66 に示したように、受講前に「資料は
机上に置いたままで帰宅」していた受講者は、受講後には 0 人になった。また、受講
前から「机上には何も置かないで帰宅」していた受講者もいたが、受講後には倍の人
数になっている。そして、
「その他の項目」として、
「帰宅する際には資料をキャビネ
ットに保管する」など他人の目に簡単に触れないようにする対策が記述されており、
セキュリティ意識の向上がみられる。
「3.スクリーンセイバーの使用」については、受講前には「使用していない」
、
「使
用していてもパスワード設定をしていない」などの受講者が多かった。しかし、受講
後には、
「離席する際には、スクリーンセイバーを使用」
、
「スクリーンセイバーを使用
する際にはパスワードを設定する」など PC 管理の対策が具体的に記述されている。
「4.知らない人からのメール受信時の対応」に関しては、図 67 に示したように、
「開かずに削除する」など、受講前からセキュリティ意識は高いが、受講後の対策と
して、
「開封しないで削除する」
、
「ワクチンソフトにかける」などの具体的なウィルス
対策が記述されておりセキュリティ意識の向上が見られる。また、
「書類等のメール送
信」に関しては、受講後の対応として「添付ファイルは暗号化する」と記述した受講
者がほとんどであり、セキュリティ意識の向上が見られる。
121
1
その他
7
0
ノートパソコンの場合持参する 0
5
ふただけ閉める。
受講前
受講後
0
0
パソコンの電源を切る
4
4
そのまま席を立つ
0
0
1
2
3
4
5
6
7
図 65 来客時などで離席する場合の対応(複数回答)(n=12)
7
資料は机上に置いたままで帰宅
0
受講前
受講後
3
机上には何も置かないで帰宅する
0
図 6-6
8
1
2
3
4
5
6
帰宅時の机上書類の処置(複数回答)(n=12)
122
7
8
0
その他
2
1
システム管理者に確認する。
受講前
受講後
2
0
一応開いてみる。
0
7
開かずに削除する。
0
2
1
2
3
4
5
6
7
図 6-7 知らない人からのメール受信時の対応(複数回答)(n=12)
プライバシーマークを取得する為には、社員全員の意識改革が必要であり、ここで
は特に社員一人ひとりが気をつけるべきパソコンの管理について質問を行った。離席
する際のパソコンの設定や帰宅する際の机の整理、メールを送る際の注意事項など、
受講後の対応として、具体的な対応策が記述されており、全体的にセキュリティ意識
が高まったと考えられる。
123
③JIS Q 15001 の理解について
表 621「JIS Q 15001 の理解」の受講前と受講後のセキュリティ意識
「評価と分析」
「1.社内に知らない人を発見した時の対応」としては、図 68 に示したように、
受講前にも、
「声をかける」などの対応をとっていた受講者は多いが、受講後には、
「名
札を義務付ける」
、
「事務所内は立ち入り禁止」など、部外者への対応として、より強
固な情報セキュリティ対策が記述されている。
次に、
「2.自分のパスワードを忘れない為の方法」としては、受講前、受講後とも
に紙媒体にメモを残す受講者がほとんどであるが、受講後の「その他の項目」として、
「メモを見える場所には置かない」、
「他人にはわからないようにする」などの具体的
な対策を記述している。
「3.パスワード管理」については、パスワードの変更を行っている受講者はいる
が、ほとんどが不定期である。しかし、受講後には、
「パスワードの変更を定期的に行
う」と記述した受講者が多くなった。
「4.会社のパソコンでのプライベート HP 閲覧」に関しては、多くの受講者が経験
しているが、その理由として「業務関係」と記述している。受講後には、
「組織的に徹
底できないでいる」と問題点を記述した受講者もおり、今後の課題であるといえる。
「5.HP からダウンロードする場合の対応」としては、受講前から「必ずウィルス
チェックを行う」
、
「信頼できない場合のみチェックする」などを選択した受講者が多
く、セキュリティ意識は高い。受講後の「今後の対応」としては、
「専門部署で行う」
など、もっとも被害に合いやすいウィルス対策に関してはよりセキュリティ意識の向
上が見られる。
124
その他
0
1
1
わからない
0
特になにもしない。
0
2
受講前
受講後
1
来客者は名札等で区別でする。
3
6
声をかける。
0
4
1
2
3
4
5
6
図 68 社内に知らない人を発見したときの対応(複数回答)(n=12)
「JIS Q 15001」は、プライバーマークと密接な関係にある。そのため、個人情報を
保護するための適切な情報セキュリティレベルを維持するための質問を行った。その
結果、
「パスワード管理」や HP の閲覧・HP からのダウンロードについては、今後、セ
キュリティを意識して行うなどの記述が多くみられ、全体的にセキュリティ意識が向
上したと考えることができる。
125
④コンプライアンスプログラム(CP)の理解について
表 622「コンプライアンスプログラム(CP)」の理解の受講前と受講後のセキュリティ意識
「評価と分析」
「1.他の社員のパソコンデータを見たい時の対応」、
「2.他の社員のパソコンを
使ったことがあるか」の質問に関しては、
「本人にログインパスワードを
聞いて使う」と答えた受講者が多かった。受講後の対応として、
「使用後はパスワー
ドを変更してもらう」、
「管理者で対応する」など、個々人のパソコンに関しても、よ
り強固な情報セキュリティ対策が必要であると意識している。
「3.裏紙の使用方法」については、図 69 に示したように「特に気にせず使う」
が最も多かった。また、図 610 に示したように、
「4.不要書類等を廃棄する場合の
対応」については、
「重要書類はシュレッダーにかける」が最も多かった。受講後の対
応として、どちらの回答にも「会社でルール化」という記述があり、社員全員がセキ
ュリティ意識を持たなくてはならないと意識している。
「5.残業で遅くなり自宅で仕事をしたい時の対応」としては、データを何らかの
媒体に入れて持ち帰る受講者もいたが、受講後の対応として、
「暗号化を行う」など、
媒体を無くした場合でも、中身を見られないような対策を記述している。
126
2
その他
メモ用紙に使う
4
0
0
受講前
受講後
特に意識せず使う
5
0
3
会社の裏紙ルールに従う
4
0
0.5
1
1.5
2
2.5
