IPAについて
公開日:2024年8月23日
IPA(独立行政法人情報処理推進機構)
「デジタルスキル標準」の賢い使い方を徹底解剖!DX先進企業のデジタル人材育成法
「デジタルスキル標準」改訂。生成AIをDXに生かすヒントに
「パスキー」で多要素認証を より安全&スマートに
不正ログイン被害が多発!より安全な認証方式へ移行を
デジタル人材の確保・育成の指針として経済産業省とIPAが策定した「デジタルスキル標準」。DX推進とデジタル人材育成を両輪で進める人材マネジメント施策のひとつとして、多くの企業・組織で活用されています。今回は導入企業である双日株式会社の方々が登場。
デジタルスキル標準をどのように役立てているか、人材育成の舞台裏をうかがいます。
国を挙げてDX推進がなされる中、デジタル人材の確保・育成が大きな課題となっています。
そこで注目したいのが、経済産業省とIPAがデジタル人材育成の指針として策定した「デジタルスキル標準」です。
内容は、すべてのビジネスパーソンを対象とした「DXリテラシー標準」と、専門性を持ってDXを進める人材を対象とした「DX推進スキル標準」の2種。IPAデジタル人材センター研究員の阿部容子さんは、「デジタルスキル標準は2022年12月の公開以降、段階的に改訂を行い、社会や技術の変化も反映してきました。おかげさまで多くの企業・組織で採用されています」と説明します。
双日株式会社もそんな企業のひとつ。同社は、自動車本部、航空・社会インフラ本部、エネルギー・ヘルスケア本部、金属・資源・リサイクル本部、化学本部、生活産業・アグリビジネス本部、リテール・コンシューマーサービス本部という7つの本部体制で、製品の製造・販売や輸出入、サービス提供、事業投資などをグローバルに展開する総合商社です。
「当社は多様なビジネスを展開しているため、それらすべてに対してデジタル推進部隊のみでDXを推進していたのでは、テクノロジーの進化に追いつくことができません。すなわち、デジタルの確かな知識を持ち、ビジネスとデジタルの両方をけん引していける人材を各本部に育成・配置しなければならないのです。それが人材育成を急務と感じた理由でした」と、デジタル事業開発部AI・データ活用推進課課長の宮脇俊介さんは語ります。
こうした課題意識のもと、双日は2020年よりデジタル人材の育成に乗り出しました。
ITリテラシー強化を主軸とした「入門」レベルでは、全社員にITパスポートの取得を奨励。その上の「基礎」レベルはeラーニングを中心に、全総合職を対象としてビジネスへのデジタル適用の基礎知識の習得を図りました。そして、上位の「応用」レベルでは、ハンズオンを含むより実践的な研修を通じ、ビジネスモデルや業務プロセスの変革を実践できる人材育成を目指したといいます。
2021年4月に公表した「中期経営計画2023」では、既存ビジネスへのデジタル活用による事業モデル変革と、その変革を推進するデジタル人材育成の2本柱をデジタル戦略として掲げ、同年12月にはIBMで初代CDO(チーフ・デジタル・オフィサー)を務めた荒川朋美氏を同社のCDOに迎え、既存の枠組みをグレードアップさせる形で「デジタル人材育成プログラム」を始動。研修コンテンツの設計と作成は外部パートナーとともにデジタル推進部隊が行い、研修の運営やKPIモニタリングは人事部が担う形で連携し、全社一丸となって人材育成を加速させていきました。
プログラムでは入門・基礎レベルはそのままに、応用レベルを「応用基礎」「エキスパート」「ソートリーダー」に分け、全5段階へと拡張しました(図表)。
また、応用レベルのスキルを、事業課題に対してデータドリブンな施策を企画・推進する「データ分析」と、デジタル活用によるビジネルモデル変革を構想・推進する「ビジネスデザイン」の2分野で新たに定義しました。
「応用レベルの人材要件やスキルの定義、研修コンテンツの企画などで大いに活用しているのがDX推進スキル標準です」と、同課の龍王えみなさんは語ります。
DX推進スキル標準では「ビジネスアーキテクト」「デザイナー」「データサイエンティスト」「ソフトウェアエンジニア」「サイバーセキュリティ」の5つの人材類型を定義していますが、双日では自社のビジネス形態に合わせて、1人の商社パーソンが5つのエッセンスをバランスよく習得できるようカスタマイズしているそうです。
