サイバー攻撃 足りぬ人材　1日120万円の演習活況

企業がセキュリティー人材の確保に頭を悩ませている。サイバー対策大手のラックが1日120万円の訓練を始めると、ヤフーなど大手が殺到。金融庁も10月に大規模演習を実施した。日本企業の4割には専門技術者がいない。人材育成の裾野を広げなければ、激化する攻撃に対処できない。

ラックや日立に問い合わせ殺到　企業4割で技術者おらず

「被害範囲が分からないと対策の立てようがない。システムのログ（通信履歴）を調べてくれ」

10月上旬、東京都千代田区のラック本社でサイバー防衛演習が始まった。参加者は官公庁や人材派遣業のセキュリティー担当者など15人。社員が不審なメールを開封したとの想定で、サイバー攻撃に即応する訓練だ。

15人は各社で経験を積んだ技術者だ。しかし、矢継ぎ早に届く被害報告や社内外からの反応に対処するので精いっぱい。全社員に注意喚起のメールを送りつつ、情報漏洩などの被害状況や想定される原因を調べ、システムを止めるか稼働し続けるかの判断も迫られる。

6時間近い演習が終わった後、ある技術者はこう漏らした。「ここまで被害が大きくなるとは。備えがないと、本物の攻撃に直面しても対処が追いつかない」

ヤフーなど参加

ラックは9月、在宅勤務などテレワーク環境を想定した訓練サービスを開始した。定員は21人で1日税別120万円と高額だが、問い合わせが殺到。既に十数社で調整が進んでいる。約20人のグループ社員を参加させたヤフーCISO室の日野隆史氏は「実践的な現場を体験することで、対応スキルを高められる」と訓練参加の意義を語る。

ラックだけではない。富士通や日立製作所などIT大手も訓練サービスを提供する。IDCジャパン（東京・千代田）の調査では、国内の2019年のセキュリティー教育・トレーニング市場は122億円。24年には142億円になる見通しだ。

背景にあるのは、高度化するサイバー攻撃への危機感だ。闇サイトでは新種のマルウエア（悪意のあるソフト）や企業の脆弱性の情報が数十ドル程度で販売されている。

一方で、日本企業の対策は後手に回っている。米クラウドストライクの調査では、日本企業がサイバー攻撃を受けてから対応を終えるまでの平均時間は223時間。欧米などと比べて4割以上時間がかかっている。迅速な初動が被害の抑制には欠かせないが、対応できる人材を確保できていないのが実情だ。

情報処理推進機構（IPA）の19年度調査では、ユーザー企業の42.5%が「情報セキュリティー専門技術者を確保できていない」と回答した。攻撃に備えるには、人材を常に社内に抱える必要がある。だからこそ、育成が焦点になっている。

訓練が必要なのは、システム技術者だけではない。重要度を増しているのは、役員や広報など情報発信に関わる部門への訓練だ。セブン&アイ・ホールディングス系の「セブンペイ」の不正アクセス事件では、役員が記者会見で対策を適切に説明できずに顧客の不信感が高まった。

政府も育成に力

デロイトトーマツ（東京・千代田）は現場の担当者のみならず、経営層が参加して役割や意思決定を学ぶ演習型の訓練プログラムを提供する。カスペルスキー（同）は限られた予算や作業時間から防衛策を選択するゲーム形式の演習キットを、年間300万円で販売している。

政府も各業界の人材育成に乗り出している。金融庁は14日から6日間、約110の金融機関を対象にサイバー演習を実施した。5回目となる今回は銀行向けの演習で初めて、経営層の意思決定までを検証する内容とした。シナリオを事前に開示せず、各社が攻撃に即応できるかどうかを実戦方式で試した。同庁担当者は「内容を評価して来年1月にも結果をとりまとめ、各社に改善策を示したい」と話す。

セキュリティー教育を手掛けるトライコーダ（東京・港）の上野宣社長は「日本企業はサイバー防衛に予算をかける意識に乏しく担当者の地位や報酬が低いため、知識を習得する動機づけが弱い」と指摘する。専門知識を持つ人材をどう処遇するかも企業の課題だ。