3
3.5
4
4.5
5
図 69 裏紙の使用方法(複数回答)(n=12)
その他 0
0
1
そのまま捨てる
0
受講前
受講後
7
重要書類はシュレッダーする
2
1
総てシュレッダーする
1
1
会社の廃棄ルールに従う
0
4
1
2
3
4
5
6
7
図 610 不要書類等を廃棄する場合の対応(複数回答)(n=12)
コンプライアンスプログラムは、社内全員が守るべき情報セキュリティ指針である。
裏紙の使用や仕事を持ち帰る場合のルールなどを決めておく必要がある。先に述べた
ように、受講後の対応として、
「ルール化」すべきであると記述しており、全体的には
セキュリティ意識が向上したと考えられる。
127
ここまで、受講者の受講前と受講後のセキュリティ意識の変化から、本研修の
評
価を行った。その結果、受講者のセキュリティ意識は格段に高まったと考えることが
できる。より身近な普段の業務態度の中からも、セキュリティ面で考慮すべき課題は
多々存在することがわかり、今後、各企業における情報セキュリティ対策の推進者(担
当者)として、個人情報保護の仕組み作りや社内教育などを実施し、プライバシーマー
クなどの個人情報保護認定資格の取得を目指していくことであろう。
(2) 研修に対する受講者の評価アンケート
研修終了後、研修の評価アンケートを受講者に行った。アンケートは、
「全体評価」
、
「講師評価」
、
「テキスト・資料表」
、
「理解度評価」
、そして「有用性評価」の 5 項目か
らなり、それぞれ、
「非常に良い」
、
「良い」
、
「普通」
、
「悪い」
、
「非常に悪い」の 5 段階
で評価を行う。アンケートの集計結果を図 611 に示す。
有用性 0%
78%
22%
0%
理解度 0%
56%
44%
0%
研修室・マシンなどの設備 0%
56%
44%
0%
テキスト等の資料 0%
22%
22%
22%
22%
講師について
11%
67%
22%
0%
全体評価
11%
67%
22%
0%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
非常に良い
良い
普通
悪い
非常に悪い
100%
図 611 受講者の研修に対する評価
この中で、特に評価が高かったのが「有用性」の 78%である。その他、
「理解度」
、
「研修室・マシンの設備」
、
「講師について」
、そして「全体評価」で 50%以上の受講者
が「良い」と回答している。受講者のコメントとしても、
「個人情報の研修は何度が受
講したが実務的な研修で非常に参考になってよかった」
、「プライバシーマークの取得
に向けて更なる努力をしたい」などの記述があった。また、ケーススタディのグルー
プディスカッションにおいても「ケーススタディが楽しめた」
、
「グループで意見交換
128
ができて参考になりました」などの記述があり、受講者にとっても、実のある研修で
あったことが分かる。
また、受講者の中には、プライバシーマーク取得を目指す企業からも参加しており、
そのような受講者にとっても本研修が有用であったことが分かる。
(3) インストラクターのコメントについて
本研修の講師を行った緒方氏によるコメントを表 623 にまとめる。
表 623「個人情報保護のための管理者養成コース」における講師コメント
項目
所感
コメント
今回、研修期間が 2 日間で余裕あったため、深く掘り下げた内容にすることが
できた。しかし、個人情報保護という面を初めて勉強された方には難しさもあ
ったのではないかと思う。
また、本研修では、個人情報保護法の施行も間近に迫ってきていることもあり、
危機感、関心度も高く、参加企業の悩み等も伺え、自分にとっても地場企業の
悩み、考えを聞く機会となり、有意義であった。
研修参加者の様子
参加者の中には、既に取り組みをされている方、危機感を持たれている方が多
いこともあり、皆さん真剣に受講されていた。グループ討議も 2 グループに分か
れて行ったが、各業種での問題等も情報交換をされていたようで、意義のある
グループ討議であったのではないかと思う。また、研修最後にアンケートを実
施したが結果を見ても、こうしなければならないという気付きも見られ、多少
なりお役に立てたのではないかと思う。
今後の課題、改善点
(研修資料について)
今回 JIPDEC(財団法人日本情報処理開発協会)のセミナー、プライバシーマ
ーク関連の資料をベースに実施したが、参加者への連絡が遅れた為、電子ファ
イル閲覧での研修となってしまいました。メモ等も取れない、参加者の中には、
パソコン操作がわからない等問題があり、早いタイミングでの連絡等が必要で
あったと感じる。
(対象者について)
本研修参加者の中には、パソコンをあまり触ったことがないという方もおられ
た。現状、企業へのパソコン導入はかなり進んでおり、管理者としては、ある
程度の知識は管理上必須であると考えます。研修時もこれらの知識がある上で
説明した経緯もあり、理解度にばらつきがあったではと思う。
今回の研修は、ニーズ調査を反映して実施したので、受講者の多くが興味をもって
129
いる研修内容になった。講師のコメントからも受講者の真剣さがわかる。また、個人
情報保護法の施行を間近に控え、多くの受講者が今後の個人情報保護対策、プライバ
シーマーク取得の取り組みをどのようにすればよいか悩んでおり、受講者のコメント、
講師のコメントにもあるように、実例をもとにしたグループディスカッションは大変
有意義なものであったと考える。
6.3.2
「セキュリティ・プロフェッショナルコース」の評価・分析集計結果
(1) 受講者のアンケート・レポートの評価結果
本研修では、受講者の学習進捗度合いを測るために、研修終了前と研修終了後にス
キルチェック問題を行った。
「セキュリティ・プロフェッショナルコース」における評
価結果を述べる。
①事前スキルチェック
受講前に行なった事前スキルチェックの結果を表 624 に示す。
表 624 受講前のスキルチェック表と区分表
「評価と分析」
事前スキルチェックでは、9区分、16項目の設問を行った。受講前から
正解率が高かった区分は「セキュリティシステムの運用・管理」の89%であった。
これは、
「6.1.2 受講者の特性」で述べたように、ほとんどの受講者が普段の業務にお
いてシステムの運用・管理に従事しているため、受講前から知識があったと考えられ
る。一方、最も正解率が低かったのが、
「3.コンピュータシステム設計・管理」
、
「5.
