相次ぐ証券口座乗っ取りや不正送金･･･｢金融機関のサイバー対策｣は情報収集や人材面にも課題、日本に欠けた視点とは？

例えば日本の場合、セキュリティ対策で参照する情報ソースが日本語に偏っている金融機関が多く、グローバルな情報を多角的に収集している金融機関と比べ、情報収集の遅れが生じている可能性が考えられます。

人材面でも課題があります。セキュリティ対策において先進的なアメリカなどと比較すると、日本はサイバーセキュリティ人材の層が薄く、アメリカとの人材数には10倍程度も差があるといわれています。

日本では、ITやセキュリティのバックグラウンドを持たない人材がCISO（Chief Information Security Officer：最高情報セキュリティ責任者）に就任するケースが少なくありません。

また、日本のサイバーセキュリティ部門では、2年に1度などの短いスパンで人事異動によって担当者が交代することも多く、社内の能力維持がなされない点は欧米との大きな違いと言えます。

アウトソースが多い点も問題です。アメリカの先進的な機関では人材を自社で育成していくのは当たり前で、ここ10年ほどでベンダーやコンサルタントに頼らない体制ができています。アメリカの金融機関の人と話すと「なぜ日本はコストをかけてリスクを高めているの？」と言われますね。この点に問題意識を持ってインソースに舵を切る国内の金融機関も出てきましたが、まだごく一部です。

金融機関に必要なサイバーセキュリティ人材は？

――自組織での人材育成には、どのように取り組めばよいでしょうか。

アメリカ国立標準技術研究所（NIST）が策定した「NICE（National Initiative for Cybersecurity Education）フレームワーク」では、セキュリティ人材に必要な能力がまとめられ、50を超えるサイバーセキュリティの職種が定義されています。

つまり、セキュリティ対策においては、CISOのような経営に近いリーダーシップを発揮する人材から、現場レベルで技術に特化し攻撃の検知や防御を行う人材、近年注目されているレッドチームまで、幅広い人材が必要であり、それぞれ求められる能力が異なるわけですが、これらすべての人材に共通して不可欠なのが「IT技術の知識と経験」です。

ネットワーク、OS、サーバー、アプリケーション、データベース、クラウド、モバイルなどを構成する技術要素の根本部分は20年前から大きく変わっていません。これらの基本的な知識を一通り習得したうえで、セキュリティの専門技術を学ぶ必要があると私は考えています。