COLUMN

TOASUは、サイバーセキュリティをテーマとした研修の提供を開始いたします。これを記念し、研修にもご登壇いただくサイバーセキュリティ分野の第一人者、平山敏弘氏（以下、平山）にインタビューを行いました。聞き手はTOASUの代表取締役社長、宮田晃（以下、宮田）です。

日本企業におけるセキュリティの現状、会社を襲うかもしれない「見えない負債」、そして今求められる「プラス・セキュリティ人材」について、経営者の視点から見たセキュリティと今後の社員育成を語っていただきました。


宮田：本日はよろしくお願いいたします。平山さんは長年セキュリティ関連のお仕事を中心とされていますね。まずご経歴から簡単にお聞かせいただけますか。

平山：はい。元々は新卒でIBMに入社しました。当時はまだインターネットやTCP/IPが世の中に普及する前でしたが、私はそれらの担当となり、銀行のATMや警備システム、グループウェア、インターネットショッピングサイトなど、基盤系システムエンジニアとして約30年間、様々なシステムに携わりました。
2000年代に入った頃からセキュリティの重要性が叫ばれ始め、インターネット関連業務の一環として担当するようになったのです。当時、大学ではセキュリティの講義と言えば暗号関連が中心であり、サイバーセキュリティの専門家はあまりいなかったため、現場の第一線で活躍する者として大学や高専・専門学校などで非常勤講師として講義を行うようになり、セキュリティ関連団体の活動もこの頃から始めました。
その後、アクセンチュアでセキュリティ事業部の立ち上げに参画し、2020年の開学からはiU情報経営イノベーション専門職大学（iU）で教授としてICTを専門に教えています。

宮田：現在は大学教授として教壇に立つだけでなく、経済産業省（以下、経産省）の産業サイバーセキュリティ研究会など、協会や業界団体でもご活躍されていますね。

平山：大学だけにいると世の中の状況が見えづらいところがあるため、業界団体で現場の第一線で活躍されている方や企業の担当者、経営者と交流することで、最新の状況を把握するようにしています。
一方で、そこで得た知識や状況をもとに、経産省や独立行政法人情報処理推進機構（以下、IPA）などに対して政策提言を行うこともあります。本日のテーマでもある「プラス・セキュリティ」を含め、セキュリティの重要性を広める活動に取り組んでいます。

日本のデジタルスキルは67カ国中最下位

宮田：日本のセキュリティスキルのレベルや人数は、海外と比べてどうなのでしょうか。

平山：トップレベルの層で見れば、スキルは決して低くありません。むしろ高いほうだと考えます。しかし、全体の人数はそれほど多くないでしょう。また、普段ITやセキュリティに関係のない一般層の方々のレベルが低い傾向にあると感じています。

宮田：セキュリティスキルを高めるには、ある程度のITの素養がないと難しいですよね。

平山：日本の国際競争力の低下が指摘されますが、中でもスイスの国際経営開発研究所（IMD）が発表している「世界デジタル競争力ランキング」では、デジタルスキルの指標が67カ国中最下位でした。客観的に見ても、日本人のデジタルスキル、ひいてはセキュリティスキルはかなり低いだろうと感じています。

宮田：日本に比べて欧米はITとより密接に関わっているということでしょうか。

平山：昔から言われているのは、IT人材の配置の差です。日本ではIT人材の7割がITベンダーに、3割がユーザー企業にいると言われています。欧米は国によっても異なりますが、大体その逆で7割がユーザー企業、3割がITベンダーです。日本の一般企業にITがわからない人がいるのも、ある意味当たり前の状況なのです。

宮田：それはかなり大きな問題かもしれませんね。IT化やそのマニュアル作りを一部の社員やベンダーに丸投げしてきた結果、IT知識がなくても業務が回る状況が続き、多くのユーザー企業がIT知識を持たないまま今に至ってしまったと。