暗号鍵・認証」
、そして「8.不正アクセス探知」であり、正解者は一人もいなかった。
これらの区分は、他の区分に比べて情報セキュリティ技術だけでなく、ネットワーク
130
技術や OS 技術なども必要であるため、難易度が高く、普段の業務の中でも、あまり取
り扱っていない技術と考えられる。
事前スキルチェックにおける個々人の正解率の平均は 24%であり、特に高度な知
識・技術に関しての点数が低い。本研修では、このような高度な知識・技術に対する
講義を行うことから、カリキュラム内容、想定した受講者レベルとほとんど相違はな
いと考えられる。
②事後スキルチェックについて
事後スキルチェックでは、事前スキルチェックと同じ 9 区分でスキルチェックを行
った。設問数については、事前スキルチェックより 10 項目増やし、26 項目で行った。
難易度は事前スキルチェックと同程度である。事後スキルチェックについての結果を
表 625 に示す。
表 625 受講後のスキルチェック表と区分表
131
「評価と分析」
研修前と研修後における個人の正解率をグラフに表したものを図 612 に示す。
全体
A
B
C
D
受講前
受講後
E
F
G
H
I
0%
20%
40%
60%
80%
100%
図 612 研修前と研修後における区分毎の正解率(n=9)
受講前には、ほとんどの受講者が 25%程度の成正解率であったが、受講後には、80%
近くまで正解率が伸びている。特に、受講前に正解率 0%であった F 氏は受講後には
65%まで正解率が上っている。また、全問正解の受講生も 2 人おり、授業の内容を十
分理解できているものと考えることができる。
次に、事前スキルチェック問題と事後スキルチェック問題の区分毎の正解率を表し
たグラフを図 613 に示す。
132
全体
情報セキュリティの監査制度/基準
セキュリティシステムの運用・管理
プロジェクトマネジメントの基礎
システム実装メソドロジ
受験前
受験後
不正アクセス探知
暗号鍵・認証
ファイアウォール
ネットワークインフラ
コンピュータシステム設計・管理
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
図 613 事前スキルチェックと事後スキルチェックにおける正解率(区分毎) (n=9)
事後スキルチェックにおける全体の正解率の平均は 85%であり、事前スキルチェッ
クと比べて 61%も上っている。このことから、ほとんどの受講生が授業の内容を理解
していることが分かる。また、個々の区分を見ても、
「6.ファイアーウォール」につ
いては全員が正解している。そして、事前スキルチェックでは正解者が 0 人であった
「3.コンピュータシステム設計・管理」
、
「5.暗号鍵・認証」
、そして「8.不正ア
クセス探知」では、正解率はそれぞれ、85%、82%、95%であった。
本研修では、
「CompTIA Security+」を取得する為の知識習得を目標としていること
から、情報セキュリティに関する知識としては広範囲の内容であった。図 613 からわ
かるように、受講前における受講者の知識範囲には偏りがあったが、受講後の正解率
をみると、バランスのとれた知識を得ていることが分かる。このことからも、各受講
者が、本研修の目標である 9 区分の知識を理解できていると考えることができる。
(2) 研修に対する受講者の評価アンケート
図 614「セキュリティ・プロフェッショナルコース」における受講者の研修に対す
る評価アンケートの結果を示す。
133
理解度 0%
56%
研修室・マシンなどの設備 0%
56%
33%
11% 0%
44%
0%
非常に良い
良い
テキスト等の資料 0%
78%
22%
0%
普通
悪い
非常に悪い
講師について 0%
67%
全体評価 0%
0%
33%
44%
10%
20%
44%
30%
40%
50%
60%
70%
0%
11% 0%
80%
90%
100%
図 614 研修に対する受講者の評価アンケート結果(n=9)
特に評価が高かったのが「テキスト等の資料」の 78%である。その他、ほとんどの
項目についても「良い」とした受講者が多かった。受講者のコメントとしては、
「当初
は情報セキュリティ対策への知識や情報収集が目的だったが講義が進むにつれて面白
くなってよかった」
、「他のセミナーで聞いたときは理解できなかった用語の意味や業
務上での運用管理など大変参考になった」などの記述があり、授業内容も分かりやす
かったことが伺える。また、
「資格取得にチャレンジしたいと思う」などの記述もあり、
そのような受講者にとっては、今回の研修が非常に有用であったことが分かる。しか
しながら、
「理解度」
、
「全体評価」では、どちらも11%の受講者が「悪い」と回答し
ている。
「基礎的なことよりも実践的な解説にもっと時間をとってほしかった」
、
「座学
が多かったので実習を交えた内容のほうがよかった」などの記述があった。
「6.1.2 受
講者の特性」で述べたように受講者のほとんどは、それぞれの企業においてシステム
開発や情報セキュリティに関する業務を担当していることから、実際にコンピュータ
を扱いながら、技術の習得を目指すことも今後必要である。
(3) インストラクターのコメント
「セキュリティ・プロフェッショナルコース」におけるインストラクターのコメン
トを示したのが表 626 である。
134
表 626 インストラクターのコメント
項目
所感
コメント
本講座の理解度を計るために講座の前後で情報セキュリティに関する試験を
行いました。受講前には正解率が24%であったのに対し、受講後では正解率
が85%へアップしており、十分な成果があったと思っております。
