日本で唯一の電波・放送・情報通信に関する全国紙

　企業のセキュリティ人材の育成についてNECを取材した。市場調査会社「MM総研」が9月に発表した「民間企業におけるサイバーセキュリティ対策の動向調査」では『企業の82％でセキュリティ人材が不足して、インシデント発生でセキュリティ意識が高まっている』という結果が出た。「電波タイムズ」では、NECの淵上真一Corporate　Executive　CISO、木村俊介サイバーセキュリティ技術統括部タレントマネジメントグループアーキテクトに「NECにおけるセキュリティ実装の推進と実践できる人材の育成について」インタビューした。
（「電波タイムズ」11月14日（金）付けに掲載しています）

写真は　テクニカルワークショップの様子

　最初に淵上氏にサイバーセキュリティ人材育成に取り組む社会的背景と目的について聞いた。
　「我々はシステムインテグレーター（SIer）であり、かつ、重要インフラなど日本の根幹に関わる仕事をさせていただく機会が多い。目的のひとつ目は、SIerとしてお客様に提供する製品・システム・サービスがセキュアになるためには、ビジネスを考慮した適切なセキュリティ実装を実践できる人材が必要なので、そのための育成をしていること。2つ目は、変転していく世の中で我々自身もサイバーの脅威から身を守らなければいけない。NECグループのシステム・ネットワークをサイバーの脅威から守るために、人材育成をしなければいけないこと。そして、サイバーセキュリティ人材は、まだまだ足りないといわれている。そういった社会的な課題に対して、セキュリティを支える実践力のある人材を輩出していくことが３つ目だ。我々のもつ知見を社会に提供することで、サイバーセキュリティ人材の全体量が増えると、日本の社会のために役立つことになる」と話した。
　　　　　
　続いて木村氏がNECのサイバーセキュリティ人材育成の具体的な内容を話した。概要は次の通り。
　NECが考えるセキュリティ人材の定義とは何か。NECは、重要なインフラを支えているお客様に対して、安全・安心なデジタルインフラサービスを提供する企業である。我々がそこに従事していくにあたっては、社内でもＤＸ人材の育成が必要だ。NECはDX人材育成で①コンサルタント②サービスデザイナー③アーキテクト④アジャイルエンジニア⑤データサイエンティスト⑥クラウド系人材⑦生体認証・映像分析人材⑧サイバーセキュリティ人材―の８つの領域にわたってDX人材を育成する方針になっている。
　NECは当初、2025年までにDX人材を1万名にする目標を掲げていたが、23年度に前倒しで目標を達成したので、25年度までに1万2000名へ上方修正した。
　NECのセキュリティ人材の定義は次の通り。
　『セキュリティ・バイ・デザイン（SBD、企画設計段階からセキュリティを考慮したアプローチ）の必要性と考え方を理解し、最適な手法によりセキュアなシステムを設計、構築、運用できる人材』である。こちらをきちんと理解して、最適な手法によってセキュアなシステムを設計、構築、運用して、お客様にデリバリーできる人材を我々はサイバーセキュリティ人材と呼んでいる。
　ではSBD活動をどういった内容で取り組んでいるか。実践できる人材育成の全体像をみると『SBDの実践、適切なセキュリティ実装により、事業価値を創出・向上できる人材の育成、マネジメント』と謳っており、そのうちの『SBDの実践、適切なセキュリティ実装をするための育成施策』において『NECサイバーセキュリティ訓練場』『セキュリティ・バイ・デザインスペシャリスト』『NCSA（NECサイバーセキュリティアナリストの略）』―の3つを説明する。いずれも、個々のセキュリティの理解度や習熟度に応じて段階的にこの教育を準備しているのが特徴である。
　『NECサイバーセキュリティ訓練場』について。
　ここでは、個々の社員を観点にセキュリティの設計や実装能力をSBDの思想のもと向上させる研修プログラムという位置付けとなっている。研修内容として概要レベルで説明すると、お客様向けのシステム・サービス提案や提供に関わる方が適切な知識とリスクアセスメントの手法、脆弱性対策方法などを実践的な演習も交えながら身に着ける研修となっている。セキュリティの観点でどういった脆弱性があるかをきちんと評価する手法、あるいは脆弱性の対策の方法を身につけることが、NECサイバーセキュリティ訓練場となる。内部的には①インターネットセキュリティ技術（ITとセキュリティの基本的な知識の習得）②実戦形式で学ぶリスクアセスメントとその対策（適切な「セキュリティ実装」を行うアセスメント手法を身に着ける）③総合演習（堅牢化の重要性と正しい手法、攻撃を受けた後の正しい対応を行うスキル身に着ける）④フォローアップ（総合演習を修了したのち、スキル維持向上、新しい気付きを得ることを目的とした学習）―の４つに分かれる。総合演習までを通して理解したスキルを維持したり、新しい気づきを得るための学習も実施している。