「データ分析ではビジネスアーキテクトとデータ活用の要素を掛け合わせ、ビジネスデザインではビジネスアーキテクトを基軸にデザイナーとソフトウェアエンジニアの要素を取り入れるといった具合に、必要な要素を“いいとこ取り”して自分たちの定義するスキルに整理しました」と龍王さん。
これに対して阿部さんは、「あらゆる企業・組織で利用できるよう、デジタルスキル標準はあえて汎用性を高くしています。“いいとこ取り”はまさに想定したとおりの使われ方です」と顔をほころばせます。
幅広くスキルを提示しているという長所が“いいとこ取り”しやすさにつながるのでしょう。
龍王さんは、「デジタルスキル標準はDX推進に必要なスキルを俯瞰し、双日におけるスキルの現状と補うべきスキルとの差分をとらえるのに役立ちました。自分たちでゼロから考えていたら、これほど網羅的に考えることはできなかったと思います。パブリックな指針ということで社内の了解が得やすかったのも利点です」と振り返ります。
人事部人材開発課の片所樹哉さんは「当社にはデジタルの強固なバックグラウンドがなく、人材育成で何をどう設計すればよいのか手探り状態でした。デジタルスキル標準はそこを明らかにしてくれました」と評価します。
さらに双日では、研修コンテンツ開発にも知恵を絞ったそうです。「特に時間をかけたのがビジネスデザインコースです。総合商社におけるビジネスデザインとは何か、議論を重ねた結果浮かび上がったのは『世の中に多数あるDX事例の中から成功パターンを抽出し、それらを双日グループの事業へアレンジすること』でした」と宮脇さんは言います。
研修コンテンツの開発ではカリキュラムごとに10~20名の意欲・意識・リテラシーの高い社員にも開発協力を要請し、そうした人材の優れた知見やノウハウを自然とインストールできるような教材をつくり上げました。
「DX感度や変革意欲の高い社員を見つけ出し、その人たちと一緒に研修コンテンツをつくる。そうやって自社の魂を込めることが、人材育成の質とスピードを高めるポイントだと思います」と宮脇さんは語ります。
さまざまな創意工夫が功を奏し、双日のデジタル人材育成は着実に実を結んでいます。
「DXに対する社員の意識改革は着実に進んでおり、社員が主体的に学ぶ姿勢が見られるようになりました」と片所さん。
特にエキスパート研修に挑む課長クラスの人材が増え、修了後に彼らをマネジメントとするデジタル専任組織が本部内で立ち上がり始めました。
各本部やチームのリーダーと現場担当者がともに高度なデジタル知識を持ち、それぞれのビジネスで新たな価値を創出する、まさに中計2023で描いたビジョンが実現しつつあります。
双日が2021年の「DX認定取得事業者」をはじめとして、「DX銘柄2023」「DX注目企業 2024」に選定されたのはその裏付けともいえるでしょう。
「中計2023はデジタル開拓期、いわば準備期間の位置づけでした。2024年5月に発表した『中期経営計画2026』では “Digital-in-All(すべての事業にデジタルを) ”と銘打ち、徹底的なデジタル活用による新たな価値創造、企業価値の向上に挑戦します」と宮脇さん。片所さんも「育成した人材をどう活かすかがこれから問われます。人事部としても全社目線で人材の活躍を後押ししていきたいですね」と語ります。
「特にエキスパート人材の育成を加速することで、クロスアサインなど活躍の場の広がりも期待できるのでは」と展望を示すのは龍王さん。「デジタルを使ってどう稼ぐかという道筋を描き、そこへ到達するために補うべきスキルをタイムリーに提供するため、プログラムのアップデートも図っていきます」
さらに宮脇さんは、「ビジネスモデル変革の手段として、デジタルを活用することが当たり前になれば、デジタル人材という言葉の特別性がなくなるはずです。それが“Digital-in-All” という言葉の本質だと思います。そうした世界観を実現するために、グループ一丸でDX推進に取り組んでいきます」と長期的な視座を示しました。
力強い言葉に阿部さんは、「双日さんのDX推進の勢いを感じます。その下支えとなっているデジタルスキル標準を、より多くの企業・組織で役立ててもらえたらうれしいです」と語ってくれました。
DXを推進する人材の役割や習得すべきスキルを定義した 「デジタルスキル標準」は、すべてのビジネスパーソン向けの「DXリテラシー標準」と、専門性を持ってDXを進める人材向けの「DX推進スキル標準」で構成されています。