研修参加者の様子
資格試験の知識を習得することから、用語や知識に関する講義が中心で、質問
は少なかったですが、受講者の身近な問題である「個人情報保護法」
、
「デジタ
ル署名技術」
、そして「ハードディスクのデータ消去や復元」については、多
くの質問を頂きました。
今後の課題、改善点
今後、同様の研修を行う場合には、深くネットワーク知識をお持ちの方もしく
は実務者であるか、システムの企画・運営を中心に行っている方かを明確に分
けた方が良いかもしれません。
本研修は、資格試験のための知識を取得する目的で実施したが、情報セキュリティ
に関する幅広い知識を習得するためには、3 日間という日程は短期間であったかもしれ
ない。しかし、事後スキルチェックで行った成果測定では、非常に高い正解率が得ら
れ、当初の目的から考えると、有用な研修であったと考える。
6.3.3
「シンポジュウム」の評価・分析集計結果
本シンポジュウムの終了後、聴取者にシンポジュウムの感想や意見、今後の取り組
みについてのアンケートを行った。
図 615 は、シンポジュウムの内容について、どのように感じたかを質問し、その結
果をプロットしたグラフである。
135
無回答
2%
参考にならなかっ
た
0%
あまり参考になら
なかった
6%
大変参考になった
28%
参考になった
64%
図 615 シンポジュウムについて(n=63)
アンケート回答者の 92%の聴取者が「大変参考になった」
、
「参考になった」と回答
しており、本シンポジュウムが聴取者にとって意義のあるものであったと考えられる。
「あまり参考にならなかった」と回答した聴取者はアンケート回答者の6%である
が、その理由としては、次の図 616 で示すように、個人情報保護法の施行をまじかに
控えているため、情報セキュリティ対策(個人情報の漏洩対策)については、すでに
取り組んでいた企業の聴取者がいたためと考えられる。
次に、聴取者の企業において、情報セキュリティ対策の取り組みの状況について質
問した。その結果を図 616 に示す。
136
無回答
2%
まだ取り組まな
くてよい
0%
近い将来取り組
みたい
14%
すぐにでも取り
組みたい
23%
既に全社的に取
り組んでいる
61%
図 616 情報セキュリティ対策の取り組みについて(n=63)
「既に全社的に取り組んでいる」と答えた聴取者がアンケート回答者の 61%であり、
半数の以上の企業で、何らかの情報セキュリティ対策をしていることがわかる。
次に、
「すぐにでも取り組みたい」
、
「近い将来取り組みたい」と回答した聴取者はア
ンケート回答者の 37%であった。情報セキュリティ対策が企業にとって重要であると
の意識が伺える。
そして、
「まだ取り組まなくてよい」と回答した聴取者はアンケート回答者の 0%で
あり、ほとんどの企業において、情報セキュリティ対策についての取り組みを講じた
いと考えていることが分かる。
図 616 の「すぐにでも取り組みたい」
、
「近い将来取り組みたい」と回答した聴取者
の中で、
「推進者が既にいるか、いないならばどのようにしたいか」を質問した。その
結果を図 617 に示す。
137
今のところ考え
ていない
4%
無回答
8%
推進者(担当者)
は既にいる
42%
将来養成したい
21%
すぐに養成した
い
25%
図 617 推進者が既にいるか(n=23)
「情報セキュリティ対策を行う推進者(担当者)が自社内に既にいる」と回答した
聴取者は 42%であった。これは、
「情報セキュリティ対策の取り組みはまだだが、推進
者(担当者)は既にいる」と考える聴取者の割合であり、今後、情報セキュリティ対
策を行う企業は増加するものと考えられる。
また、
「すぐに養成したい」
、
「将来養成したい」と回答した聴取者は、46%であった。
このことから、情報セキュリティ対策の重要な項目の一つとして、
「推進者の養成」を
考えていることが分かる。
今回のような情報セキュリティに関するシンポジュウムが実施されれば、今後も参
加したいかを質問した。その結果、アンケート回答者の 76%が「参加したい」と回答
した。その理由を示したのが図 618 である。
138
その他
6%
世の中の動向がわかる
59%
地場の先進事例がわかる
39%
企業の動向がわかる
18%
地元の企業が主体となっている
20%
県警と共同している
51%
0%
10%
20%
30%
40%
50%
60%
70%
図 618 今後もこのようなセミナーに参加したい理由(複数回答)(n=49)
最も支持を得た項目が、
「世の中の動向がわかる」の 59%であった。また、
「県警と
共同している」が 51%であり、官の立場での意見も重要度の高い情報であると考えて
いることが伺える。
その他の項目では、
「講演内容が良かった」や、「自社のレベルが認識できる」など
の記述があった。
「テーマにより参加したい」と回答した聴取者に、どのようなテーマであれば参加
したいかを記述してもらった。その結果をまとめたのが表 627 である。
表 627 シンポジュウムで参加したいテーマ
No
参加したいテーマ
1 内部教育の具体的方策等。
2 ISMS、セキュリティポリシー策定、左記研修会(経営者向け・担当者向け)
、社内研修計画。
3 学校への応用事例を知りたい。
4 学校における「情報セキュリティ」
。
5 セキュリティトラブル事例とその原因。
6 携帯電話による犯罪対策
7 一般的なネット犯罪(生徒に対応したもの)
8 ウィルス対策
9 スパイウェア対策または、スパイウェアによる被害について
139
情報セキュリティに関するテーマが多いが、
「ISMS、セキュリティポリシ策定」
、
「ウ
