「新・情報セキュリティ人材育成プログラム」(案)に対する意見

「新・情報セキュリティ人材育成プログラム」(案)に対する意見

2014年2月28日
一般社団法人 情報処理学会
会 長  喜連川 優

以下のとおり、2014年2月28日付で意見書を提出しましたので、ご報告いたします。
(協力:コンピュータセキュリティ(CSEC)研究会)


2014年2月28日
内閣官房情報セキュリティセンター
(基本戦略担当)  御中
一般社団法人 情報処理学会
会長 喜連川 優

重要インフラに対する脅威の深刻化や,攻撃の対象の拡散など,人材の不足や求められるスキルの多様化の現状などが適切に記述されており,本プログラム案で述べられている情報セキュリティ人材に関する現状と課題について異論はありません.その一方で,3節の「今後の取組方針」については,以下の点についてご意見申し上げます.

3.今後の取組方針
 
(1)経営層,調達における要件の設定

【意見1】 求める人材の階層の明確化の必要性
「50年後の情報社会を豊かに育てるために — 情報処理学会 教育・人材育成ビジョン 2010に向けての問題提起 —」によれば、能力に応じた比率があることを示しており、あわせて求められる人材の階層ビジョンを示しています。情報セキュリティ人材育成においても、同様な求められる人材の階層ビジョンを作成すべきと考えます。
http://www2.gssm.otsuka.tsukuba.ac.jp/staff/kuno/lectures/GEN/2010-01-VisionProbs1.pdf

(2)必須能力としての情報セキュリティ
    情報セキュリティ能力の評価基準・資格等の整備

【意見2】専用の資格を設置することへの提案意見
具体的な雇用創出策の一つとしては、業務独占資格、必置資格の中に情報セキュリティに関する資格(例:公認会計士のような感じで「公認セキュリティ士」を導入)を含めるような方策もあると考えます。

【意見3】資格の内容の再検討の必要性
現在の人材育成プログラムの中では,必要なスキルの網羅性に重点がおかれていますが、これを雇用のミスマッチを解消できるような枠組みにする必要があると考えます.加えて,単純な能力(技能のみ)を求めるのではなく、論理的な解決能力を高め,未知の脅威にも柔軟に対処し得る情報セキュリティ人材育成を目指すべきです。実技を架して,より実践的な対処が出来るかを見極めることが必要と考えます。

(3)高度な専門性及び突出した能力を有する人材の発掘・育成

【意見4】多様な人材の必要性
高度な専門性及び突出した能力を有する人材の発掘育成は重要ですが、一方でトップ2~3%の人材の発掘・育成によって、情報セキュリティが改善する内容と、実践に基づき理解している50%の育成によって、情報セキュリティが改善する内容について、費用対効果を示すことが必要と考えます。トップの人材育成も大切ですが、各分野の技術者にいかに情報セキュリティ、システムセキュリティを理解してもらうのかがより重要になると考えます。

【意見5】倫理観の必要性
ゲーム型の教育で注意しなくてはならないのは,誤った方向にその攻撃技術を適用しないように,並列して倫理教育を進める必要があることだと考えます。国家戦略として取り組む人材育成であるからには,攻撃者を生む可能性を低減する努力があわせて必要であると考えます。

(6)教育機関

1. 初等中等
【意見6】学年児童へのセキュリティ教育の必要性
子供のゲーム機がネットにつながっています。生活科などで子供にもセキュリティ教育を行うことは急務と思われます。小学校或いはその就学前の学齢から、セキュリティ犯罪も他の犯罪と同様に「やってはいけないこと」であることはもとより、「割に合わない処罰を現実に受ける」ことの教育は重要と考えます。

3. 教員
【意見7】シナリオ作成力のある教員養成が必要性
CTFの難しいところは、教育効果のあるシナリオの作成です。特にセキュリティ演習の課題は、常に最新情報を追っていかねばなりません。若手教員は論文を書いて業績をあげないと次のポジションに進めず、このような教育に費やした労力が報われることは少ないのが現状です.教育プログラム案では,リタイアした人材を再利用することが提言されていますが,生きたセキュリティ教育には若手の力が欠かせないという視点が必要だと考えます。

以上