このうち、DX推進スキル標準について、2024年7月に改訂を実施。
具体的には、
という2つの改訂がなされました。
それぞれについて、IPAデジタル人材センターの研究員である阿部容子さんと神谷龍さんが解説します。
「グローバルでは一般的な職種であるプロダクトマネージャーは、日本においてもデジタルサービスを提供する企業に浸透してきていますが、これはビジネスアーキテクトと似た職種なのです」と阿部さんは指摘します。事業や製品サービスの価値向上、ひいてはビジネス価値の向上をミッションとすること、さらに目的達成に向けて関係者をリードし、価値創出のプロセス全体に関わる点は両者に共通しています。
「そこで、今回の改訂ではビジネスアーキテクト類型に補記する形でプロダクトマネージャーをDXを推進する人材として定義しました。プロダクトマネージャーに期待される役割、DX推進において担う責任、主な業務、必要なスキルなどを追記しています」と阿部さん。
もうひとつの改訂が、急速に普及する生成AIについてです。企業・組織のDX推進を加速し、競争力を高める可能性があるとして、ビジネスパーソンに生成AIを扱うスキルが求められるようになってきました。「2023年8月にDXリテラシー標準へ生成AIについて追記したことに続き、今回の改訂ではDX推進スキル標準に対して必要な変更を行いました」と神谷さんは語ります。
今回追加した補記では、まず生成AIの特性といった基本的な内容に加え、想定される有用性やリスクにも言及。「要約・分析・アイデア創出や、人間の意思決定の一助とするなど、生産性向上や新たなビジネス・業務プロセス等に関する変革に資する有用性がある一方で、権利侵害や情報漏えい、倫理的な問題などリスクに直面する可能性もあることを理解する必要があります」と神谷さん。
そのうえで、生成AIに対するアクションを「活用する」「開発する、提供する」の観点で整理しました。「活用は、DXを推進する立場でどういう使い方ができるのか、どういうビジネスにつなげられるかを考えるため、『まずは使ってみましょう』というスタンスです。すでに生成AIを業務に取り入れている場合でも、より効果的な活用としていただくためのアクションを挙げています」と神谷さんは言います。
さらに本格的に生成AIをビジネスに組み込んでいくのが、「開発する・提供する」というアクションです。改訂では、生成AIを組み込んだビジネスを構想する際にDXを推進する人材が取るべき行動等を明示。それぞれの人材類型がどんな役割を担い、どのようにビジネスや業務プロセスに組み込み、改善を図っていくか、価値創出に向けたサイクルを解説しています。
生成AIの認知度は高まっているものの、業務への組み込み方がわからず、足を踏み出せないでいる企業・組織も多いことでしょう。「そうした方たちにとって、今回の改訂が一歩を踏み出すヒントになれば幸いですし、すでに生成AIを取り入れている場合にも有用性やリスクについて新たな観点を提供できればと思っています。もちろん、人材育成の場でも生成AIを使いこなすスキルを検討する材料にしてほしいですね」と神谷さん。
阿部さんは、「技術の進化にせよ、グローバルな動向にせよ、デジタルビジネスの潮流はとても速いです。その中でデジタルスキル標準はDX推進に取り組む企業・組織のより所となるもの。これからも時代の変化に合わせて適切にアップデートを図っていきますので、多くの皆様に役立てていただければと思います」と展望を語りました。
オンラインショップやインターネットバンキングを利用する際、ログイン認証を「IDとパスワード」のみで行う人が多いようです。フィッシング対策協議会の調査(2023年7月公開)でも、オンラインショッピング利用者の80.9%がこの方式でログインしていることが明らかになっています。しかし、パスワードを使う認証は、実はセキュリティリスクが高いのです。問題点として、「利用者が単純なパスワードを設定するなど管理が不十分になりがち」「パスワード詐取を狙うフィッシング詐欺やサービス提供側の情報漏えいで、認証情報が漏れるリスクがある」「パスワードが漏えいすると不正ログインに悪用される可能性がある」といったことが挙げられます。IPAが公開する「情報セキュリティ10大脅威(個人編)」でも、2016年から9年にわたり「インターネット上のサービスへの不正ログイン」が登場していますが、パスワードの管理不備や漏えいはそのきっかけのひとつといえるでしょう。