ィルス対策」などのより具体的な情報セキュリティ対策の要望が強い。さらに、
「学校
における情報セキュリティ対策」なども記述されていて、教育現場においても情報セ
キュリティ対策が必要であることがわかる。
6.4
分析と考察
情報セキュリティ対策の推進は、企業におけるセキュリティポリシを明確にし、こ
れを実現するための環境整備と、これを運用する管理者による適切な運用管理が行わ
れてはじめて実現するものであることから、本事業では、企業における情報セキュリ
ティ推進のためのニーズを調査して、IT 企業及びユーザ企業の人材育成カリキュラム
を作成し、この中からそれぞれ最もニーズの多い内容による教育訓練を行うとともに、
IT 企業・ユーザ企業のギャップを埋めるためのシンポジュウムを実施した。
以下に、その分析と考察を述べる。
(1) 研修に対する評価
①ユーザ企業における情報セキュリティ管理者の養成について
ユーザ企業における情報セキュリティの推進は、当面、本年4月より施行される「個
人情報保護法」への対応が緊急のニーズであることから、
「個人情報保護」についての
研修を実施した。本研修の内容は、
「6.1.4 教育訓練の内容(1)」で述べたとおり
・個人情報保護法の考え方と関連法規
・プライバシーマーク制度
・JIS Q 15001 の内容
・コンプライアンスプログラム(CP)
について、これを理解し実践できるようになることを目標にしたが、
「6.3.1 個人情報
保護のための管理者養成コース」の評価結果に見られる通り、いずれの目標について
も、自社の情報セキュリティ対策に対する具体的な対策を明確にしていた。このこと
は、講義内容もさることながら、グループ討議による意見交換で相当理解を深めたと
考えられ、これら交換した情報により情報セキュリティ対策を実践するための知識や、
具体的な対応策を考える力を身につけたと思われる。
しかし、本研修参加者の中には、パソコンをあまり触ったことのない受講者があり、
研修成果の上がらない受講者もあったが、情報セキュリティ管理者としては、ある程
度のパソコン知識は必須条件であるため、如何に受講者レベルを合わせるかが課題で
あることも実証された。
140
②IT 企業におけるプロフェッショナル人材の育成について
当地域における IT 企業における情報セキュリティ・プロフェッショナル人材は、IT
スキル標準の「IT スペシャリスト」専門分野「セキュリティ」のレベル 2 の人材養成
ニーズが高いことから、これをカバーできるベンダー資格を取得するための知識につ
いての研修を実施した。本研修では、
「6.1.4 教育訓練の内容(2)」で述べたとおり
・コンピュータシステム設計
・ネットワークインフラ
・ファイアーウォール
・暗号鍵・認証
・不正アクセス探知
・システム実装メソドロジ
・プロジェクトマネジメントの基礎
・セキュリティシステムの運用・管理
・情報セキュリティの監査制度/基準
を理解でき、これを実行できるようになることを目標としたが、
「6.3.2 セキュリティ・
プロフェッショナルコース」の研修実施前、実施後のスキルチェックで見られるとお
り、殆どの項目について、格段のスキルアップに繋がった。
本研修では、IT 企業における専門家育成の目的から、現在システムの構築に携わっ
ている受講者を募集したが、現在の業務ではセキュリティシステムの運用管理の経験
はあるが、設計・管理等に関連する業務に携わっていないことからの結果であると思
われる。
これからの IT 企業においては、情報セキュリティに関するサービスも提供していく
必要があり、よりレベルの高い知識・技術が要求されるため、その指標として今回採
用したベンダー資格「CompTIA Security+」は、有効な指標の一つであると思われる。
今回の研修では、システムの企画運営を中心に行っている受講者のため、大きな効
果が実証できたが、今後、同様の研修を行うためには、ネットワークについての知識
が豊富な担当者もしくは実務者か、今回のようなシステムの企画運営を中心に行って
いる受講者かによって、学習の内容(深さ)が異なることから、これを明確に区分し
て実施する必要があると思われる。
受講者からの事後アンケートで、ベンダー資格「CompTIA Security+」取得を目指し
たいとする受講者もいたことから、本研修は、システムの企画運営を中心に行ってい
る担当者の意識高揚に繋がるものであることが実証できた。
③IT 企業とユーザ企業のギャップを埋めるシンポジュウム
本シンポジュウムは「6.1.4 教育訓練の内容 (3)シンポジュウム」で述べた通り、IT
企業とユーザ企業には、情報セキュリティに関する技術や意識に大きな差があること
141
から実施したものであるが、
「6.3 評価結果(3)シンポジュウムの評価・分析集計結果」
に基づく参加者の現場における情報セキュリティ対策に対する現状及びニーズは、次
のように整理できる。
情報セキュリティに関する現状については、個人情報に関するトラブル・犯罪が拡
大している。また、ハイテク犯罪の被害に遭う危険性も高まっている。ユーザ企業に
おいても対策が必要である。
県内の先進企業(ISMS 取得企業)による情報セキュリティ対策のポイントとしては、
セキュリティマネジメントシステムを確立(ISMS、プライバシーマーク)し、PDCA で
維持・管理すること、全社員教育、教育計画の立案・実施、事故発生時の対策強化と
して、手順のマニュアル化が必要である。
従って、企業内における今後の対応としては、旗振り役の育成・確保及び経営層の
意識改革が必要である。また、システム管理者への勉強の機会の提供、システム管理
者・SEの養成が必要である。
地域における今後の対応としては、これらの人材育成のために、質の良い研修やセ
