デジタルトラストに向けて求められるエコシステムと人材育成（2/2）

福本：
今おっしゃられた仲間づくりが、セキュリティのエコシステムになるのだと考えています。いろいろな業界の人々と関係を築くことで、新たなサイバーセキュリティへの対応ができるようになるのだと思いますが、そういった仲間づくりに、CODE BLUEのような団体がどのような役割を担っているでしょうか？

篠田：
もともと私たちはサプライチェーンや取引先の輪に入っておらず、自然発生的に生まれた勉強会がベースになっています。最新のセキュリティトレンドを一緒に学ぶ場ができて、それが大きく発展したのがCODE BLUEなのです。そういったコミュニティが地方にも数多くあります。課題を共有することを目的にしているため、企業というよりも、まずは同じ興味・関心を持つ人が中心になって集まっていければ良いと思っています。

下田：
IT系のセキュリティ分野では、協調領域は結構あり、クローズドなイベントに各企業の皆さんは参加されています。私も他企業のセキュリティ担当者とはよく情報を交換しています。自社のセキュリティ対策のレベル感を相対的に把握できますし、課題が同じであった場合は互いの意見がヒントになることも多く、背中を押してもらえる良い機会にもなっています。私が率先して他社との情報交換活動を積極的に進めていくと、他のメンバーも各企業やITベンダーとの情報交換がしやすくなり、日本企業全体での横の連携も強まると思っています。技術的な情報共有としてはCODE BLUEのような場もあるので、できるだけ参加したほうが良いでしょう。

篠田：
IT系は割とオープンに情報交換をしているのですが、製造系、OT系はまだクローズな面も強くて、連携はこれからだと思います。情報交換は重要なので、積極的に交流を図って欲しいですね。

福本：
情報交換の場では、最新テクノロジーだけでなく、インシデントなどの情報共有も行われているのですか。

篠田：
CODE BLUEでもスポンサーセッションやオープントークがあり、例えばメルカリさんのセッションでは自社のインシデントに対してどう対処したのかという事例を紹介していただきましたが、これが一番人気の講演でした。やはり他社がどのように脅威を発見し、向き合ってきたのかということが一番の学びになりますから。
CODE BLUEのビジョンでも掲げていますが、サイバーレジリエンスを構築したくても完全なものはないため、皆さんと一緒に情報交換・交流しながらセキュリティ対策を共に考えていければと思っています。

福本：
セキュリティ人材も大事になってくると思いますが、CODE BLUEでは人材育成面も意識されて取り組まれているのですか。 

篠田：
社会において何が求められてCODE BLUEという「船」に皆さんが乗ってくれるのかを考えながら取り組みを進める中で、特に若者を巻き込んでいくことは重要なテーマの1つになっており、また、最新事例の学びを皆と共有することも人材育成に繋がっています。また副次的なものですが実は一番大事な点として、出会いの場を提供しています。
若手人材に関しては、学生スタッフ制度を設けており、2024年は46名に志願していただきました。彼らの目的は将来働きたい企業と交流すること。企業説明会などで人事部の人に会うのではなく、現場の人と直接話をしたいからやって来ることが多いようです。また、学生スタッフの応募倍率は3倍ぐらいあるので、セキュリティ感度の高い優秀な方々が全国から集って横の繋がりも持てます。学生さんにとってはこの2つは大きなメリットになっていると感じています。

下田：
CODE BLUEの学生スタッフに選ばれるということは、大きなステータスになりますよね。就職にも有利に働きそうですね。

篠田：
高い倍率をくぐり抜けてきた学生さんなので、すごく誇りに思われているでしょうし、イベント会場でも学生スタッフを「あと数年すると社会に出ますからリクルートして下さい」と紹介しています（笑）。

福本：
就職活動の前に学生さん自身がセキュリティに興味を持たれているようですが、興味を喚起する取り組みはされているのですか。

篠田：
CODE BLUEのことは口コミで広がっています。私たちは学生にとって「好奇心の塊」である面白い場を作れるように日々努力しています。また、U25という若者のセッションも設けて若手の方に登壇してもらい、優秀な方には研究奨励金なども渡しています。 

