海外では「ホワイトハッカー育成のエコシステム」の形成が進んでいる(写真:ryanking999/PIXTA)

日本のホワイトハッカー人材のレベルは年々高くなっているものの、十数万人とも言われるセキュリティ人材の不足を補うまでには至っていない。一方、海外には参考にすべき先進的な取り組みが見られる。世界の好事例から、日本のホワイトハッカー育成において強化すべき点を探っていきたい。

国と共同設立、高麗大学校のサイバー国防学科

国防策として人材育成を強化しているのが、北朝鮮とのサイバー戦が激化している韓国だ。韓国には陸・海・空の士官学校があるが、各校においてサイバー戦で通用するホワイトハッカーを養成するのは難しいと判断し、国が指定する学校で教育して将校を輩出するようにしている。


東洋経済Tech×サイバーセキュリティのトップページはこちら

その国内初の養成機関が、高麗大学校だ。2012年に韓国国防部と同校が共同でサイバー国防学科を設立。筆者は、設立直後の2013年に現地を視察したが、印象的だったのは、「War Room」という演習部屋だ。ハッキングの模擬戦ができる環境が、民間のセキュリティ会社から提供されていた。

詳細のカリキュラムは国家機密扱いで、通っている学生もこの学科で学んでいることを他言してはならないという特殊な環境も興味深い。今も定員が変わっていなければ、毎年30名程度のエリート人材を輩出し続けていることになる。

選抜は厳しい。視察時の話では、日本の大学入学共通テストに当たる「大学修学能力試験」において志望者の上位0.1%の成績を収め、その後の大学教授や軍関係者による3日間の面接と身体検査を通過する必要があるとのことだった。晴れて合格となれば、入学後の4年間の授業料は100%免除、毎月の生活費50万ウォンも大学から支給されるという。

卒業後は韓国陸軍の将校(まずは少尉から)として任官され、7年間はサイバーセキュリティに関わる専門士官として勤務することが条件だが、この学科に入ると、韓国の若者に課されている兵役義務が免除される。

また、歴史や外交政策などを学ぶ幹部教育を実施しているが、肉体を使う軍事教練は用意されていない。つまり、戦争の前線に行く機会がないため、わが子の安全を思って親が入学を後押しするケースも少なくないという。

「イスラエルのエリート養成プログラム」を参考

同学科の卒業生は、7年間の勤務を終えたらそのまま軍に残ってもいいし、民間に転職してもいい。政府機関への特別採用の道もある。起業したい場合は、政府からの援助も保証されている。

ホワイトハッカー人材が軍以外で活躍することを、民間企業や政府機関が歓迎しているのである。軍の作戦遂行能力の獲得だけではなく、国全体を守れる高度人材を育成することが目的となっているためだ。

これらの仕組みは、イスラエルの「Talpiotプログラム」(高校生の上位約1%を教育するプログラム)を参考に設計された。国がエリート養成を行い、軍で活躍後は起業も支援し、国際的に通用するサイバーセキュリティ産業の発展にもつなげている。

韓国はこれに倣い、国が主導でエリート養成を行いながら、国全体の人材育成のエコシステムにもつながる仕組みを作り上げた。韓国も日本と同様にセキュリティ人材の不足が課題となっているが、国防に関わる高度なホワイトハッカー人材については「量」よりも「質」が重要であることを国が理解していることがうかがえる。

結果的に、高麗大学校には、自国を守るという意義のほかに、「キャリアアップのために11年間修業する」という意識で入学を志望する学生も多いという。また、同学科は現在、これまで一番人気だった医学科に匹敵するほどの人気学科となっている。

日本でも防衛大学校にサイバー学科を新設する検討を始めているが、学生の受け入れは2028年度からの予定で、韓国の事例からは16年の遅れとなる。

喫緊の対応として、2024年3月21日に、久里浜駐屯地の陸上自衛隊通信学校を「陸上自衛隊システム通信・サイバー学校」と改編し、新たにサイバー教育部を設置して年間130人の人材を養成できるよう拡充した。

ただし、自衛隊の情報システムやネットワーク通信の監視・対応などを行う任務を想定しており、起業などその後のキャリア支援は想定されていない。将来的には官民交流も意識し、中長期で人材のエコシステムを作っていくことも重要だと筆者は考える。

日本の優秀層はどのようにキャリアを築いてきたか?

