サイバーセキュリティの未来を担う人材を育てる

国立研究開発法人情報通信研究機構（NICT）について教えてください。

NICTは、情報通信技術の研究・開発を行う、日本唯一の国立研究開発法人です。やはり国立の機関なので、「どうすれば日本の情報通信が発展できるのか？」という視点で研究を行っています。ときには企業や自治体、大学などと連携することもありますし、企業から依頼を受けて開発を行うこともあります。「電磁波先進技術分野」「革新的ネットワーク分野」など、いくつかの分野の部署が設けられていて、その中に、皆さんの学んでいる領域に最も近い「サイバーセキュリティ分野」があります。

横山さんの所属しているナショナルサイバートレーニングセンターは、どんなところでしょうか。

ここでの主な仕事は、サイバーセキュリティに関する人材育成です。
といっても、セキュリティに関する専門家を育てるだけではありません。
例えば、自治体で働いている方を対象に、職場のパソコンがコンピューターウイルスに感染したあとどういう処置をすれば被害が最小限になるか、そういう観点での演習を行っていたりします。 もう一つ、僕が非常に力を入れている事業が「SecHack365（セックハックサンロクゴ）」です。これは、サイバーセキュリティ分野の人材が不足している現状を変えられるような画期的なものを作れる人を育てるための、若手の人材育成プログラムです。

「SecHack365」はどういうものなのでしょうか。

皆さんは、「ハッカソン」って知っていますか?「マラソン」のように「ハック」をするイベントのことで、開発者やプログラマーたちが好きなテーマで開発をしたり、開発の成果を自慢したりします。「SecHack365」は25歳以下の社会人や学生が集まり、1年間かけて"サイバーセキュリティに関する作品づくり"のハッカソンを行う育成プログラムです。では、どんなものを作るのでしょう。これまでの参加者の皆さんは、いろんなアイデアを生みだしています。例えば、セキュリティ保護や脆弱性診断といったようなセキュリティを目的としたプログラムを作る人もいれば、セキュリティ教育や啓発的なコンテンツを制作する人もいたりします。中には、自分が作りたいサービスがあって、そのセキュリティ面を磨くために参加しにきたという人もいます。
このプログラムの魅力は、仲間ができること、そして大学や企業にいるサイバーセキュリティのスペシャリストから、直接指導を受けられることです。研究や開発のために手を動かさないといけないけれど、何だか一人では進まない…という方にはピッタリだと思いますね。切磋琢磨できる仲間から刺激を受けながら、プロからの助言ももらえるので、スケールの大きな高度な学びが得られますよ。

システムの中から「危険な穴」を見つける

ホワイトハッカー、セキュリティエンジニアに求められる資質を教えてください。

「嫌なヤツ視点」を持っていることでしょうか。というのも、インターネットをサイバー攻撃から守るには、ホワイトハッカーやセキュリティエンジニアが、常にシステムの「穴」を見極める必要がありますよね。だからこそ、システムを使っている人に嫌がられるくらい、「この構築ではウイルスに感染しますよ」「このままでは危険ですよ」とケチをつけなければならない。でも、そんな「嫌なヤツ」のまま終わらないのが大切です。そこは入り口にすぎなくて、危険な穴を見つけたら、対策や解決方法を提案できる力も持つ。そんな人材が、サイバーセキュリティのプロだと思います。

サイバー攻撃が増えている中、日本がセキュリティにおいて目指していることは何でしょうか。

今、日本政府が「サイバーセキュリティ戦略」という基本的な方針を掲げています。ここを見ると、日本が今セキュリティについて、どんなことを大切にしているのかがわかります。これは数年に一度改定されていて、2021年9月に発表されたものでは「DX（デジタルトランスフォーメーション）」について記述されていますので、この内容を押さえておくと良いかと思います。「DX」とは、企業などのビジネスシーンにデジタルを活用し、変革を推進していくこと。国の方針もあり、今、企業のデジタル化が増加しています。やはり、ここでももちろんセキュリティの存在は必須です。そのため、企業のインターネットにとって、どんなものが脅威になり得るのか、といった視点が必要になります。セキュリティについて勉強するだけでなく、DXという概念そのものについても学習を深めたり、そもそも世の中のニュースや動きを把握することで、今の日本に必要なセキュリティがわかってくるのではないでしょうか。

サイバーセキュリティの未来を担う人材を育てる

サイバーセキュリティの業界に携わるために学ぶべきことは何でしょうか。

まずは、「自分が本当に好きなこと」と「自分のするべきこと」を見極めるために、目的意識を持って勉強してほしいと思います。皆さんは今、好きでサイバーセキュリティの分野を学んでいると思います。しかし将来、仕事をしだすと、どうしても「これが得意だからやっている」「好きだからこの仕事をしている」だけでは済まなくなります。なぜなら、上司やクライアントなど、自分の仕事を受け取ったり、それを評価する人がいるからです。
そのためには、まずどんなことが日本や社会で求められているのかを知らなければなりません。仕事に関心を持ち、実際の仕事の事例などを調べてみるのもよいですね。また、そうした期待に応えるための力を身につけることも大事です。そちらは、例えば、インターネット、脆弱性診断、スマートフォンアプリ、ネットワーク上のシステムなど、自分の興味あるものを深掘りしたり、試してみたりして、自分の専門分野にしたいものを育てていけると、将来の仕事に結びついてきます。

高校生や専門学校生の自分たちが、いまやっておくべきことは何でしょうか。

システムを作ったり、プログラムを開発したりと、どんどんモノづくりをしてみたらいいと思います。例えば建築会社の人は、大きく立派なビルを見たときに、私たち一般人にはわからないような着眼点で「あの建物は、こういう仕組みだから素晴らしい」と観察できますよね。それと同じで、日々開発を行っていると、Webサイトやアプリなどを見て、「これはこういう仕組みだから、ウイルスに感染しやすい」とわかってくるようになります。セキュリティ人材を目指すなら、まずは仕組みを作ったり壊したりして、どんどん手を動かすこと。そうすると、卒業後の道も開けてくると思います。