――エンジニアの不足について。
日本全体としてのIT技術者の不足ということでいえば、開発もそうですがセキュリティの人材が不足しています。これはIT技術者の中でソフトウェア人材に能力転換を図っていくこともあると思いますが、一般の企業の中に必要なIT技術者が絶対的に足りません。これからIoTの拡大を考えていくと、IPAの姿を変えていかなければならないと思っています。
IT技術者の育成やIT業界にいる技術者の育成、IT試験というと、情報処理業界にいる情報技術者のための試験と受け取られるかも知れませんが、これからは自動車メーカーの中の組み込み技術者、あるいは食品メーカーの中のシステム担当者、こういう中にIT技術者と呼ばれるようなスキルを必要とする人材が必要になります。でも、こういう方々は自身が情報処理技術者試験を受けなければならない人材であると認識していないと思います。もう少しインフラになっていく教育体系としてわれわれもアピールしていかなければならないと思います。
IPAでは2016年度を目指して新しい試験の追加を検討しています。これはセキュリティの危険情報をシェアするSOCと共通の話題で仕事ができる知識や経験がある人。例えるなら救急車を呼ぶときに、冷静に必要な情報を伝えられるような人です。インシデントの際、社内で何が起きていてどのような事象があって、どのような状況にあるのかを伝えられる人が各企業にいないといけません。
あとは、内部不正を防ぐような情報セキュリティマネジメントができる人。その二面が必要な素養を問うための試験、あるいはカリキュラムを考えています。これも技術者の裾野の広がりに貢献できればいいという考えです。
IPAでの職員の教育では“他流試合”を推奨しています。総務部やシステム管理グループにいるからといって、デスクにいるだけでは仕事になりません。積極的な外の勉強会やセミナー、あるいは企業を訪ねるなどの他流試合をして欲しいということと、それとサイバー演習。総務省がやっているサイバー演習のプログラムにIPAの2人を派遣しました。
IPAで展開している未踏事業に関しては、技術本部長の立場から、セキュリティの関係のとんがった未踏人材も出てきてほしいと考えています。たとえば広域イーサネット専用線サービスの提供する企業「ソフトイーサ」はセキュリティの世界ではものすごく注目されています。ファイアウォールを突き抜けるためのノウハウなどは世界中からの関心が高い。そういった人材をセキュリティの防衛の方向に寄与してもらえる人材ですね。
わたしは若年層のサイバーセキュリティ人材の早期発掘を目指すイベント「セキュリティ・キャンプ」にも出ていますが、そこで感銘を受けたのは、各地区、各学校にひとりいるかいないかの人材なのですが、普段は話の合う仲間がいないので自分は変わり者だと思っているわけです。先生にも理解できない。でもキャンプでは全国から同じような人たちが集まります。そうすると、引きこもりがちだった人材が目覚めるんですね。そういった育成の仕方、きっかけづくりもあると思います。
――2020年ごろのIPAをCIOとしてどう想定するか。
今の延長で考えると、IPAは経済産業省の所管になりますが、他の省庁、鉄道や航空といった、いわゆる世界の方々をおもてなしするために機能するインフラの中の情報共有体制にIPAも入っていきたいと思っています。また、経済産業省の傘下として考えると、制御システムですね。プラントなど機器類をコントロールしているところのセキュリティをどう担保していくかということです。
いまはトライアルの状況ですが、ソフトウェアのIDタグについて研究を始めています。米国の国防総省などは熱心に取り込んでいますが、調達するさまざまな機器の中にプログラム部品が組み込まれています。そのプログラム部品もいろいろなモジュールで構成されています。それは1社で開発しているものもありますし、多くの下請けを使って長いサプライチェーンの中で開発されているものもあります。その素性を、ひとつの製品を購入したときに、長いドキュメントを見ないと探し出せないようでは困るので、各モジュール、ソフトウェアにタグを載せ、購入した製品のタグをたどることで、製品の開発会社やテスト方法を特定できるデータをつけて納入させるようとしています。
これは制御システムのセキュリティに有効になると思っています。ごく普通の製品には不要ですが、重要機器や重要インフラに組み込まれる部品や、自動車などの安全性能の中核になるような製品やソフトウェアのプログラム部品については、IDタグをつけることで何か起きたときに検証できるということと、脆弱性が発見されたときに影響を受けるかどうかがIDタグで調べればわかります。
今後はそういった仕組みが必要になると思っています。2014年度に始めた報告書では「CVE」という脆弱性情報がありますが、日本国内のソフトウェア資産管理の団体が持っているソフトウェアの目録とCVEをつけ合わせて、どのくらいのパッケージソフトウェアが対応可能なのかを実験しています。それをうまく活用すると、自分のところのソフトウェアが関係しているかどうかを瞬時に判定できます。