　次に『セキュリティ・バイ・デザインスペシャリスト』について。
　先ほど『サイバーセキュリティ訓練場』は個々の社員だったが、こちらは〝個々の組織〟がポイントになる。こちらの教育プログラムは、組織のセキュリティの設計や実装能力を向上させることを推進できる人材育成を行っている。セキュリティ提案・実装の重要性を正しく認識したり、適切に伝えることができるスキルを獲得するプログラムとしている。
　『主に企画段階を担う人材』『主に設計・開発段階を担う人材』の2つのコースを用意している。
　前者は、セキュリティ対策の重要性を正しく認識し、その必要性を的確に伝えることができるスキルを獲得するプログラムを提供する。獲得できるスキルに関しては、インシデントによるセキュリティ対策の重要性や仕様を適切に組み込むために行うべきタスクの理解、お客様の提案書、見積にセキュリティ対策が含まれていることを確認・実践するスキルになっている。
　後者は、システムに適切なセキュリティ対策を実装し、適切な設計・開発・運用を行うためのスキルを獲得するプログラムを提供する。開発及びリリースした後、運用するところを実施するSEやセキュリティ責任者が対象で、そこを支える人材を育成する研修となっている。また、スキル取得の裏付けとなる外部資格「CISSP」の取得のためのセミナーもプログラムに含まれている。
　　　　　
　最後が『NCSA』について。 ここはNECのトップセキュリティ技術者を養成するもの。事業活動に活用できる高度なセキュリティサービスに必要なテクニカルスキルを習得する半年間のプログラムとなっている。実際にセキュリティで事業を引っ張っていく、セキュリティ専任で従事していくといった方に対しては、セキュリティの高度なリスク検査や、お客様のところでインシデントが発生したときのレスポンス活動、あとは脅威分析も活用して適用していく。そういったスキルが必要になってくるので、そのための人材を育成するための研修プログラムとなっている。こちらも受講期間中に取得する資格を用意している。
　　　　
　続いて、NECのサイバーセキュリティ人材育成で同業他社より優れている点を聞いた。
　木村氏は「サイバーセキュリティ人材育成において、目的や方向性を持って各種研修プログラムを用意している点。研修プログラム受講人数やセキュリティ資格を保持している人数・実績がひとつ目の優位性になってくる。もう一つは、NECはサイバーセキュリティを20年以上にわたって、お客様に寄り添ってデリバリーできる、そういった知見や実績を持っている点だ」と述べた。
　NECグループのセキュア開発・運用推進の歴史をみると、社会動向やセキュリティインシデント事案を踏まえながら基準のバージョンアップや点検を実施。これらの実践知をもとに、22年からは「サイバーセキュリティ管理規程」として全社規程化した。これはＮＥＣがそういった知見などを通してセキュリティを実装していく上で社員が役割ごとに果たすべき責任とそのための行動を規程化したものだ。
　「この規定化したものをきちんと社員に守ってもらう。そうすることでセキュアなシステム・サービスをお客様に提供できる。併せて、規程化するだけではなくて、それをきちんと個々の社員に理解してもらい、実践してもらう。理解や実践されているかどうかは社内で理解度を測るサーベイを実施しており、理解浸透されているかの測定結果が出てくる。個々のスキルレベルに応じて一つ上の段階にステップアップできる形で教育を実施する。そういったPDCAサイクルを進めることで、お客様にシステムやサービスをセキュアなものとして提案して、安全・安心なところに結びつけていく。そこがNECの強みではないか」と木村氏。
　　　　　
　次に実践できる人材の育成で、『産学連携 社会への還元』について話してもらった。
　「ここでは、NECが有する最新のセキュリティ動向やセキュリティ実装における知見を共有し、企業で活躍できる実践力を持った人材の育成や輩出に貢献している。これから技術者として世の中に出ていく学生らが、学生の段階で持っておいてほしい実践的なプラクティスを、産学連携を通して学生に提供している。具体的には、独立行政法人国立高専機構との包括連携協定を22年7月から結んでいる。国立高等専門学校機構との連携協力により、産学共同の教育支援を実施している。企業で実際に活用されている教材や演習環境を用いることで実践力の育成に貢献している。また、産学連携による講義では、長崎県立大学でセキュアシステム設計技法講座を行っている。学生のうちにＮＥＣのこういうイベントがあったと思い出していただき、社会人になってもNECのことを知っていただく、ファンになっていただく。一緒になってそういったセキュリティを通じて安全・安心な社会を支えていくことは非常に重要なことだと思う」（木村氏）。
