頼れる存在「ホワイトハッカー」を社内で育成する方法

　2024年6月に、大手出版社のデータセンターが、ランサムウェアを含む大規模なサイバー攻撃を受けたニュースが話題を呼びました。同社はこの攻撃により、出版事業における製造・物流システムが停止しただけでなく、グループ企業の取引先や従業員の個人情報がダークウェブに流出してしまいました。

　こうしたサイバー攻撃は、大企業だけが標的になるものではありません。警察庁の「令和５年におけるサイバー空間をめぐる脅威の情勢等について」によると、2023年のランサムウェアの被害件数の割合は、大企業が36%、中小企業が52%と、むしろ中小企業の方がターゲットとなっています。

　万が一の事態に備えるためには、最新の情報セキュリティ知識を有した専門スタッフを社内に配置することも対策の一つです。このようなサイバー攻撃に対抗するためのセキュリティ人材は、業界では「ホワイトハッカー」と呼ばれます。

　国立国会図書館の「情報通信技術の進展とサイバーセキュリティに関する用語集」という資料によると、「ハッカー」とは、ネットワークやコンピュータに関する高度な知識や技術を持つ者を指します。そのうち、自身の技術を善良な目的に活用するセキュリティ人材のことはホワイトハッカー、知識を悪用してサイバー攻撃を行う者はクラッカー（またはブラックハッカー）と呼ばれます。

　セキュリティ対策の専門家であるホワイトハッカーを自社に配置することで、万が一サイバー攻撃を受けた際にも素早い対応が可能です。加えて、社内のセキュリティ向上に向けた対策立案、ネットワーク環境の点検、社員に対するセキュリティ研修の実施といった、サイバー攻撃の被害に遭わないための“予防”となる取り組みも行うことができます。

　すでにホワイトハッカーを社内に配置し、セキュリティ向上に向けた取り組みを行っている企業も登場しています。

　日立ソリューションズでは2016年より、専門性の高いセキュリティ人材の育成を目的とした「ホワイトハッカーチーム」を社内で発足。同チームは、その専門性を生かして、社内のセキュリティ人材育成やセキュリティ技術支援を中心に、社内外でセキュリティサービスを提供しています。

　セキュリティ人材育成の取り組みとしては、日立製作所のグループ会社合同で行われるセキュリティコンテストの実施が挙げられます。これは同グループの従業員がセキュリティに関するクイズのような問題に挑戦するもので、ゲーム感覚でセキュリティ知識や技術が身に付けられるというものです。

　GMOインターネットグループでは2022年1月、ホワイトハッカーチームを有するサイバーセキュリティ事業を展開する「イエラエセキュリティ」を子会社化しました（GMOサイバーセキュリティ byイエラエ株式会社）。イエラエがグループに加わって以降、同グループではグループ全体のセキュリティレベル向上を目的に、グループ全社員を対象としたホワイトハッカー教育を実施しています。

　たとえばハッキング技術の社内勉強会である「ハッキングコンテスト」もその一環です。同コンテストでは、ハッキングスキルを駆使したゲームを行うことで、従業員がセキュリティの重要性を再確認することを目的としています。セキュリティ部門以外の従業員の参加も奨励しており、運営チームが参加者のフォローを行うなどで、従業員全体のセキュリティ知識向上を図っています。

　このほか政府では、内閣府の管轄部署である内閣サイバーセキュリティーセンターにて、今から約10年前の2015年度からホワイトハッカーの直接採用を実施。サイバー攻撃への対応力強化を図っています。

　現在、自社にホワイトハッカーが在籍していないという企業も多いでしょう。新たに採用するのも良いですが、在籍している従業員を、ホワイトハッカーに育て上げることも可能です。

　たとえば経済産業省では、「サイバーセキュリティ体制構築・人材確保の手引き」という資料にて、サイバーセキュリティ関連タスクを担う人材を教育するために、情報システムの安全を確保するサイバーセキュリティの国家資格である「情報処理安全確保支支援士」や、情報セキュリティリーダーとしてセキュリティ体制を維持・改善する「情報セキュリティマネジメント」といった資格の取得を推奨しています。

　経済産業省ではさらに、IT分野における高度な専門性を身に付ける講座の受講を支援する「第四次産業革命スキル習得講座認定制度」を定めています。この制度では、サイバーセキュリティに関する講座も含まれており、たとえば「ホワイトハッカー育成コース」では、サイバー攻撃対策に必要なネットワーク技術を基礎から学ぶだけでなく、実際のサイバー攻撃を想定した訓練を経て、ホワイトハッカーを実践的に育成するための研修ができます。

　研修としてはほかにも、総務省管轄の機関であり、サイバーセキュリティの人材育成に特化したトレーニングを企画・推進する「ナショナルサイバートレーニングセンター」のセキュリティ人材の育成プログラムに参加する方法もあります。

　情報処理安全確保支援士の資格取得者は、「RPCI」という講座を受講することも可能です。RPCIでは疑似的に発生させたサイバー攻撃シナリオが用意され、実際のセキュリティインシデントに対する事前の備えを学ぶことができます。

　このほかNICT（情報通信研究機構）では、25歳以下を対象とした若年層のICT人材を対象とした教育プログラム「SecHack365」を実施しています。

　こうした公的機関の制度を有効に活用し、高度なセキュリティ知識を有するホワイトハッカーを社内で育成すれば、強固なセキュリティ体制を長期的に構築し続けることも不可能な話ではありません。企業や取引先の大切な財産である情報を守るためにも、ホワイトハッカーの育成に取り組んでみてはいかがでしょうか。