新春早々、今年の情報産業の課題を象徴するニュースにお目にかかった。「NTTや日立製作所、トヨタ自動車などおよそ40社が、「サイバーセキュリティを担う人材の育成で協力する」と発表した。昨年初め、政府にサイバーセキュリティ戦略本部ができて行政や重要インフラに関わるシステムについては保護対策の基本方針が固まりつつある。民間については自助努力が求められているが、ようやくはっきりした動きが出始めた。

日本経済新聞の記事によると、日本企業のセキュリティ人材は「スキルが足りない技術者の再教育を含め、約24万人の確保が課題」だという。

特にサイバーセキュリティの面から危惧されているのは2020年開催予定の東京五輪である。五輪期間中の大会運営もサイバー攻撃のターゲットになる危険があるが、その前後を含めて外国から観光客が大量に押し寄せてくる。その外国人観光客の眼前でサイバー攻撃によって交通や宿泊施設などが混乱に陥ることはなんとしても防がなければならない。

東京五輪は日本の最先端のICT技術を外国からの観光客に見てもらうショウケースにする、というのが政府の計画だが、それがサイバー攻撃で台無しになれば大きな信用失墜である。そのセキュリティ技術者を育成するのには時間が足りない。

もちろん、セキュリティは東京五輪で終わるわけではない。外国からのサイバー攻撃は組織的なものも多くなってきた。ビジネスとして企業の秘密情報を盗み出し、ブラックマーケットで売買する仕組みも出来上がっている。国内だけでも厄介だが、犯罪集団は国境を越えて攻め込んでくる。犯罪集団ではなく、国家の組織と見られる攻撃もある。

冒頭の40社が集まって進める「人材育成計画」では、「セキュリティ人材に必要な能力を議論し、今年半ばをめどに育成策をまとめる」という。「企業間でノウハウを共有し、効率よく人材を増やすことをねらっている」としているが、策をまとめるのが今年半ば、というのはいかにも悠長な話である。議論している間にもサイバー攻撃を受け続けるのである。もう少し前倒しにしなければなるまい。

セキュリティ対策ですぐさま取り組むべきなのは「情報の共有」である。サイバー攻撃を受けたら、ただちに他の企業や組織と情報を共有して対策を講じ、被害の拡大を防止することが必要だ。聞き取りをすると「わが社のシステムはまだ攻撃が受けていない」と語るシステム責任者が多いが、これは「攻撃されていることを認知していない」のか、「攻撃を受けたことを隠そう」とする保身かである。

どの企業も防御網をかいくぐって攻撃されているのは常識である。恥ずべきことではない。対策の不足、あるいは力不足ではなく、攻撃側の能力が圧倒的に上になってしまっているのである。個々の企業や組織が単独で対抗するには相手が強すぎる。守る企業の側も結束して集団で防衛策を講じなければならない。人事育成で結束する機会を利用して、集団的自衛措置も早急に講じてもらいたい。