国立研究開発法人情報通信研究機構(NICT)
国立研究開発法人情報通信研究機構(NICT)は、情報通信分野を専門とする我が国唯一の国立研究開発法人です。情報通信技術の研究開発を基礎から応用まで統合的な視点で推進し、同時に、大学、産業界、自治体、国内外の研究機関などと連携して、研究開発成果を広く社会に還元し、イノベーションを創出することを目指しています。
研究者の立場で、未来の人材も育てる。
サイバーセキュリティ研究所 ナショナルサイバートレーニングセンター
サイバートレーニング研究室 主任研究員
横山 輝明氏
奈良先端科学技術大学院大学情報科学研究科 博士課程修了後、インターネット基盤分野や途上国におけるICT基盤の研究開発に関わる。2017年NICT入所。現在はサイバーセキュリティ人材育成SecHack365や量子ICT人材育成プログラムNQCなどを担当。
サイバーセキュリティの未来を担う人材を育てる
学生: 国立研究開発法人情報通信研究機構(NICT)について教えてください。
横山さん: NICTは、情報通信技術の研究・開発を行う、日本唯一の国立研究開発法人です。やはり国立の機関なので、「どうすれば日本の情報通信が発展できるのか?」という視点で研究を行っています。ときには企業や自治体、大学などと連携することもありますし、企業から依頼を受けて開発を行うこともあります。「電磁波先進技術分野」「革新的ネットワーク分野」など、いくつかの分野の部署が設けられていて、その中に、皆さんの学んでいる領域に最も近い「サイバーセキュリティ分野」があります。
学生: 横山さんの所属しているナショナルサイバートレーニングセンターは、どんなところでしょうか。
横山さん: ここでの主な仕事は、サイバーセキュリティに関する人材育成です。
といっても、セキュリティに関する専門家を育てるだけではありません。
例えば、自治体で働いている方を対象に、職場のパソコンがコンピューターウイルスに感染したあとどういう処置をすれば被害が最小限になるか、そういう観点での演習を行っていたりします。
もう一つ、僕が非常に力を入れている事業が「SecHack365(セックハックサンロクゴ)」です。これは、サイバーセキュリティ分野の人材が不足している現状を変えられるような画期的なものを作れる人を育てるための、若手の人材育成プログラムです。
学生: 「SecHack365」はどういうものなのでしょうか。
横山さん: 皆さんは、「ハッカソン」って知っていますか?「マラソン」のように「ハック」をするイベントのことで、開発者やプログラマーたちが好きなテーマで開発をしたり、開発の成果を自慢したりします。「SecHack365」は25歳以下の社会人や学生が集まり、1年間かけて”サイバーセキュリティに関する作品づくり”のハッカソンを行う育成プログラムです。では、どんなものを作るのでしょう。これまでの参加者の皆さんは、いろんなアイデアを生みだしています。例えば、セキュリティ保護や脆弱性診断といったようなセキュリティを目的としたプログラムを作る人もいれば、セキュリティ教育や啓発的なコンテンツを制作する人もいたりします。中には、自分が作りたいサービスがあって、そのセキュリティ面を磨くために参加しにきたという人もいます。
システムの中から「危険な穴」を見つける
学生: ホワイトハッカー、セキュリティエンジニアに求められる資質を教えてください。
横山さん: 「嫌なヤツ視点」を持っていることでしょうか。というのも、インターネットをサイバー攻撃から守るには、ホワイトハッカーやセキュリティエンジニアが、常にシステムの「穴」を見極める必要がありますよね。だからこそ、システムを使っている人に嫌がられるくらい、「この構築ではウイルスに感染しますよ」「このままでは危険ですよ」とケチをつけなければならない。でも、そんな「嫌なヤツ」のまま終わらないのが大切です。そこは入り口にすぎなくて、危険な穴を見つけたら、対策や解決方法を提案できる力も持つ。そんな人材が、サイバーセキュリティのプロだと思います。
学生: サイバー攻撃が増えている中、日本がセキュリティにおいて目指していることは何でしょうか。
横山さん: 今、日本政府が「サイバーセキュリティ戦略」という基本的な方針を掲げています。ここを見ると、日本が今セキュリティについて、どんなことを大切にしているのかがわかります。これは数年に一度改定されていて、2021年9月に発表されたものでは「DX(デジタルトランスフォーメーション)」について記述されていますので、この内容を押さえておくと良いかと思います。「DX」とは、企業などのビジネスシーンにデジタルを活用し、変革を推進していくこと。国の方針もあり、今、企業のデジタル化が増加しています。やはり、ここでももちろんセキュリティの存在は必須です。そのため、企業のインターネットにとって、どんなものが脅威になり得るのか、といった視点が必要になります。セキュリティについて勉強するだけでなく、DXという概念そのものについても学習を深めたり、そもそも世の中のニュースや動きを把握することで、今の日本に必要なセキュリティがわかってくるのではないでしょうか。
サイバーセキュリティ人材を目指すなら、どんどん手を動かす
学生: サイバーセキュリティの業界に携わるために学ぶべきことは何でしょうか。
横山さん: まずは、「自分が本当に好きなこと」と「自分のするべきこと」を見極めるために、目的意識を持って勉強してほしいと思います。皆さんは今、好きでサイバーセキュリティの分野を学んでいると思います。しかし将来、仕事をしだすと、どうしても「これが得意だからやっている」「好きだからこの仕事をしている」だけでは済まなくなります。なぜなら、上司やクライアントなど、自分の仕事を受け取ったり、それを評価する人がいるからです。
そのためには、まずどんなことが日本や社会で求められているのかを知らなければなりません。仕事に関心を持ち、実際の仕事の事例などを調べてみるのもよいですね。また、そうした期待に応えるための力を身につけることも大事です。そちらは、例えば、インターネット、脆弱性診断、スマートフォンアプリ、ネットワーク上のシステムなど、自分の興味あるものを深掘りしたり、試してみたりして、自分の専門分野にしたいものを育てていけると、将来の仕事に結びついてきます。
学生: 高校生や専門学校生の自分たちが、いまやっておくべきことは何でしょうか。
横山さん: システムを作ったり、プログラムを開発したりと、どんどんモノづくりをしてみたらいいと思います。例えば建築会社の人は、大きく立派なビルを見たときに、私たち一般人にはわからないような着眼点で「あの建物は、こういう仕組みだから素晴らしい」と観察できますよね。それと同じで、日々開発を行っていると、Webサイトやアプリなどを見て、「これはこういう仕組みだから、ウイルスに感染しやすい」とわかってくるようになります。セキュリティ人材を目指すなら、まずは仕組みを作ったり壊したりして、どんどん手を動かすこと。そうすると、卒業後の道も開けてくると思います。