イージスEW【特別対談】情報経営イノベーション専門職大学 平山敏弘教授
現状の日本のサイバー市場動向からみる、サイバーセキュリティ人材育成とは?
2025年1月16日、情報経営イノベーション専門職大学の平山敏弘教授と、株式会社未来研究所代表の小林忍が、現状の日本のサイバー市場動向からみる、サイバーセキュリティ人材育成について対談を行いました。
2人の対談から、日本のサイバーセキュリティ人材の課題と解決策を浮き彫りにしてゆきます。
学生のサイバーセキュリティへの関心が低い
- 学生はサイバーセキュリティの重要性を実感しにくく、学ぶ動機が弱い。
- セキュリティが「専門職向け」と思われがちで、浸透していない。
- 実際のサイバー攻撃事例や被害の影響を講義に取り入れ、危機感を持たせる。
- インシデント事例を活用し、セキュリティの社会的影響と重要性を伝える。
- 企業での実習による実務経験を通じて、自分ごととして重要性を理解させる。
企業がセキュリティ対策を重視していない
- 欧米と違い、日本ではセキュリティ対策の法規制が弱く、企業の自主性に任されている。
- 企業の人事評価にセキュリティスキルが組み込まれていないため、専門家が育ちにくい。
- 企業の人事評価にセキュリティスキルを反映し、インセンティブを与える。
- 経営層や一般社員向けのリテラシー教育を実施し、セキュリティ意識を高める。
- DX推進とセキュリティ対策を一体化し、ビジネスとITの両面から安全対策を考える。
サイバーセキュリティ専門人材の育成が追いついていない
- 日本では、セキュリティエンジニアやCISOなどの専門人材が不足しており、即戦力となる人材が少ない。
- 企業ではセキュリティ専門職がIT部門に限られ、事業部門や経営層の関与が不足している。
- 「プラスICT人材」を育成し、ビジネスとITの両方を理解するセキュリティ人材を増やす。
- 企業の人事評価にセキュリティスキルを反映させ、専門人材の価値を高める。
- サイバーセキュリティ専門コースや資格取得支援を強化し、人材育成の機会を増やす。
では、実際の対談内容を見てゆきましょう。
① サイバーセキュリティ人材育成について
サイバーセキュリティ人材の育成と課題
この度は対談の機会をくださり、ありがとうございます。
早速ですが、サイバーセキュリティ人材の育成について、平山先生のご経験をもとにお伺いしたいと思います。まずは貴学の特色をお教えいただけますか。
平山教授:情報経営イノベーション専門職大学(以下iU)の特色ですが、「ICT」と「ビジネス」と「グローバルコミュニケーション」という三本柱になっていまして、大学名にも入っている通り、「イノベーター」を育成すべきという方針です。
10パーセント前後は自身が起業した企業にそのまま進む学生がいます。そして就職する卒業生もIT分野に6割くらい就職します。
起業率が1位ということもありますが、イノベーションプロジェクトというiU特有の授業がありまして、学生たちがビジネスモデルやアイデア出しから始めて、選抜してVCの人を呼んで発表会をやって実際に評価してもらう、というようなことをやっています。
また大学自体にVCのような機能があり、学生が起業しやすいように支援もしています。
望む、東京スカイツリー
その中で、平山教授が受け持たれているサイバーセキュリティについてはどのような課題があるとお考えですか。
株式会社未来研究所では、サイバーセキュリティ研修コースを開設して、企業向けに教育をしています。しかし、学生向けの教育となると、なかなか興味を持ってもらうのが難しいのではないでしょうか。
そうですね。企業向け教育と学生向け教育では、アプローチが異なります。たとえば、企業では「業務上必要だから」と研修を受けますが、学生にはその切迫感がありません。
自分ごととしてセキュリティの重要性を理解してもらうためには、実践的なアプローチが必要だと考えています。学生には「なぜ必要なのか」を理解させることが重要です。
特に、サイバー攻撃によって経営が揺らぐ可能性や、個人情報が漏洩した場合の社会的影響を強調することで、現実味を持たせる必要があります。
たしかに、社会人は業務としてやらざるを得ないけど、学生は興味を持たないと学ばないでしょうね。
講義で実際のインシデント事例を使うと、多少関心を持ってもらえるのですが、それだけでは足りない感じです。
その点、実際にサイバー攻撃をシミュレーションし、被害が発生する過程を追体験する演習が有効だと考えています。
企業でも、CISO(最高情報セキュリティ責任者)などの役割を学ぶと、「セキュリティが経営にとってどれだけ重要か」を理解しやすくなると考えます。
