HOME >> 情報セキュリティ >> 調査・研究報告書 >> 記事

「情報セキュリティプロフェッショナル育成」について

最終更新日:2003年4月15日

情報処理振興事業協会
セキュリティセンター
IPA/ISEC

電話番号:03-5978-7501までお問い合わせください。

情報処理振興事業協会セキュリティセンター(以下 IPA/ISEC)では、今年度冒頭 2002年 4月に組織体制を変更しました。

電子政府、電子自治体の構築、住基ネットの稼働等、情報セキュリティの重要性が ますます高まっている。しかしながら、情報セキュリティに関する高度な技術、知識、 分析能力等を有する人材の不足が大きな問題となっている。

情報処理振興事業協会は、このような状況を踏まえ、情報セキュリティに関する 人材育成を促進することを目的として、「情報セキュリティプロフェッショナル育成に 関する調査研究」を実施し、情報セキュリティに関する人材の能力を客観的に評価するため スキルマップを作成するとともに、地方企業等における人材育成策についての提案を とりまとめた。

本調査研究は、経済産業省の補助事業として、情報処理振興事業協会により、 NPO日本ネットワークセキュリティ協会(JNSA)及びNPOネットワークリスクマネジメント協会 (NRA)の協力の下、実施された。

背景:

e-Japan重点計画において実現が予定されている電子政府の構築、 地方自治体で進められているe-自治体の実現等、高度な情報通信技術を 活用した行政サービスの向上が進められている。

しかし、一方では、電子政府、e-自治体等の安全性・信頼性を確保して 運用していくために必要な、高度な情報セキュリティの知識、技術を習得した 人材が不足していることが大きな問題となっている。

目的:

(1) 政府・企業等において情報セキュリティにたずさわる人材、 すなわち、『情報セキュリティプロフェッショナル』に必要とされる 知識及び技術を明らかにするため、教育の現状、求められている 技術等について調査し、現状を把握するとともにその原因を究明する。

(2) 情報セキュリティプロフェッショナルに必要とされる知識 及び技術を客観的に評価するためスキルマップを策定するとともに、 地方企業等における人材育成策をとりまとめ、 情報セキュリティプロフェッショナルの育成を促進する。

結果概要:

(1)情報セキュリティにたずさわる人材の現状

  • 情報セキュリティにたずさわる人材の3年前との増減傾向については、 情報セキュリティ関連の製品、サービスの開発/提供/販売等を行っている ベンダ企業では78.5%が「増加傾向」、一方情報システムを運用/管理している ユーザ企業では「現状維持」が過半数の51.4%となっている。
  • ベンダ企業、ユーザ企業とも、全ての職種で、過半数が人材の不足感を感じている。 特に、情報セキュリティ専門の技術者として高度な知識とスキルを有する 「スペシャリスト」へのニーズが高い。
  • ベンダ企業では「条件に見合うスキルを持った人が少ない」、ユーザ企業では 「応募者のスキルを測るのが難しい」と回答する割合が高い。ユーザ企業では 「どういう人材を募集してよいかわからない」ことも大きな問題の一つ。
  • ベンダ企業、ユーザ企業ともに、「技術の変化が早く、要因の知識のレベルを 保つのが難しい」事がもっとも大きな課題である。ユーザ企業では 「社内のジョブローテーションに組み込むのが難しい」ことも問題になっている。
  • 情報政策・システム担当等人員総数は、1人または2人の自治体が60%を占め、 セキュリティ業務推進は、実質的に困難な状況にあるが、人員の補充を考えている 自治体は3割しかない。その背景として、共同アウトソーシング(共同iDC・ASP等) の流れやセキュリティを確保する上での必須業務が明確に定義されていないことなどがある。
  • セキュリティ費用を年間予算に計上している自治体は37%に止まり、 大半の自治体は計上していない。偶発的費用計上はほとんどない。

(2)情報セキュリティに関するスキルマップ

情報セキュリティにたずさわる人材に求められる技術、知識をまとめた上で、 さまざまな利用方法が可能な自由度の高い情報セキュリティに関する「スキルマップ」 を作成した。主に情報セキュリティプロフェッショナルの「評価」と「教育」 を目的としたものである。

  • 対象者のスキルレベルを適切に評価
    • 人材育成政策及び人材評価政策決定時の共通基盤
    • 人材採用時及びコンサルタント等の外部調達時のミスマッチ防止
    • 企業内の役割分担や企業間のアライアンス等での人材配置や序列決定等、 コミュニケーションの補完手段
    • 専門家の定義、その専門性の具体化
  • 知識の体系化(教育)
    • 試験問題や教育カリキュラム作成
    • 学生や若手技術者のキャリアプラン設定時の参考資料
    • 情報セキュリティ分野のスキルの鳥瞰図
    • レーダーチャート形式の採用
  • 実用的に使えるようにするために、スキル要素を放射状の軸に割り当てた レーダーチャート形式とし、誰でも直感的に理解できる表現方法を用いた。

(スキルマップの想定利用例)

【シナリオ】東京のシステムインテグレータH社がファイアウォールや 侵入検知システム(IDS)など情報セキュリティ機器の構築・運用ができる技術者を 採用することにした。求人広告には文面でH社が望む人材像を記載していたが、 H社側と応募者側でその解釈が異なることが多くミスマッチが多発していた。 このためA技術本部長と人事のN課長は、それを防止すべく今期よりスキルマップを 活用することにした。結果採用時のトラブルは激減した。

求人広告(例)

  • a)職種:情報セキュリティエンジニア
  • b)業務:セキュリティプロダクトの設計・構築・運用等のインテグレーション業務
  • c)応募資格:
    • 技術レベル:下図スキルマップ参照
    • 学歴:大卒以上
    • 希望年齢:25歳〜35歳程度望む
    • 性別:不問
  • d)勤務地:東京杉並区
  • e)・・・・

グラフはIT共通知識体系を表し、情報セキュリティポリシーがLevel1、ネットワークインフラセキュリティがLevel3、サーバアプリケーションセキュリティがLevel2、OSセキュリティがLevel3、ファイアウォールがLevel3、侵入検知システムがLevel3、ウイルスがLevel2、セキュアプログラミング技法が0、セキュリティ運用がLevel1、セキュリティプロトコルがLevel2、認証がLevel2、PKIがLevel1、暗号がLevel2、署名がLevel1、攻撃手法がLevel3、法令・規格がLevel1を示している。
図:スキルマップの運用例 (人材採用)

(3)地方企業等における人材育成策

  • 地方企業等が情報セキュリティを確保するために必要な業務量を判断 するための基準として、「情報セキュリティ業務基準」の策定を提案。
  • 地方自治体向けに特化した教育カリキュラムを整備し、地方自治体が 主体となって取り組むべきセキュリティポリシーの策定や情報資産の分類、 リスク分析などを中心とした実践的な教育を受けられる場の提供を提案。
  • 地方企業等のエンジニアが数多くの最新機器を実際に体験することが できるITリハーサルスタジオの整備を提案。

調査報告書:

「情報セキュリティプロフェッショナル育成に関する調査研究