平山：そのあたりが、やはりDX（デジタルトランスフォーメーション）が進まない一因でもあります。以前、中小企業の方々向けに研修を行った際にも、「うちの会社は仕事でPCやスマホは使っていません」とおっしゃる方が半分くらいいました。しかし、これからの時代、それでは生き残るのが難しくなっていきます。
多くの企業にとってITやセキュリティが課題であること、そしてそのリスクが企業の負債につながる「セキュリティ負債」という考え方を周知していきたいと考えています。

企業が抱える「セキュリティ負債」とは何か？

平山：これまでの「セキュリティ負債」という言葉は、セキュリティシステムやアプリをよくわからないまま導入し、活用されずに無駄なコストになってしまう、という意味で使われることが多かったのです。しかし、私たちが今伝えたいのはそれとは少し違います。自社でも起こりうるリスクがどんどん蓄積し、いざ事が起こったら甚大な損害になってしまう。そんな目には見えない負債が存在するという考え方を広めていければと考えています。

宮田：しかし、多くの日本企業は「なぜ安全なうちからセキュリティにお金をかけなければならないのか」と考え、対策を避ける傾向があります。

平山：私はよく車に例えるのですが、サービスが速度なら、セキュリティはブレーキなのです。
例えば、住所や氏名といった簡単な個人情報の取り扱いのみだったサービスが、カード情報などより重要なデータを扱う必要が出てきたとします。これは車で言えば、これまでの時速100キロから200キロのスピードを出すようなものです。いざという時に止まるためには、より強固なブレーキ、つまりもっと強固なセキュリティを用意しなければなりません。

宮田：サービス構造を考えた時に、「これくらいのスピードが出るなら、このくらいのブレーキが必要だ」というように、常にセットで考える必要があるということですね。

平山：これは極端な話ですが、中小企業の経営者の中には、情報漏えいが起きて損害賠償の話になった時、「お金を払えばいいだろう」という意識の方も多いのです。しかし、事業、つまり仕事が止まってしまうと聞くと、それはまずいと感じるようです。事業継続におけるリスク管理という点でセキュリティが重要だと理解してもらうことが大切です。仕事が止まったら会社の信用問題になるし、契約もどうなるかわからない、と。

宮田：取引全体でリスクを抱えることになりますからね。一社でもその認識が甘かったら。

平山：その通りです。取引先はもちろん、関連会社全体で取り組まないと、攻撃する側は一番簡単なところを狙ってきます。最近の情報漏えいは、個人や子会社、関連企業といった「うちはそんなに関係ない」と思っているところから多く起きています。対策が甘い個人のスマホやPCを踏み台に、部門のサーバー、さらに重要なところへと侵入されてしまうのです。

宮田：リスクがあることを前提としておかなければならないし、であれば様々な防御策を講じるのは当然のことだと。その一環として「プラス・セキュリティ人材」を含めた人材育成が必要になってくるわけですね。

企業が確保すべき「プラス・セキュリティ人材」

宮田：今回の研修においても重要なキーワードである「プラス・セキュリティ人材」という言葉は、ネーミングを含めて平山さんが考え、広めようと活動されていると伺いました。この人材がどういうものなのか、簡単にお教えいただけますか。

平山：2016年頃、東京五輪をきっかけに、経産省やIPAから「セキュリティの人材が20万人ほど足りない」という話が出てきました。ただ、世間はいわゆるハッカーのような人物を想像しましたが、実際に内訳を紐解いてみると、そういった人材は1割ほどで、残り8〜9割はユーザー部門やユーザー企業にいてほしい人材だったのです。そうした場所では、ハッカーレベルのスキルは必要ありません。
この人材はセキュリティの専門家ではなく、本来は別の業務を担っていて、『プラスでセキュリティの知識を知ってほしい』というイメージから、「プラス・セキュリティ人材」と名付けました。