それに加えて、技術者だけでなく、経営層や一般社員向けにも「リテラシー教育」を行うべきですね。たとえば、フィッシング詐欺への対処法や、パスワード管理の重要性など、基礎的な知識を浸透させることが求められています。
Linux・技術教育の現状
中堅規模以上の企業では、OSS、中でもLinux環境の知識が不可欠です。
特にサーバー管理やセキュリティ業務では、基本的なターミナル操作が求められるため、そうしたスキルを身につけている、Linuxに詳しい学生とつながりたいですね。
最近の学生はWindowsベースの学習が中心になりがちで、Linuxやネットワークに関する知識が不足していると感じます。
ただし、一部の学生は42Tokyoのようなプログラミングスクールに通い、実践的な学びを深めています。
42Tokyoのような教育機関は、ハンズオン形式で実践力がつくので良いですね。特に、Linuxのコマンド操作やサーバー管理の経験があると、即戦力としての価値が高まると思います。
情報経営イノベーション専門職大学の
実習制度と就職実績
貴学では実践的な教育を重視されていると思いますが、貴学の実習制度について詳しく教えてください。
3年生になると約640時間(2025年4月入学生カリキュラムより約600時間)の実習が必須となっています。学生は、実際の企業に入って、実務経験を積みます。
それだけの時間を企業で経験できるのは、即戦力としての育成に良さそうですね。現場での経験がその後の就職にも大きく影響しそうです。
そうですね。例えば去年は実習を実施していただいている企業に10数パーセントの学生が就職しました。実習を通じて、企業との関係を築くことで、そのまま就職につながるケースも多いですね。
それに、インターンシップの経験があると、企業としても面接時の評価を高くしやすくなりますね。学生自身も、実際に業務を経験することで「自分に向いている仕事かどうか」を見極めることができるのではないでしょうか。
① 日本のサイバー市場の現状打破について
セキュリティ業界の課題
日本のセキュリティ市場の立ち上がりが遅いのは、国策として進めていないからだと感じます。
例えば、欧米ではセキュリティ対策が法律で義務化されているのに、日本では企業の自主性に任されている部分が多いです。
そうですね。さらに、企業の人事評価の中にセキュリティスキルが組み込まれていないのも問題です。
IT部門だけが対応するのではなく、事業部門全体でセキュリティを意識する必要があります。
企業がもっとセキュリティを重視するようにならないといけないですね。
たとえば、セキュリティスキルを持つ人材にインセンティブを与える仕組みがあれば、専門家が育ちやすくなるかもしれません。
DXとセキュリティ推進の必要性
DX(デジタルトランスフォーメーション)が進む中で、どのような人材が求められていると考えていますか?
ITベンダーの技術者だけでなく、事業部門の人材にもITの知識が求められますね。特に、DX推進の中でセキュリティの重要性を理解することが不可欠です。
そのため、うちの学校では、私平山が発案して世に広めた「プラス・セキュリティ人材」のICT版である「プラスICT人材」の育成を重視しています。
これは、ITの専門家ではなく、ビジネスとITの両方を理解し、DXを推進できる人材であり、まさにiUの目標であり輩出する人材である「イノベーター」にあてはまると思います。
また、企業内でも学校内でもサイバーセキュリティを他人ごととしてとらえている人が多いので、「自分ごとのサイバーセキュリティ」としてとらえて積極的に学ぶ人材が大切であると考えます。
日本では、DX推進とセキュリティを切り離して考えがちですが、一体となって推進する必要がありますね。
DXが進めば進むほど、サイバー攻撃のリスクも増しますから、そういった取り組みを進めることで、日本のサイバー市場もより強固なものになっていくはずです。
本日の対談を有難うございました。サイバーセキュリティ人材を育成し、日本のサイバーセキュリティをサイバー先進国に引けを取らないものにするため、手を携えてまいりましょう。引き続きよろしくお願いします。
よろしくお願いします。
- 情報経営イノベーション専門職大学(iU)
東京都墨田区文花1-18-13
https://www.i-u.ac.jp/ - 平山敏弘教授
https://www.i-u.ac.jp/people/2110/ - 平山敏弘教授 著書:『自分ごとのサイバーセキュリティ~手口を理解し、対策を知ろう~』(ビジネス書籍出版社 2024年)
https://www.bks.co.jp/item/978-4-8283-1092-3