実は、日本のホワイトハッカー育成の場は充実しているという(写真:jessie/PIXTA)

サイバーセキュリティ対策が喫緊の課題となっている中、ホワイトハッカーの育成も急務となっている。

ホワイトハッカーは、ブラックハッカーと呼ばれる悪意のあるハッカーとは対照的に、倫理的なハッキング手法を用い、事前に組織の許可を得たうえでセキュリティの診断テストを行う、いわゆる正義のハッカーだ。


東洋経済Tech×サイバーセキュリティのトップページはこちら

その実力を測るためのCTF(Capture The Flag)という競技大会が世界各国で開催されている。これまで筆者は、日本で最大規模といわれるCTF「SECCON」の初代実行委員長として大会を開催し、ホワイトハッカーのトップ人材の育成に携わってきた。

SECCONの国際大会を始めた頃は、アメリカや韓国のチームが圧勝することが多かったが、世界80カ国から1407チームが予選に参加した2018年大会では、東京大学の学生チーム「TSG」が日本として初優勝を飾った。その翌年も東京工業大学の学生チーム「NaruseJun」が優勝し、日本も健闘するようになってきている。

企業も熱視線「セキュリティ・キャンプ」

このように、日本のホワイトハッカーのレベルは年々高くなっているが、どのような人材育成が奏功しているのか。日本の主な育成の場を紹介しながら、今後の課題や育成のあり方について考えたい。

まず、若手の人材育成の場として最も歴史が古いのが、22歳以下対象の「セキュリティ・キャンプ」だ。日本の深刻なIT・セキュリティ人材の不足に対応するため、経済産業省所轄のIPA(独立行政法人情報処理推進機構)が2004年から継続し、20周年を迎える今年までに延べ1150名のデジタル人材を輩出している。

大きな特徴は、第一線で活躍する30代前後の現役セキュリティエンジニアが講師を務める点だ。しかも、講師と受講生の比率は約1:2と豪華な布陣で、最先端のサイバーセキュリティの技術・トレンドを若手に伝承する機会となっている。毎年、8月のお盆の時期に全国から選抜された受講生94名が集まり、4泊5日の集中合宿形式で学ぶ。

座学の講義だけでなく、手を動かすハンズオンの演習を重視している。例えば、一般的にセキュリティは「事後対応」というイメージが強いかもしれないが、セキュリティ・キャンプではプロダクト開発を中心に据えた演習もあり、脆弱性の発生を防ぐ「事前の設計・開発プロセス」を体系的に学べるのだ。

同じ名称で20年以上続く国の人材育成事業は、日本では珍しい。現在、講師は若い世代に入れ替わり、キャンプ卒業生が運営の中心を担うようになるなど、人材のエコシステムとコミュニティーも形成できている。

卒業生は、セキュリティベンダー、IT企業、事業会社、スタートアップなどさまざまな場所で活躍中だ。運営を担う一般社団法人セキュリティ・キャンプ協議会の会員企業は60社に上り、企業の人材獲得の場にもなっている。

最近は、製品開発が主となる大手メーカーも人材獲得を目的とした協議会への加入が増えており、セキュリティ人材のニーズが多様化していることを感じる。

課題解決型の人材を育成する「SecHack365」

一方、長期ハッカソンによるモノづくりの機会を提供し、セキュリティのさまざまな課題解決ができる人材の育成を狙う事業もある。2017年から始まった、総務省所轄のNICT(国立研究開発法人情報通信研究機構)が推進する事業「SecHack365」だ。25歳以下の学生や社会人を対象としている。

長期ハッカソンは課題解決型学習(Project Based Learning)に近い手法で、大学や企業で活躍する専門家(トレーナー)の助言を受けながら、受講生自らが課題を見つけ、さらにその課題を解決する能力を身に付けることを目標としている。

ほかの事業と比べ、モノづくりのアプローチに主眼を置いているのが特徴だ。5つのコースから自分の志向に合わせた選択ができ、トレーナーや仲間とじっくり時間をかけて研究開発に取り組むことができる。