より安全な認証を行うには認証の3要素である「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせる多要素認証が推奨されますが、これを安全かつ便利に行う認証方式として注目されるのが、FIDOアライアンスが策定する「パスキー」です。特徴は、公開鍵暗号方式を用いることでパスワードが不要となること。パスワードの代わりに、スマホなどデバイスの生体認証やPIN(個人識別番号)などの画面ロック解除によって認証を行うのです。
パスキー利用のメリットとして、
などが挙げられます。
事業者としても、パスワード認証への依存は不正ログインや情報漏えいの発生リスクを高め、ひいては利用者の金銭被害、企業イメージの低下といった事態にまで発展しかねません。そうした意味で、パスキーの導入はウェブサービスの安全性を高める有効な一手といえます。いわば玄関の鍵をより防犯性の高いものに改めるようなもの。米国の大手IT企業を中心にパスキーの導入が相次ぎ、遠からず日本への波及が見込まれることもあり、できるだけ早めの対応が望まれます。
導入には、ウェブサービスの認証システムにパスキーのしくみを組み込むことが必要です。自社での処理が難しい場合は外部のベンダーなどに相談するとよいでしょう。
近年、インターネット上のサービスへの不正ログインが多発しており、多額の金銭被害も発生しています。不正ログインの足がかりとして攻撃者が狙うのが、ウェブサービス利用者のパスワードです。不正ログインを行う攻撃でパスワードに関連する手口から主なものをご紹介します。
攻撃者が何らかの不正な方法で入手したIDとパスワードのリストと、これを自動的に入力するプログラムなどを使い、ウェブサービスにログインを試みる攻撃。
使われやすいパスワードを攻撃者が類推し、そのパスワードでログインを試みるもの。知人や芸能人の個人情報(氏名、誕生日など)からパスワードを類推されることもある。
文字や数字、記号を手あたり次第に組み合わせてパスワードを形成し、ログインを試みる攻撃。「総当たり攻撃」とも呼ばれる。
辞書に載っているような一般的な用語や固有名詞などからパスワードを形成し、ログインを試みる攻撃。
IDとパスワードの認証方式が主流である現在、パスワードは本人であることを証明する手段となっています。裏を返せば、パスワードが破られた場合、第三者による本人のなりすましが容易になされてしまうということ。だからこそ、攻撃者はパスワードの詐取をもくろんでいるのです。
また、サービス利用者が複数のサービスでパスワードを使い回していると、それらのすべてで攻撃者にログインされるおそれがあります。パスワードのみに依存した認証方式の危険性を改めて認識しておきましょう。
パスワードの詐取・漏えい・突破による不正ログインの事例は増えています。2023~2024年に発生した主な被害は次の通りです。
被害時期または発表時期
|
サービスの種類
|
被害の概要
|
---|---|---|
2024年1月
|
オンライン |
8件の正規利用者のアカウント情報を用いて、第三者が不正
ログインを実行。正規利用者と無関係の宛先へ商品を届ける
不正な注文(総額約300万円以上)が行われた。
|
2023年9月
|
ネット取引サービス
|
サービス提供元以外から入手した口座番号とパスワードを
用いて不正ログインがなされ、保有株式を不正に売却される
被害が発生した。
|
2023年5月
|
オンライン |
3件のアカウントが不正ログインされた結果、氏名、住所、
生年月日、クレジットカード番号の一部などが閲覧された
おそれがある。
|
2023年3月
|
転職情報サービス
|
パスワードリスト攻撃により、利用者25万5,765名分の
アカウントが不正ログインされた結果、履歴書を閲覧された
おそれがある。
|
2023年1月
|
英語検定試験サービス
|
パスワードリスト攻撃とみられるログイン試行が約26万回
行われ、58件のアカウントが不正ログインされた。氏名、
住所、電話番号、生年月日などが閲覧されたおそれがある。
|
こうした被害に遭わないようにするため、サービス提供側にはパスワードに依存しない安全な認証システムが求められます。多要素認証や、それを安全かつ便利に行うパスキーの導入も検討してください。