宮田：「プラス」というのは、自身の仕事に「加えて」セキュリティのノウハウを持って活躍できるという意味なのですね。

平山：さらに当時私が思っていたのは、防火責任者のような存在です。企業に一定数いなければならないような。

宮田：防火責任者の選任は法令で定められていますよね。

平山：その情報セキュリティ版のような形で、個人情報保護責任者的な人がいてほしいと考えています。例えば、「50人あたり1〜2人は必ずいる」といった具合です。
ただ、スキルレベルに関しては難しいところです。現場の従業員にはリテラシーレベルがあれば良いかもしれませんが、マネジメント層や経営層もいます。経営者にとってのセキュリティであれば、テクニカルな知識よりもマネジメントのレベルが求められるでしょう。定義は難しいですが、その方の役割やポジション、企業によって求められるレベルが変化するものです。

宮田：立場によって必要とされるスキルが変わってくるということですね。
ちなみに、プラス・セキュリティ人材に求められるのは、「こういう機能を入れなさい」といった具体的な助言でしょうか。それとも、「こういう業務をやりたいから、相応のセキュリティシステムを最初から設計しておくべきだ」という立案でしょうか。

平山：後者に近いでしょう。勘どころというか、「こういうことをやるのであればこれを考えておかなければならない」ということがわかる、といったイメージです。

宮田：そうすると、やはり業務をよく理解している必要があるわけですね。

平山：その通りです。ですので、外部のセキュリティがわかる人材を呼ぶよりも、やはり社内の人材に知識をつけてもらうほうが良いと考えています。

宮田：そのような人は必要ですね。業務の理解にプラスアルファでセキュリティの監督ができるからこそ、効果的な施策が打てると。

経営層から「プラス・セキュリティ人材」育成を

宮田：経営視点の話ですが、プラス・セキュリティ人材を社内で育成する、仕組みを作るという際に、研修を含めた人材育成は「投資」と見なして良いのでしょうか。
例えば、50人に1人をプラス・セキュリティ人材に育てるとすると、社員1万人であれば200人です。それだけ人材育成するとなると、費用もかさみます。それを投資として捉えることができるのか……。

平山：まずは投資というより、コストという部分もあるかと思います。「守り」としてやっておく、という考え方です。先ほど述べた情報漏えいのリスクは、自社へのダメージはもちろん、取引先からの信頼を失い、仕事がなくなってしまうことにもつながりますから。一方、将来新しいサービスを立ち上げたいという話になったら、それは「投資」、「攻め」の考え方になってきます。
しかし、どちらの場面であっても、自身の業務で知らないうちにリスクを抱えないためには、専門家でなくても少しセキュリティを知っておいてほしい。そのためのプラス・セキュリティ人材です。

宮田：人材育成については、「役割やポジション、企業によって変化する」というお話がありました。そうすると、一般職、マネジメント層、経営者など、階層別に特化した研修が必要になってくると思います。

平山：その通りです。さらに言えば、各部門にプラス・セキュリティ人材が一定数いれば、その人がある程度の説明や教育をできるようになります。セキュリティの全体レベルを引き上げていく役割も担うわけです。
ただ、ここは私自身も悩んでいるところなのですが、ITやセキュリティ部門の社員が資格を取ったり学んだりした場合はそれなりに評価してもらえますが、現場にいる方がプラス・セキュリティの知識を身につけた際、それを評価する仕組みがあるかというと……。

宮田：そこを評価しないと、やはりモチベーションは上がりませんね。

平山：ですので、育成の際には、そうした評価の仕組みも含めて会社として取り組んでいただきたいです。経営層が主体となって企業課題として取り組むとか、人事制度と連携させるとか。そうでないと、知識を身につけた人が「あの人詳しいから」と本来の業務ではない範囲まで聞かれて忙しくなってしまう、といった例もあります。

宮田：経営層が重要性を理解し、評価しなければならないということですね。今後そういう形に変えていかなければならない。そう言いながらも、うちにはプラス・セキュリティ人材がいないなと。気をつけなければなりませんね。本日はありがとうございました。

平山：ありがとうございました。

---

TOASUのサイバーセキュリティ研修では、平山氏が提唱する「プラス・セキュリティ人材」の育成を目指し、企業全体でセキュリティレベルを底上げするためのプログラムをご提供します。

このインタビューをきっかけに、御社のセキュリティ対策について改めて考えてみませんか？