SecHack365は、この7年間で延べ251人の卒業生を輩出。日本では十数万人ものセキュリティ人材が不足していると言われ続けており、それと比べるととても少ない人数のように思える。

しかし、そもそも論としてセキュリティ業界には、たくさんの人材を必要としないものの解決すべき重要な課題領域が多くある。例えば、国産のセキュアOSの開発や、AIによる自動防御システムの開発などだ。

こうした研究開発が担える人材の育成も重要であり、SecHack365には引き続き期待したい。

進化する「国立高専」の人材育成

高等専門学校(以下、高専)での人材育成も注目だ。高専は、15歳から5年間の一貫教育によって、産業発展を支える工業の専門家を育てていく役割がある。

そのため、独立行政法人国立高等専門学校機構(以下、高専機構)は、2016年より産学連携の早期サイバーセキュリティ人材育成事業「K-SEC」を進めている。

筆者も実務家の立場としてIoTセキュリティの授業を担当している。サイバー攻撃の手法が日々進化しているため、現在の教員だけではタイムリーかつ実践的な教育を提供するのが難しく、高専機構では「副業先生」を公募し、民間企業のITプロフェッショナル人材を招聘する試みも始まっている。

全国に51校ある国立高専の卒業生は、毎年約1万人だ。そこでK-SECでは、下図のようにサイバーセキュリティのトップオブトップの人材を毎年1%(100人)輩出し、20%を占める情報系の高専生(2000人)に社会で必要とされているサイバーセキュリティ技術を習得させ、さらには機械・建築・土木・電気電子・材料工学など全専門学科の学生がプラスセキュリティ人材に育つことを狙っている。


とくに地方の工場や中小企業で働く技術者が、サイバーセキュリティの知識を入社時点で持っていることは非常に価値が高く、地方の高専ではユニークな取り組みが見られる。

例えば、広島商船高専は、日本初の実運航船を使った「船舶へのサイバー攻撃防御演習」を2023年にラックと協働で実施。船のGPSの位置情報を混乱させるサイバー攻撃を受けた場合のリスクと対処法について学ぶこの演習は、好評だったという。

木更津高専では、千葉県警と日本大学理工学部と連携して人材育成を強化。例えば専攻科の学生が地元の中小企業向けにセキュリティ診断を実施し、その結果を説明する活動に取り組んでいる。就職前のこうした機会は学生にメリットが高いだけでなく、まだセキュリティ人材がいない企業側では、ニーズの再認識や受け入れ態勢の準備などが促進されるだろう。

「リスキリング」による人材補充も重要

厚生労働省が2020年に始めたサイバーセキュリティ教育訓練プログラム「SECKUN」も興味深い。これは、社会人のキャリア変更やスキルアップを目的としたものだ。

九州大学サイバーセキュリティセンターが主体となり、産業界の専門家と開発した教材を用いて、職種別・職能別の訓練コースをオンライン形式で実施している。九州大学を含む7つの大学と産業界が協力し、実用的な内容を提供しているのも大きな特徴だ。

技術系、マネジメント系の科目だけではなく、経営との橋渡し人材を育成するブリッジ科目も用意されており、サイバー攻撃への対応だけでなく、リーダーシップやリスクマネジメントも学べる。

インシデント対応の現場では、組織間のコミュニケーションが多く発生するため、外部人材登用よりも、社内に顔見知りが多いプロパー社員のほうが、調整がうまく進むこともある。よって、企業に勤める社会人に対して、SECKUNのような場を活用してセキュリティのスキルをアドオンすることは、セキュリティ人材の充足を狙う有力なアプローチの1つと言える。

このように、日本のホワイトハッカー育成の場は充実しているが、現場のセキュリティ人材不足を補うまでには至っていない。セキュリティ人材のキャリアパスを自社で担保できる大企業やIT企業はまだよいが、中小企業や非IT企業においては需要に対して供給が追いついていない状況だ。

人材育成は一朝一夕にできるものではないという認識の下、企業同士が協力して育成のエコシステムを作り上げていく必要もあるだろう。

(竹迫 良範 : リクルート アドバンスドテクノロジーラボ所長)