これまで海外企業に比べて日本企業は、サイバーセキュリティにおいてどのような官民パートナーシップが必要であるかを政策立案者や教育関係者へ積極的に提案していませんでした。したがって、今回の検討会は、日本の産業界主導で官民連携の新たな方法を示し、さまざまな業界や企業の障壁を超えたベストプラクティスを共有する上で画期的な取り組みと言えます。
2016年1月の中間報告書別紙1では、「世界中のセキュリティベンダー社員数より攻撃者数の方が多い現状では、セキュリティベンダーが手を組まないで攻撃者に勝てる道理はない」と主張したあるCEOの発言について触れられています。
攻撃者が国境をまたぎ、縦割りを克服して攻撃ツールや情報を共有して協力し合っている中、防御側が一致団結して立ち向かわなければ、サイバーセキュリティは立ち行きません。検討会の見積もりでは、日本では65万人のサイバーセキュリティ人材が必要とのことです。東京五輪の前後や開催中、日本は激しいサイバー攻撃を受け、その中には業務の中断、個人情報漏えい、重要インフラ操業の中断などの被害につながるものもあるかもしれません。
CISOを頂点とするセキュリティ人材のキャリアパス
そうした被害を防ぐためにも、検討会ではサイバーセキュリティ人材育成に関する提言も出しています。まず、高校/高専、大学/大学院、ユーザー企業、ICT企業/セキュリティ企業、そして教育、募集/採用、アウトソーシング、教育者、政策、予算支援を行う政府のそれぞれの間でサイバーセキュリティ人材を循環させるのに必要なエコシステムを明らかにしました。
検討会は日本が必要とするサイバーセキュリティ対策、追求する必要のあるビジネスミッション、そしてそれらに対して需要のある人材を定義し、教育者と共有しています。人材需要、得られるキャリアパス、将来的な待遇を視覚化せずして、学校がサイバーセキュリティの各分野で人材を提供する真のエコシステムに参加することはできません。学生もサイバーセキュリティを研究したり、サイバーセキュリティ関連の職に応募したりする気にはなれないでしょう。
ただし、エコシステムとキャリアパスを作るためには、日本のキャリアアップ制度下では従来それほど重視されてこなかった専門性の追求と評価が必須です。
日本は終身雇用制の下で異なる部門やビジネスプロジェクトの経験を積んだジェネラリストを高く評価するため、キャリアで専門性を追求し、昇進をすることが難しい傾向にあります。日本では、最近までCISO(最高情報セキュリティ責任者)などの「Cレベル」の役員という概念がありませんでした 。
