求められる情報セキュリティ教育：情報セキュリティ大学院大学 田中英彦教授

　「情報セキュリティ教育の現状はお寒い」。情報セキュリティ大学院大学の田中英彦教授はこう指摘する。情報セキュリティの重要性は認識されているのに、その人材を育てることが立ち後れているのではないかというのだ。

　こうした現状に対して情報セキュリティ大学院大学では、文部科学省2007年度「先導的ITスペシャリスト育成推進プログラム」に「研究と実務融合による高度情報セキュリティ人材育成プログラム」を申請、これが採択されたことで、セキュリティ教育の新たな取り組みを始めようとしている。今回、同プログラムについて主導する田中教授に話を聞いた。

このプログラムはどういったものか

　しっかりとしたセキュリティを引っ張っていける人材を育てようとするものだ。これには2種類の観点があり、1つは、「セキュリティは総合的である」という点。技術やマネジメント、法律といった総合的な見地からセキュリティを把握し、「今後こうあるべきだ」という思想を持って中心となるような人材を育てたい。

　もう1つは技術に特化した人材で、エンジニアを多数育てていかなければならない。現場の要求を知っていて、そのニーズに対して必要な技術を提供できる人材だ。また、開発だけでなく、さらに先を見据えた研究を行える人材も必要だ。

　こうした2つの人材を育成すべく作ったのがこの人材育成プログラムだ。

　マネジメントができる人と研究・開発者。単に自分の分野を広く浅く知っているのではなく、(技術や法律など)いくつかの主要分野をきっちり押さえている必要がある。広く浅くではだめで、中核分野の中身をきちんと理解していること、現場を押さえた研究開発、ニーズを押さえたものが作れる人。情報セキュリティは、穴をふさぐために技術を使うことが多いが、そうしたモグラたたきではだめだ。根本的な部分をしっかり押さえて、長期的な技術の方向性をふまえてマネジメントや研究開発ができる人を育てるのが目的だ。

具体的には

　これまでもセキュリティに関する専門人材を育てるために教育体制の充実に努めてきたが、まだ改善の余地がある。企業や他大学との連携によりこれを実現していくのが今回のプログラムだ。まず、中央大学、東京大学と連携し、カリキュラムを共同で作り上げた。必要な授業科目は暗号・認証、情報システム、通信、管理、法制度といった分野に分け、体系的に教え、網羅的に受講させることを考えている。

　今回のカリキュラムの強化ポイントの一つに、心理的、社会的な側面からのアプローチがある。たとえば「人間はこう言われたらこう考える」といった人間心理は(ソーシャルエンジニアリングのように)セキュリティに関係する。倫理面も重要だ。プロジェクトマネジメントも、セキュリティをきちんとやっていくうえでは必要な考え方なので強化したい。

　なお、企業のITセキュリティ経験者などを招いて話してもらう特別講義は必修にする予定だ。

　また、現場のニーズを知るために、沖電気、日立製作所、富士通、NTT、日本IBM、NEC、松下電器産業、三菱電機と協力し、インターンシップとして学生を派遣する。同様に、情報通信研究機構(NICT)や国立情報学研究所(NII)にも見学の受入れや教員の派遣などの協力を得ることになっている。

　2種類の研究会も設け、暗号・認証や情報システム、法制度といった6つの分野の研究会で深い内容まで研究し、さらに横断型の研究会である水平ワークショップも立ち上げる。

日本のセキュリティ教育は遅れているか

　日本ではセキュリティに関する研究はいろいろあるが、情報セキュリティという形でまとまった教育をしているところがなく教育的には立ち後れている。ただ、日本だけが遅れているというわけではなく、世界的にセキュリティ人材をきっちり育てるための大学は少ない。米カーネギーメロン大学などは有名だが、研究が中心。大学として育成しているところは少なく、セキュリティ先進国の米国、英国、韓国などはしっかりしているが、それでも人数的には世界的にも人材が足りていない。

　セキュリティ対策は負（マイナス）への対応であるという考え方、守るという考え方があり、(経営者層には)しょうがない経費（コスト）に見えているが、そうではない。情報システムを導入し、ITシステムに投資をするIT投資の一環で、自社の情報資産、知財を守って、活用し、利用していくことが目的だ。知識を使いこなすことがセキュリティの使い方で、マイナスを食い止めるためのお金(コスト)ととらえてはいけない。

　いろいろな会社が情報統制に失敗しているが、(そうした企業では)経営者層が意識を持っていない例が多い。従来のビジネスのやり方を引きずっている。世の中が(IT化によって)変わっているので、経営も変えていかなければならない。(それを理解している)CIO、CISOを育てたい。

どういった人材を求めているか

　セキュリティ専門人材は1種類ではない。学部新卒者も社会人も歓迎する。ただ、技術、研究・研究開発分野のスペシャリストを目指すのはともかく、セキュリティマネジメントをやりたいとなると、社会経験がある人が望ましい。いずれにしても、情報資産は企業活動の中核であり、情報をいかに使いこなすのかをサポートする、そういう夢を持っている人を求めている。

　このプログラムは、一方的に講義を受けるだけ、のようなスタティックなものにはしたくない。研究と実務の融合を目指している。つまり、若い学生も、社会人学生も、教員も、企業内研究者もいろんな種類の人間が入ってきて、影響を及ぼしていく、「るつぼ」のようなものを作っていきたい。いろんな人たちとのディスカッションを通じて育っていって欲しい。

　情報セキュリティというと狭い領域ととられがちだが、「情報」はこれからの中心で、中核をしめる。情報を捕まえて企業活動をやっていく、その中心になりたいという人に入ってきてもらいたい。日本を引っ張っていただきたい。