トライコーダ・上野宣氏が説く、セキュリティ人材育成の勘所とは？

サイバー攻撃に端を発する大規模な情報漏えい事故が、相変わらず後を絶たない。特に近年では、攻撃側による生成AIの悪用や、世界的な地政学リスクの高まりといった状況の変化を受け、日本をターゲットにした高度な攻撃が増加しているとも言われる。

多くの日本企業が自社の貴重な情報資産や従業員の個人情報を守るために、セキュリティ人材の確保と育成を急ピッチで進めている。「セキュリティ人材不足」が叫ばれるようになって既に久しいが、近年のセキュリティ対策への需要拡大により、官民双方において人材育成の取り組みが活発化している。

そんな中、民間の立場からセキュリティ人材育成に長らく尽力してきたのが、株式会社トライコーダの代表取締役を務める上野宣氏だ。同氏は奈良先端科学技術大学院大学において山口英教授の下で情報セキュリティを学んだ後、さまざまなフィールドでセキュリティの専門家としての活動を展開。2006年にトライコーダを設立した後は企業に対してペネトレーションテストや脆弱性診断のサービスを提供するとともに、脆弱性診断やセキュア開発のための人材を育成する教育プログラムもあわせて提供している。

また、上野氏はOWASP Japan代表やJNSA ISOG-J セキュリティオペレーションガイドラインWG （WG1）サブリーダー、SECCON実行委員、一般社団法人セキュリティ・キャンプ協議会 理事など、数多くのセキュリティ関連団体の要職を務めるほか、書籍や記事の執筆活動を通じて世間一般に自身の知見を広く発信し続けている。

同氏が特に力を入れている人材育成活動の1つに、「プラス・セキュリティ人材」の発掘と育成がある。プラス・セキュリティ人材とは、セキュリティを専門に扱う人材ではなく、普段は主にセキュリティ以外の本業に携わりつつ、一定レベルのセキュリティリテラシーを備えた人材のことを指す。

「企業にとってセキュリティがこれだけ差し迫ったリスクになった今日、セキュリティ対策はもはやIT部門に丸投げすればいいというものではありません。IT部門がどれだけ優れたセキュリティ製品を導入しても、攻撃側は必ずそれをかいくぐる手段を講じてきますから、最終的には現場の“人”がリスクを検知する最後のセンサーになります。従ってセキュリティを専門とする方達以外への啓蒙や教育が重要だと考えています」（上野氏）

こうした考えに基づき、上野氏は関係機関と協力しながら、「ITパスポート資格のセキュリティ版」に相当するような「一般ITユーザー向けのセキュリティ資格制度」の立ち上げに尽力している。また、システム開発者に対するセキュリティ教育の一環として、DevSecOps※1に関する教育プログラムの提供も行っているという。

※1 開発（Dev）と運用（Ops）を連携させて開発期間を短縮・リリース頻度を向上させる「DevOps」に、セキュリティ（Sec）を統合した概念。迅速かつ安全性の高い開発を目指す

「DevSecOpsのプロセスがシステム開発の現場に定着すれば、セキュリティ対策をIT部門やセキュリティ部門に任せきりにするのではなく、開発者自身がきちんと意識する文化が醸成されます。こうして企業・組織のあらゆる立場の人がセキュリティを自分事として捉えられるようになれば、自ずと組織全体のセキュリティ対策のレベルも大幅に底上げできるはずです」（上野氏）

このプラス・セキュリティ人材に期待される最大の役割として、上野氏はセキュリティの世界とビジネスの世界の“橋渡し”を挙げる。

「現在多くの企業・組織では、セキュリティの文脈が分かる人と、業務や経営の文脈が分かる人が完全に分断されており、コミュニケーション不全の状態に陥っています。そこで、セキュリティの専門家とビジネス・経営の専門家の間に入って、セキュリティの専門的な知見をいわば“翻訳家”として分かりやすく伝える役割が求められています」（上野氏）

本来はCISO（Chief Information Security Officer：最高情報セキュリティ責任者）がセキュリティの専門的な知見をCEOに分かりやすく伝える役割を担うべきである。しかしながら、多くの企業はCISOの役職は設けたものの、その実態は「名ばかりCISO」で、翻訳家としての役割を十分に果たしているとは言い難い。現場レベルのセキュリティ担当者も、大抵の場合はセキュリティの専門家ではなく、もともと開発や運用を担当していたSE出身者が大半を占めている。このためスキルのばらつきが大きく、中には外部のセキュリティ専門家との意思疎通がなかなかうまくいかないケースすら散見される。

こうした状況を改善すべく、上野氏は先に述べたようなさまざまな取り組みを通じて「プラス・セキュリティ人材」「専門家と現場をつなぐセキュリティ人材」の育成に取り組んでいるという。セキュリティ業界全体でもこうした人材の必要性は広く認知されている。例えば、これまでセキュリティの「トップガン人材」の育成機関として知られてきた「セキュリティ・キャンプ※2」では、2025年からセキュリティ以外の業務を専門とする人材へのセキュリティ教育の場として「セキュリティ・キャンプコネクト」を新たに開催するようになった。

※2 学生に対して情報セキュリティに関する高度な技術教育を実施し、次代を担う情報セキュリティ人材を発掘・育成する事業

一方、セキュリティ人材不足が解消されるかもしれない兆しも、少しずつ見られるようになってきた。その1つが、セキュリティ人材の「待遇アップ」だ。かつてセキュリティ人材は、極めて高度な専門性が求められる困難な仕事であるにもかかわらず、それに見合うだけの評価や待遇が得られないため、若手技術者からはどちらかというと敬遠される傾向にあった。