ミナーを提供する必要があることが認識された。
(2) 人材育成基盤について
研修に対する評価結果及び委員会の委員の意見、熊本県警察・熊本県・熊本保険科
学大学等へのヒアリングを総合して人材育成基盤を評価すると、今回の人材育成基盤
策定に当たっては、熊本県情報セキュリティ推進協議会のメンバーから熊本県警察、
熊本県、地域の IT 企業、ユーザ企業が連携して委員会を設置し、参加者の意見やノウ
ハウを生かして策定したもので、その施策については、地域の企業からアンケートを
取り、ニーズを適切に把握・分析しており、研修結果から見ても充分なフィージビリ
ティが確保できる研修内容となっていた。
このことは、前述の研修に対する評価結果にも見られる通り、地域企業の情報セキ
ュリティ推進人材の効果的なスキルアップにつながっていた。
情報セキュリティの推進は、地域の IT 産業が高度な情報セキュリティ人材を育成・
確保し、それらの人材がユーザ企業に情報セキュリティサービスを提供することによ
って可能になる。一方、ユーザ企業は、自社の情報セキュリティを推進できる人材を
育成・確保することができれば、それらの情報セキュリティサービスを利用する機会
が増加する。特に、セキュリティ監査・管理という IT 企業・ユーザ企業共通の大きな
課題となる分野において、両者の交流が深まり意識が高まれば、需要と供給の両面か
ら情報セキュリティサービスの拡大が見込まれ、地場全体の情報セキュリティのレベ
ルの底上げにつながると考えられる。
情報セキュリティという分野は、犯罪に関連する可能性がある危険な側面を有して
いるため、熊本県警察をはじめとして、県レベルでの人材育成支援も必要となる。こ
ういった IT 産業とユーザ企業の交流、および熊本県から民間企業への支援などの官民
交流、さらにその交流ネットワークを拡大していくことは、情報セキュリティを中心
142
とした IT 人材育成の基盤形成へとつながっていくと考えられ、今回構想として構築し
た人材育成基盤の実践性は、有効であったと考えられる。
143
7.
7.1
まとめと今後の取組み
事業の成果
本事業で実施した地域 IT 産業(IT 企業及びユーザ企業)における情報セキュリティ
人材ニーズ調査により、図 433 及び表 44 に示すように熊本県地域のスキルニーズマ
ップを作ることができた。情報セキュリティ人材育成ニーズについて図 426 に示され
る様に非常にニーズは高いが、その育成・確保では十分なレベルに達している企業は
13.6%しかなく情報セキュリティ人材ニーズが非常に高いことが示され、情報セキュ
リティ人材を育成する人材育成基盤が求められている。
そして、情報セキュリティ人材ニーズを基に人材育成基盤の検討を行った。人材育
成を効果的に実施継続するためには、実施する主体と仕組みが重要なことから図 53
に示すように人材育成基盤の概略をまとめた。そして目標とする人材育成な内容とし
て図 54 に示すように人材育成基盤のフレームを定めることができた。熊本県地域で
の情報セキュリティ人材ニーズを基に IT スキル標準研修ロードマップから本人材育成
基盤で採用する教育訓練の内容を決めることができた。
IT 企業及びユーザ企業がともにニーズの高いセキュリティ監査・管理に取り組むこ
とを契機として、地域内の情報セキュリティレベルを底上げし、それを通じて地域に
おける情報セキュリティサービスの需要拡大を図ることで、さらなる人材育成のモチ
ベーションにつなげていくことが重要と考えられることから、セキュリティシステム
を構築・提供する IT 企業の人材育成に加えて、セキュリティ監査・管理に取り組むユ
ーザ企業の情報セキュリティを推進する人材の育成が重要である。この人材は、IT ス
キル標準の範囲に含まれていないことから図 516 に示すように熊本県のニーズに基づ
く研修ロードマップに特別講座を追加し、5.3.2 節でそのセキュリティ監査基礎とセキ
ュリティシステム運用の研修カリキュラムを作成できた。
図 516 に示す熊本県地域ニーズに基づく研修ロードマップから IT 企業向けとユー
ザ企業向けのコースを選択して教育研修を実施した。IT 企業向けでは、システム開発、
管理・運営を行う IT 技術者を育成する「セキュリティ・プロフェッショナルコース」と
ユーザ企業向けでは情報セキュリティ推進員を育成する「個人情報保護のための管理
者育成コース」を実施した。また、地域の情報セキュリティレベルを底上げし、情報
セキュリティに取り組む契機となることを狙いとして IT・ユーザ企業の管理職・経営者
等を対象としたシンポジュウム「個人情報保護法と情報セキュリティ」を実施した。
「個人情報保護のための管理者育成コース」では、受講生の事前・事後アンケート結
果図 63 から図 610 に示すように高い効果が得られた。また、図 611 に示すように
一部資料が多すぎ受講生に混乱を与えた場面が会ったが受講生の高い評価が得られた。
そして、表 623 に示すようにインストラクターも高い評価を与えている。
「セキュリティ・プロフェッショナルコース」では、受講生に事前・事後のスキルチ
ェックを行い、図 612 及び図 613 に示すように事前に比べ事後の正解率が非常に高
く研修効果の高さが示された。また、図 614 に示すように受講生の高い評価が得られ
た。そして、表 623 に示すようにインストラクターも高い評価を与えている。
144
シンポジュウム「個人情報保護法と情報セキュリティ」では、図 615 から図 617
に示すように高い評価が得られた。図 617 に示すように推進(担当者)は既にいるとい
う回答が 42%に達しているが図 426 で示したとおり、社内の情報セキュリティ人材