　同社は、全国から高専女子学生が参加するセキュリティイベントをＮＥＣオフィスにて実施した。NECグループの女性エンジニアとの交流や実践的なセキュリティ演習を通じてキャリアを考え、セキュリティスキル向上を図る機会を提供した。NECとKOSENサイバーセキュリティ教育推進センター（K―SEC）が共催する高専女子学生向け「2025 K―SEC CAMP FOR GIRLS」（９月11日、12日開催）にて、NECグループの女性エンジニアとのキャリアワークショップや学生向けCTF（サイバーセキュリティの技術を競う大会）で出題した問題演習を体験するテクニカルワークショップを行った。「2025 K―SEC CAMP FOR GIRLS」は、高専女子学生間のコミュニティ形成と情報交換、社会人女性エンジニアとの交流を通してキャリアを考え、実践演習によるセキュリティスキル向上を図ることを目的としたイベント。
　　　　　
　23年12月1日、一般社団法人サイバー安全保障人材基盤協会（CSTIA、神奈川県横須賀市、中谷和弘理事長）設立発起会がYRP（横須賀リサーチパーク、神奈川県横須賀市、鈴木茂樹社長）で開催された。CSTIAは▽サイバー安全保障に関わるサイバー人材の需要を満たすために、民間事業者・産業界が我が国のサイバー安全保障人材の育成に向けて連携・協力し、速やかに我が国のサイバー安全保障分野の対応能力の向上に貢献すること▽サイバーセキュリティ事業者・産業界と防衛省・自衛隊をはじめとする政府各機関、重要インフラ事業者及び防衛産業との間の接点・調整役となり、情報の共有と連携・協力の強化に資すること―を目的に、YRPを拠点に活動が進められている。NECも正会員となっており、淵上氏も理事を務めている。淵上氏に横須賀でサイバーセキュリティ人材活動などを進める利点を聞いた。　
　「横須賀を中核にセキュリティ人材育成を進めるメリットは〝地の利〟だと思う。横須賀は防衛国防という要素と、米軍も駐留しているので同盟という要素、そしてYRPの技術という3つの要素が集積されているところ。とかく人材育成は、教科書的に机上の空論になってしまいがちだが、そういう意味で、こういう３つの要素が集積している横須賀で行うことによって、日本の安全保障にきちんと直結した実践的なセキュリティ人材を育てられる。そのための地政学的環境がいちばんの意義ではないか」と述べた。
　　　　
　最後に今後の展開について聞いた。
　淵上氏は「我々の大きなビジョンは、根幹になるのは日本のセキュリティを支えていくために、事業活動も行いながら、人材の面でもきちんと支えていきたいこと。その意味で、我々が育てた人材が、我々の組織だけではなく、いろいろなところで活躍する未来を作っていきたい。これを大きなビジョンとして掲げて、セキュリティ人材の育成に取り組んでいきたい」と述べた。
　さらに「具体的に社会に還元するためにどうしていくのか。これは2つの方向性を具体的に考えていてひとつは、既存の教育機関との連携、今は高専と行っているが、今後、例えば大学や専門学校も考えられる。このほか、警視庁や兵庫県警から人材を受け入れて育成している。さらに、民間企業からもセキュリティ人材として活躍が期待される人材を受け入れてセキュリティの専門的なトレーニングを行っている。産官学連携により実践的な対応能力を育成する場にもしていきたいというのがビジョンだ」と述べた。
　木村氏は「お客様からNECで取り組んでいるセキュリティ人材育成施策についてのお問合せをいただく機会も多くなっている。お客さまのビジネスを支えるセキュリティ人材にも応えることで、社会の安全・安心セキュリティという観点でさらに貢献していきたい」と話した。

この記事を書いた記者

田畑広実

元「日本工業新聞」産業部記者。主な担当は情報通信、ケーブルテレビ。鉄道オタク。長野県上田市出身。

最新の投稿

• 情報通信2025.12.02ＮＥＣが取組むサイバーセキュリティ人材育成活動
• 情報通信2025.12.02富士通、『デジタルフェイク対策テクノロジー』
• 情報通信2025.12.02富士通、人とロボットが共存・協働する未来を拓く空間World Model
• 情報通信2025.12.02富士通など、偽・誤情報や新たなAIリスクに対応する国際コンソーシアム