しかし近年、高度なスキルと実績を持つセキュリティ専門家は、かなり高い報酬を得られるようになってきている。中には高待遇に魅力を感じてセキュリティの道を志す若手技術者もいるという。上野氏はこうした近年のトレンドを、比較的ポジティブに捉えているという。

「世の大半の人は職業を選ぶ際、仕事のやりがいだけではなく、給与額も選択基準の1つに挙げるのが一般的です。そういう意味では、セキュリティエンジニアはこれまで仕事の大変さに対して評価や報酬が追い付いていませんでした。しかし、ここに来てようやく正当な評価を受けられるようになり、待遇の良さで選ばれる職業になってきました」（上野氏）

ただし現時点では、高額な報酬が得られるのはセキュリティを専門的に扱う企業に所属するエンジニアであり、一般企業に勤めるセキュリティエンジニアの報酬は、一部を除いてはまだ以前の水準のままなのが実情だ。上野氏は、今後は一般企業でも高報酬でセキュリティの専門家が雇用されるような状況を作り出していきたいと語る。

「例えば弁護士の資格を持つ人材は、企業の法務部門に高報酬で雇われています。これと同じように、セキュリティの専門家も高い給与水準で一般企業に雇用されるようになるべきだと思います。まだ大半の企業の経営者は、セキュリティを『ITの分野の1つ』としてしか認識しておらず、高度な専門性が求められることを理解できていません。しかしセキュリティは今や重要な経営リスクの1つですから、これを専門的に扱える人材には相応の報酬が支払われるべきでしょう」（上野氏）

上野氏は現在、セキュリティ情報を専門に扱うネットメディア「ScanNetSecurity」の編集長を務めている。メディア側の立場からさまざまな情報を世間に発信する中で、同氏は既存メディアが「セキュリティ人材不足」「セキュリティ人材の育成」を論じる際の姿勢について、次のような疑問を呈する。

「大半のメディアは、判を押したように『セキュリティ人材が○○万人足りない！』『セキュリティ人材を育成しなければ！』と書き立てますが、具体的に、どんな人材が足りないのか、どの領域の人材を育成する必要があるのかまでは言及しません。一口にセキュリティ人材といっても、実際にはさまざまな職種がありますし、専門家とプラス・セキュリティ人材の違いもあります。本来なら、どの分野の人材がどれだけ足りていないのかまで踏み込んで、きちんと報じるべきだと思います」（上野氏）

実際には国が公開している資料の中には、職種ごとの人材不足の状況がある程度記されているが、既存メディアでこの内訳が紹介されることはめったにないという。十把一絡げで「セキュリティ人材が足りない！」と騒ぎ立てる前に、「こうした客観的なデータを冷静に伝えるのがメディア本来の役割ではないでしょうか？」と上野氏は苦言を呈する。

また「本来必要とされるべき人材の数」と、「実際に人材市場で求められている人材の数」との間に乖離があることも、人材不足の実態を正確に把握することを難しくしているという。

「現在のセキュリティ分野における状況を鑑みると、例えばペネトレーションテストを実施できる高度なスキルを持つ人材はもっと必要です。しかし実際には、日本ではまだコストをかけてペネトレーションテストを行おうとする企業が少ないため、人材の需要も少ないのが現実です。若手技術者にとってそのような職業は憧れの的なのですが……。こうした状況を変えていくためには、まずは企業にセキュリティ投資の意義をきちんと理解してもらう必要があるでしょう」（上野氏）

ここまで紹介してきたように、実に広範な領域に関わっている上野氏だが、既に社会に出ている人を短期間でセキュリティ人材に育成する取り組みだけでなく、今後は若者や子どもに対するセキュリティ教育の機会を数多く提供することで、中長期に渡って社会全体のセキュリティリテラシーを底上げしていくことが重要だと説く。

「最終的には、セキュリティを“文化”として社会全体に根付かせることを目指しています。そのための教育施策は1、2年の短期的なスパンではなく、10年、20年の中長期的なスパンで考えていく必要があります。例えば、東芝と文響社が共同で、セキュリティの基礎を学ぶための子ども向けの学習ドリル『うんこドリル サイバーセキュリティ supported by TOSHIBA』を発行して、全国の公立小学校586校に寄贈しています。このような若年層向けの教育を裾野広く展開していくことで、中長期的にセキュリティ文化を醸成していけるのではないでしょうか」（上野氏）

あるいは、セキュリティに関連するドラマや映画など、何らかのコンテンツが若者の間で流行することで、意外とセキュリティ文化が一気に根付くかもしれないとも同氏は語る。こうした可能性を信じて今後も若年層に対するセキュリティ教育の取り組みに力を入れていきたいと意気込む。

「長年人を教える立場にいますが、やはり若い世代に教えている時が一番楽しいですね。中高年の人たちにいくら一生懸命セキュリティを教えても、なかなか響かないのが実情です。でも、若者は目をキラキラさせてこちらの話を聞いてくれて、新しい知識を次々と吸収していくので、教える側もやりがいがあります。今後も日本社会にセキュリティ文化を根付かせることを目指して、次世代のセキュリティ人材の育成に取り組んでいきたいと思います」（上野氏）