の育成・確保は十分であるとの回答は 13.6%であることを考えると、推進者が既にいる
と答えた回答でも満足すべき状況にないといえ、過半数の回答がすぐに養成したいと
いうことができる。この点から、本シンポジュウムは、地域の情報セキュリティレベ
ルを底上げにつながり、また、情報セキュリティに取り組む契機となり、情報セキュ
リティ人材育成の必要性を認識してもらうことができた。
以上に示した成果により実施した研修に高い評価が得られ地域企業の情報セキュリ
ティ推進人材の効果的なスキルアップにつながった。そして、本人材基盤の以下に示
す趣旨が実証された。
地域のIT産業が高度な情報セキュリティ人材を育成・確保し、それらの人材が
ユーザ企業に情報セキュリティサービスを提供することによって可能になる。一
方、ユーザ企業は、自社の情報セキュリティを推進できる人材を育成・確保するこ
とができれば、それらの情報セキュリティサービスを利用する機会が増加する。特
に、セキュリティ監査・管理というIT企業・ユーザ企業共通の大きな課題となる
分野において、両者の交流が深まり意識が高まれば、需要と供給の両面から情報セ
キュリティサービスの拡大が見込まれ、地場全体の情報セキュリティのレベルの底
上げにつながると考えられる。
145
7.2
課題・改善点
情報セキュリティへの関心・ニーズは非常に高く情報セキュリティ人材育成ニーズ
も非常に高いことが示された。
しかし、
シンポジュウムの参加者は 85 名と多かったが、
実施した研修への参加者は定員に満たなかった。
「個人情報保護のための管理者育成コ
ース」の受講生は 12 名、
「セキュリティ・プロフェッショナルコース」の受講生は 9 名
という数字は多いとは言いがたい。しかし、募集期間が短かったこと実施期間が年末・
年始であったことを考えると企業としては受講者を出しにくい状況といえ、今後はも
っと参加者が増えると考えられる。また、本事業とは別に今年度前期に類似の教育研
修を計画したが、受講生が集まらず中止に至った現実を考慮すると、状況は大きく改
善されたともいえる。
本事業で人材育成基盤の構築はできたが、基盤の効果的な運用すなわち、情報セキ
ュリティ人材育成のニーズを実際の教育研修につなげることが今後の課題となる。本
課題を改善するため以下の実施が必要となる。
(1) 本人材育成基盤の IT 企業とユーザ企業の PDCA(交流)サイクル
本人材育成基盤の構築で熊本地域のニーズに基づく研修ロードマップができたので、
この研修ロードマップに基づき IT 企業及びユーザ企業のコアとなる情報セキュリティ
人材を育成し、高度な情報セキュリティスキルを IT 企業及びユーザ企業の人材の相互
交流・情報セキュリティの推進を図れるようになる。この仕組みの有効性が情報セキュ
リティへの取り組みを活発化し、更なる情報セキュリティ人材育成にニーズにつなが
る。
(2) 早期の教育研修計画と地場講師の育成
教育研修予算は、前年度末に立てる企業が多い。このことから前年度末には、次年
度の情報セキュリティ人材育成計画を示すことが受講生の拡大につながる。情報セキ
ュリティは全国的にニーズが高くインストラクターの確保に困難があり、その講師謝
金も熊本地域から見ると高額である。本人材育成基盤を通して、効果の高い教育研修
は、費用も高額になることについて受講生を派遣する企業に周知・徹底することが必要
になる。しかし、できるだけ低コストであることが望まれることから、今回は実施で
きなかったがeラーニングと集合教育の組み合わせでコストを下げることや講師謝金
の地域レベル化を考慮することが必要になる。この点で、今回実施した2件の教育研
修は、地場の講師で実施した。講師謝金も大都市圏より安価にでき、地場の講師の高
度化にもつながり継続した教育研修の実施も容易になる。
146
7.3
今後の展開
図 71 に示すように人材育成基盤の役割を果たす主体が既に整っており、今回の事
業で熊本県地域のニーズに基づく研修ロードマップも作成でき、図 54 に示す人材育
成基盤のフレームができた。
主体分類
人材育成機関
(中核機関)
位置づけ・役割
主体名
教育訓練を供給
熊本ソフトウェア株式会社
地域企業
地域の産業構造の実態や地
域ニーズの分析・把握
協議会会員企業
警察
最新の技術動向・犯罪動向
への対応
熊本県警察本部ハイテク犯罪
対策室
国・自治体・
教育機関
地域におけるIT産業の振興
やIT人材の育成との連携
九州経済産業局、九州総合
通信局、熊本県、県内の大学
「熊本県情報セキュリティ推進協議会」
をベースに組織化
図 71 人材育成基盤の役割
今後、熊本県情報セキュリティ推進協議会が図 71 に示す情報セキュリティ人材育
成に関係する実施主体と連携し本人材育成基盤の PDCA サイクルを通して IT 企業及び
ユーザ企業の人材の育成を実施していく。このことにより、地域の IT 産業が高度な情
報セキュリティ人材を育成・確保し、それらの人材がユーザ企業に情報セキュリティ
サービスを提供することによって可能になる。一方、ユーザ企業は、自社の情報セキ
ュリティを推進できる人材を育成・確保することができれば、それらの情報セキュリ
ティサービスを利用する機会が増加する。特に、セキュリティ監査・管理という IT 企
業・ユーザ企業共通の大きな課題となる分野において、両者の交流が深まり意識が高
まれば、需要と供給の両面から情報セキュリティサービスの拡大が見込まれ、地場全
体の情報セキュリティのレベルの底上げにつながると考えられる。そして、この PDCA
サイクルを継続し、熊本県地域の情報セキュリティの向上と情報セキュリティ人材育
成の向上を図っていく。
147
人材育成基盤推進担当による事業評価と今後の展開
8.
