米国におけるサイバーセキュリティの人材育成と 部脅威に関する.pdfVIP

ニューヨークだより2016 年1 月 米国におけるサイバーセキュリティの人材育成と 内部脅威に関する取り組みの現状 八山 幸司 JETRO/IPA New York 1 はじめに インターネットの発達とともにサイバー攻撃は多様化し高度化してきたが、重要インフラがターゲットになる などサイバー攻撃はより人々の生活を脅かすものとなってきている。特に近年では IoT などの発達により、 あらゆるデバイスがサイバー攻撃の対象となりつつある。さらに企業は外部のサイバー攻撃だけでなく内部 脅威にも対応が必要となり、また多くの機密情報を持つ政府も対応に追われている。米国では昨年 12 月 18 日にサイバーセキュリティ法案が成立するなど、サーバーセキュリティ対策の動きが加速化しているが、 これら対策を確実に実施し、高度化するサイバー空間の脅威に対抗するために、サイバーセキュリティ対策 を担う人材育成が益々重要になってきており、長期的・短期的な戦略が必要されてきている。今号では、米 国におけるサイバーセキュリティの人材育成と内部脅威への取り組みについて紹介する。 最初に近年のサイバーセキュリティの動向について紹介する。サイバーセキュリティの市場は拡大の一途を 見せ、今後も急成長が続くと見られている。その背景にはサイバー攻撃による被害が大きくなっているため、 より高度なセキュリティが必要とされている点があり、以前はウィルスなどの被害が多かったものが、近年で は機密情報を狙った高度なサイバー攻撃が増えている。サイバーセキュリティ人材の需要は更に高まって おり、民間と政府の両方で優秀な人材の確保が急務となっている。また、市場で求められる人材はセキュリ ティ技術だけでなく、組織内で様々な役割をこなし各部署と連携できるような優秀なソフトスキルを持ってい ることも条件となっており、このことが益々人材不足を生み出している。 次に、サイバーセキュリティの人材育成の取り組みについて紹介する。サイバーセキュリティ対策では企業 のビジネスを理解することが不可欠であるため、民間企業では様々な業務を学ぶことでセキュリティに活か すクロス・トレーニングが注目されている。また、シミュレーションによりセキュリティを学ぶシステムでは IoT に対応したものが登場しており、ベンチャー企業からはオンライン講座で優秀な人材を発掘するサービスも 登場している。政府の取り組みでは、オバマ大統領からサイバーセキュリティの人材育成を目的とした TechHire イニシアチブが出されている。また、政府機関では様々な省庁が連携して人材育成に取り組む NICE イニシアチブが出され、政府の支援を受けて官民連携のサイバーセキュリティ研究も進められている。 最後に、内部脅威への取り組みについて紹介する。内部脅威は外部からのサイバー攻撃と並んで被害額 が大きく復旧にかかる時間も長い。しかしながら、企業の IT システムが複雑化・巨大化しているため、セキ ュリティ担当者は対応が難しいだけでなく、日常の業務によって追い付いていないのが実状である。このた め、内部脅威の対策に様々なテクノロジーが登場しており、情報漏えい防止システム、ID アクセス管理シス テム、クラウドのセキュリティ、ログ解析、システム上の不審な活動を分析する SIEM （Security information and event management）などが多く使われている。内部脅威者への研究も進んでおり、企業に不満を抱え る従業員がアクセス権を悪用することで業務妨害、機密情報の盗難、企業に対する詐欺行為に及んでいる。 政府や企業において多くの機密情報を持つ米国では、海外からのサイバー攻撃だけでなく内部からの脅威 にもさらされている。IT の進化は目まぐるしく早く、攻撃手法も防御する方法もこれまでにないほど高度化し ている。しかしながらサイバーセキュリティの人材育成を同じ早さで行う方法はなく、将来を見据えた長期的 な対応が求められている。組織における人材の育成を得意とする日本と違い人材の流動が激しい米国だが、