では、日本の優秀なホワイトハッカーは、どのようにキャリアを積んできたのか。セキュリティ業界の黎明期だった1990年代後半は、仕事を自ら切り開いてきた方が多く、中でもセキュリティ会社の創業に関わった方が各所で活躍していた。

2001年頃になると、Windowsサーバーに感染するコンピューターウイルスが社会問題になり、ファイアウォールの導入やOSのバージョンアップの緊急実施が各企業で発生。それに伴い、主にネットワークやシステム運用を扱う現場から、セキュリティ対応ができる人材が自然発生的に生まれた。

この時期にセキュリティ人材のニーズが日本の組織でも急拡大し、2000年代前半は攻撃・防御・監視のスキルを競い合う大会「セキュリティ・スタジアム」が有志によって開催されるなど、人材育成の機運が生まれていったように思う。

経済産業省所轄のIPA(独立行政法人情報処理推進機構)主催「セキュリティ・キャンプ」が始まったのもこの頃だ。国費で交通費・宿泊費・食費・教材費がすべて無料で学べる場である(関連記事)。

しかし、セキュリティ・キャンプでは「必ずセキュリティ業務に従事しなさい」といった制約はなく、セキュリティとは無関係な事業会社に就職しても、研究職に進んでもよい。

卒業後にセキュリティ会社を作るなど、スタートアップに挑戦するケースも最近は増えてきている。さらに起業した会社を成長させ、上場企業に買い取ってもらってキャピタルゲインを得るキャリアの事例も出てきている。

そんな多彩なキャリアを持つ卒業生たちが、「恩返しをしたい」と現在のセキュリティ・キャンプの運営に協力してくれている。

韓国の事例と同様、このようにキャリアの可能性を認めることを前提に、熱意を持って手厚く教育に投資することは、「お世話になった国に恩返しをしたい」という思いを醸成するうえでも重要だと考える。お役所的なルールの厳格さや手続きの煩雑さが学生にネガティブな印象を与えかねないため、それらが見えないよう制度設計するのもポイントだ。

また、国の機関だけで完結させず、NPO法人や民間企業などとうまく連携してエコシステムを作れるとよい。その点でもセキュリティ・キャンプは、協議会という産官連携の枠組みをうまく活用し、実際に成果を出している国内でも珍しい取り組みの1つだ。

タイとオーストラリアは「育成と課題解決」を両立

一方、こうしたエリート教育だけでは解決できないのが、中小企業などの問題だ。その多くは、高度なスキルを持つホワイトハッカー人材を採用する余力がない。予算がないため民間企業のサービスで支援を賄うのは限界があり、国が枠組みを作って支援するのが基本だ。

これは日本だけの問題ではなく、各国が独自の取り組みを推進している。

タイ政府は、2019年に重要インフラを保護するための法律を可決、医療機関も重要インフラと定義して保護政策を進めている。

例えば現在、マヒドン大学においてタイでは初となる取り組みが始まっている。同大とMFEC Public Company Limited(日本のTISの連結子会社)の共同プロジェクトで、SOC(Security Operation Center)業務のトレーニングセンターを作るという。

具体的には、自社でSOCを設立する予算のない中小規模の医療機関に向けて、同大の学生が訓練の一環として格安でSOCサービスを提供する。現在、学内でそのオペレーションルームを改装中で、2024年10月以降に運用を始める予定だ。

主にコンピューターエンジニアリングやコンピューターサイエンスを専攻する大学3年生の約20人が参加し、2つのシフトを組み交代でオペレーションルームに滞在し、サイバー攻撃の監視・分析・対応を実務で体験することを想定している。

学生の訓練と実務のSOCサービスを結び付けることによって、人材育成と民間だけではカバーできない領域のインフラを守ることができる、1つの好事例だろう。

2021年、オーストラリアのウェスタンシドニー大学では、政府から約75万ドルの資金援助を受け、中小企業向けにインシデントについて無料相談できる「Western CACE」を立ち上げて、キャンパス内にオペレーションセンターを設置した。


写真:Western CACEのオペレーションセンター(2023年5月筆者撮影)

同大でサイバーセキュリティと行動学の学士号を取得した約80人の学生が、インシデント対応の訓練を受けたうえでオペレーションセンターにて中小企業の相談に当たっており、法学部の学生の手伝いも得ながら運営を主導している。

ニューサウスウェールズ州の主要なサイバーセキュリティ企業であるEmergence、Gridware、DCEncompass、Secolveとも提携し、センターが提供するトレーニングプログラムを通じて中小企業のセキュリティスキルを向上させる活動も実施している。

無料の法律相談や医学部の研修制度も参考に

「誰も取り残さないセキュリティ」は民間の自助努力だけでは困難で、国の予算、そして産官学と各地域の連携が必要だ。このような取り組みにトップオブトップの人材は必ずしも必要ない。タイやオーストラリアに見られる連携の仕組みは1つの有効な方法だろう。

人材育成の実地訓練と現場の課題解決を同時に行う試みは、実は日本にもある。医学部の研修制度がまさにそうだし、多くの大学の法学部では、地域の人たちに向けて、現役学生と弁護士資格を持つ卒業生が無料の法律相談を定期的に実施する文化がある。

サイバーセキュリティの分野の「数不足」を補うためにも、海外の好事例や国内の他分野の優れた取り組みを参考にしながら、「人材育成のエコシステム」をそろそろ本格的に構築する必要があるのではないだろうか。

(竹迫 良範 : リクルート アドバンスドテクノロジーラボ所長)