同じくこちらもボツ原稿です。読んでいただくとわかりますが、こっちはあまり内容がないレポートなので、正直ボツにされてもしかたないなぁ、と思ってたんですが(笑)
-- ここから
CEATEC JAPAN 2004・3日目の7日は、「情報セキュリティ対策としての人材育成」と題し、SEA/J(セキュリティ・エデュケーション・アライアンス・ジャパン)の持田啓司氏が、昨今の情報セキュリティ業界における技術者不足の問題や新たな人材育成における課題について講演を行った。
SEA/Jには現在マイクロソフトや大塚商会・ソフトバンクBBら9社が正会員として名前を連ねているが、これらの会社は従来からそれぞれ単独でセキュリティに関する技術者の教育コースを持っており、それなりに参加者も集めている。しかしなぜそれでも技術者が不足していると言われているのかについて、持田氏は「あくまで仮定の話だが、情報系大学院の整備の遅れや、理系学生が就職先としてIT系企業を避ける動きが最近目立つこと、それにIT系企業がOJTによる職人的な教育にばかり依存していることなどが原因ではないか」とその理由を分析した。
これに加え、国内の雇用構造の変化により全労働者に占めるパート・アルバイトの割合が増加していることに伴い、「例えばフリーターと正社員を比較すると、明らかにフリーターの方がパソコンに関するリテラシーが低い」といった問題が起きていることや、いわゆるオフショア開発の普及によりインドや中国に開発業務などが移管していることが、国内の技術者のスキル低下につながっているのではないかという仮説を同氏は示した。
そうはいっても、今や日本国内でIT化していない企業はほとんどないし、会社としてセキュリティに関する社員教育に取り組んでいる企業も少なくない。それでもセキュリティに関する問題が相次いでいることについても持田氏は「頭でわかっていても、それを実行できるかどうかは別問題だ」と語り、例えばパスワード管理の徹底やアクセス制御により権限の最小化を行うといったことが、実際の現場では徹底されていないことが多いことを問題視。
また個人情報保護法の施行に向けた体制整備についても、多くの企業や市町村でそもそもプライバシーポリシーなどの規定が設けられていない、もしくは規定があっても運用が徹底されていないといった問題があるとして、規定を定めることはもちろん、一度定めた規定の運用を徹底すること、またシステムへの投資と人的な運用のバランスを取ることなどが重要だと語った。
そして同氏はセキュリティに関する人材育成の意味について「個別の脅威についてはシステム的な対応で防げるが、総合的に脅威を防ぐには人的教育しか方法がない」と語ったほか、「本来人材教育とシステム対応は人材教育の方が優先順位が上であり、ウイルス対策やログの収集など人材でカバーできない部分について補完的にシステムに頼るというのが本来の姿だ」と述べ、教育の徹底こそが総合的なセキュリティ対策として最も有効だと参加者に訴えた。
特にSIerなどにおいて、どうしても目先の顧客の動向に振り回された対症療法的な教育に偏りがちになる傾向については、長期的な市場のニーズに応えられなくなってしまうことに加えて、ソフト開発プロセスの品質向上のためのモデルとしてカーネギーメロン大学が提唱し、最近日本でも普及しつつあるCMMI(Capability Maturity Model Integration)においても「そのような教育体制ではレベル2までの認証しか取得できない」として、経営者が長期的な経営戦略に沿って人材育成を行っていくべきだと持田氏は主張。
また企業内におけるデータのアクセス制御など、本当に企業活動の根本に関わる部分についての最終的な判断はユーザ側でないとできないということからも、持田氏はユーザ企業がセキュリティ対策に関するスキルを持った責任者を抱えることの必要性を訴えたほか、「企業にぴったり合ったセキュリティ体制や、そのために必要な教育を判断できるのは経営者だ」と述べた。そしてそのために技術者だけでなく、経営者層に向けた教育カリキュラムをSEA/Jとして用意していることもアピールしていた。