8.1
事業評価
本事業は情報セキュリティを担当する人材育成に関して IT 企業とユーザ企業の双方
(以下「各企業」という)を対象とすることにより IT サービスを提供する側の人材を
育成できる基盤の構築を目指したものであり、当初の計画に沿って遂行され、特に各
委員、事務局及び関係者の人材育成の必要性に係る共通認識、情報交換の場ができた
ことは人材育成の基盤構築として有意義であった。事業の内容としては関心のある企
業とそうでない企業の差があることは否めない。今回は限られた時間の中で充分に周
知できなかった事情もあるが、情報セキュリティについても、単に人材の育成につい
ても一朝一夕にできることではなく、今回構築した基盤環境を更に継続して整備して
いく必要がある。
(1) 各企業の情報セキュリティへの取り組み状況及び人材育成ニーズの把握
①アンケート調査
有効回答(図 23)が約 1/4 程度しかないが、内容がセキュリティに関することで
あることと項目数が多く多技にわたることを考えると少ないとはいえない。ただし、
回答数が少ないと少数の特異意見により結果が偏向することも考えられるので今後も
アンケートを実施する場合は、更に協力を求める必要がある。今回の集計結果分析
(4.4)により、例えば各企業の情報セキュリティに対する取り組みや意識が明確にな
ったことは今後の施策に大きな成果となった。
・情報セキュリティ対策の現状把握
IT 企業
:取り組み(図 49)と対応状況(図 411)が明確になった
ユーザ企業:取り組み(図 422)と情報セキュリティサービスの利用状況(図
425)が明確になった
・人材育成に係る研修ニーズ
IT 企業
:育成したい人材(図 412)と研修ニーズ(図 413)が 明確になった
ユーザ企業:育成したい人材(図 426)と研修ニーズ(図 428) 及び教育研修方
法(図 429 から図 432)が明確になった
情報セキュリティ技術者(IT 企業)及び推進者(ユーザ企業)についてのスキルニ
ーズマップ(図 433)が明確になり人材育成計画の策定に寄与する
②ヒアリング調査
官民の情報セキュリティ担当者に直接ヒアリングを行い、まとめたことは初めての
試みであり、県内の情報産業にどのようなニーズがあるのか、言い換えるとどのよう
な人材が求められているのかということが把握でき、今後の人材育成についての具体
148
的な状況とニーズが明確になった
(2) 人材育成基盤の構築
①人的ネットワークの構築
産学官にまたがる関係機関・団体の役割が認識され、人材育成基盤に関わる人的ネッ
トワークを構築することができた。
②研修ロードマップの策定
情報セキュリティの人材育成において、熊本県のニーズに基づいた研修ロードマッ
プ(図 515)の策定がなされたことにより県内のニーズと全国標準(IT スキル標準)
の関係、位置付けが明確となり今後の研修における指針が示された。
③カリキュラムの策定
今回のカリキュラムは熊本県のニーズに基づいたものであり、受講者の反応も良い
ものであったが、
「個人情報保護のための管理者養成コース」で使用したテキストにつ
いては不評であり検討が必要である。また研修の期間としては、ニーズ調査では3日
間を希望する回答がほとんどであったが、インストラクターの感想としては時間的に
余裕がほしいとのことで、内容と時間、実習の割合などについて更に検討する必要が
あることがわかり、今後の具体的な検討資料として活用できる。
8.2
今後の展開
本事業は情報セキュリティを担当する人材育成に関して各企業を対象とすることに
より IT サービスを提供する側の人材を育成できる基盤の構築を目指したものであり、
従来からあった全国一律のカリキュラムではなく、県内企業のアンケートと IT スキル
標準を勘案して作成されたものである。今後は、人材育成基盤の中核である熊本県情
報セキュリティ推進協議会の場で、その点をアピールするとともに企業の幹部が情報
セキュリティ及び人材育成に理解を深めるよう交流の場を広げ、カリキュラムを受講
した人材の活用についても、さらに事業を推進する。
①人材育成
本事業により情報セキュリティ人材の状況把握、育成ニーズの把握及び研修ロード
マップが示されたことで、今回構築された人材育成基盤を活用できる環境が整った。
今後は、細かな項目の見直しとアピールによる、いわゆる PDCA サイクルにより事業を
継続することにより、これを県内に普及させることを目指す。
②健全な情報セキュリティの構築
人材を育成しても、その活躍の場がなければ本事業の継続は困難である。したがっ
て地方自治体、学校、各企業が相互に連携し、情報セキュリティに関するアドバイザ
149
制度を構築するなど、人材活用をはかる。このことにより地域におけるシステム構築
を上流工程から手がけることになり、人材育成の必要性と価値を高めるとともに、各
ユーザの特質に合わせたセキュリティシステムの提言が可能となり、もって健全な情
報セキュリティの構築を図ることができる。
③情報セキュリティ人材育成基盤への期待
本事業で構築された人材育成基盤は人材の育成方策を示すにとどまらず、産官学の
情報セキュリティに関する情報交換の場として今後大きな役割を担うことが期待され
る。自治体、学校等の公共機関においても情報セキュリティ公的分野での人材は必要
であるが、より高度な問題となると専門の技術者に頼る場面があると思われる。この
ような相談の受け皿として的確なアドバイスをできるアドバイザ制度の構築を働きか
けていく。
150
《添付資料》
151
Fly UP