福本：
次に、東芝でのサイバーセキュリティ人材の育成について教えて下さい。

下田：
東芝では、「経営層」「従業員」「取引先」という3レイヤーで施策を進めています。経営層には、特にビジネスメール詐欺が各国で起きているのでそこにフォーカスし、社長になりすましてインシデント訓練を行っています。もちろん社長の了承は得ています。これは経営層を引っ掛けることが目的ではなく、引っ掛かってしまったとしてもその記憶を残してもらい、騙されなくなってもらうことが重要です。
従業員については、eラーニングでの教育や、インシデント発生時の訓練を行っています。例えば東芝本社から見た場合と、東芝デジタルソリューションズなどの事業会社から見た場合、その先のグループ会社から見た場合というように、大きく3つのサプライチェーンの中で、インシデントに対応する共同訓練を実施しています。
取引先に関しては、教育という形ではなくお願いや啓蒙という形で、我々のノウハウを皆様にどう移転していくかという観点から、情報や事故の共有ができる場づくりを心掛けています。セキュリティ業界は難しい言葉が使われがちなので、言葉を言い換えてもっと単刀直入に分かりやすく伝えるよう、言葉のバリアフリーという点も配慮しています。
また、当社は社内資格認定制度を設けており、現在4,000人ほどセキュリティ人材が認定されています。そこでは4つの人材タイプに分類しています。いわゆるCISO候補などの経営層、情報セキュリティ人材、セキュアプロセスでのものづくり人材、セキュアな運用人材の4タイプに分けて、それぞれ基礎的なレベル2から最高のレベル5まで認定しています。レベル5の人は現在3名いまして、積極的にセキュリティの啓蒙活動を行っていただいております。

福本：
人材育成を行っても、セキュリティ技術者だけで全てのインシデントに対応するのは難しくなってくるのではないかと思いますが、どう対応していけばよいのでしょうか。

下田：
サイバーセキュリティ人材と言ったときに、私たちのようなセキュリティを生業にしている専門家のほかに、ものづくりに関わる部門や、総務や法務などのスタッフ部門も含めて、セキュリティスキルを身に付けて欲しい方々を定義して、「プラス・セキュリティ」といわれている人材の育成に注力し、裾野をしっかりと広げているところです。
東芝ではインシデント発生時にCSIRT（Computer Security Incident Response Team）がハンドリングしていますが、セキュリティは会社横断事案と捉えており、事故が起きると経営層だけでなく、情報システム部門、広報、法務、総務にもすぐに連絡を取ります。横断の情報共有は継続的にやっています。

篠田：
ちなみに東芝さんのCSIRTの男女比率はどのくらいですか。

下田：
だいたい男性が7割、女性が3割ぐらいですかね。東芝の場合は女性のセキュリティ人材は多いほうだと思います。

篠田：
CSIRTについては横断的なネットワークをつくっていますが、セキュリティ関連ではいろいろな組織で女性の割合が多いという傾向があるようです。

福本：
CSIRTに女性が多いのは何か理由があるのですか。

篠田：
おそらくテクニカルな理由ではなくて、いわゆるコミュニケーションスキルが優れている人が多いからなのではないでしょうか。危機管理意識が強く、細かい気遣いができる方も多い傾向があるので、インシデント・レスポンスにマッチしているのかもしれないですね。

下田：
インシデントが起きた時には、状況に素早く対応できる「アジリティ」がすごく大切です。すぐ行動できる人で、コミュニケーションが上手な人。そういう人材がインシデント・ハンドリングに向いていると思っています。営業一筋、開発一筋、研究一筋ではなく、いろいろな経験を積んだうえで、バイタリティがある人ですね。ただ、インシデントが起きると、どうしても怒鳴ってしまう上司もいて修羅場になるなど、セキュリティ業界は一般的に厳しい仕事だと言われていますね。

篠田：
確かに現場は修羅場になりますが、インシデントが起きる原因は上層部にあると思います。結局は経営層に跳ね返ってきますから、「セキュリティ担当者に問題があった」というのは言い訳にならず、そういう体制や環境を用意していなかったことが大きな問題なのだと思いますね。

下田：
私もインシデントが起きた時は、顔は引きつっているかも分かりませんが（笑）怒らないように心がけています。「お祭りです、もう宝探しで、分かったことはすべて情報として上げて下さいね」と言っています。「真剣になっても深刻になるな」という言葉もあります。私自身は経営層に報告しなければならないので内心は非常にドキドキですけれど（笑）。

篠田：
インシデント対応はある意味では江戸時代の「め組」のようなものですよね。火が上がれば火消し役は命がけですが、「よし俺らの出番だ！」というぐらいの気持ちになれるマインドセットのほうが良いかもしれないですね。

福本：
マインドセットや文化や風土は、ボトムアップだけでは部分的にしか変わらないので、経営層のコミットも大事ですね。経営層から「報告してくれて、ありがとう」という雰囲気にしていかないといけないわけですね。

篠田：
もちろん原因の分析と追及は必要ですが、既にインシデントは起こってしまったことなので「次にどうすべきか」という話に早く切り替えたほうが良いです。世界的なトレンドとして、インシデント報告の義務化が広がっています。たぶん海外企業では対応されていると思いますが、日本もそれは避けようがないことでしょう。ただ、私が参加している委員会でも話が出たのですが、火事場で対応している人のみに報告の責任が課されているという現状は理解して欲しいと思います。国によって様々ですが、現場の対応者に対して非常に厳しいやり方ではあまり上手くいっているようには見えません。現場に無理なしわ寄せがいっている気がします。

福本：
私は、セキュリティ対策を講じることで現状を維持できること、つまり「何も悪くならない」という価値が凄いことだと感じています。その価値を多くの人々が理解しなければいけないですね。