事例 No.185 富士通 事例レポート(技術技能教育) (企業と人材 2019年4月号)

技術技能教育

記事の内容およびデータは掲載当時のものです。

セキュリティ人材育成のため認定制度を導入
社内人材を可視化し、モチベーションを向上

ポイント

(1)セキュリティ人材育成の施策として、富士通セキュリティマイスター認定制度を導入。セキュリティ人材像を定義し、高い技術をもつ社内人材の可視化・発掘の仕組みを整備。認定制度のための育成プログラムも開発。

(2)育成プログラムでは、サイバーレンジによるリアルな仮想環境を使って、受講者に、実際と同じ攻撃の手口や防御方法について疑似体験をさせるという、実践的なトレーニングを行う。

(3)毎年、サイバーセキュリティワークショップを実施。セキュリティコンテストなどを行い、セキュリティに素養のある人材の可視化や発掘、認定者らのモチベーションアップを図る。

セキュリティ人材育成のため認定制度を導入

富士通株式会社は、顧客の事業やニーズに合わせたICTシステムの提供において豊富な実績をもち、ICTサービス市場においては国内トップ、世界でも上位の売上高を誇っている。現在、世界180カ国以上で事業を展開し、450社以上のグループ会社と連携しながら、グローバルなサービス体制を築き、世界中の顧客をサポートしている。
また、ICTサービスを支える最先端、高性能かつ高品質のプロダクトおよび電子デバイスの開発、製造、販売ならびに、それらに関するサービスの提供を行っている。
パソコンやスマートフォンなどのイメージが強い同社だが、事業セグメント別の売上高の約7割を、テクノロジーソリューションが占めている。
このように、ICTを基幹事業とする同社では、グループ共通の企業理念として、「快適で安心できるネットワーク社会づくり」への貢献を掲げ、情報セキュリティの確保とそのレベルアップに努めている。

<要チェック!>ワクチン接種について労務担当者の疑問を解説!デジタル雑誌(税込3100円)で販売中。

そうしたなか、情報セキュリティの知識・技術に長けたセキュリティ人材の育成により注力するようになり、2014年には、「富士通セキュリティマイスター認定制度」を立ち上げた。これは、セキュリティスキルに長けたエンジニアを認定する社内制度で、現在は、同社と直接子会社の社員を対象にしている。認定者は、2015年度には937名だったが、2016年度には2,016人、2017年には3,081人と増え、2018年11月現在で3,865人となっている。2021年度までに、1万1,000人の認定をめざす方針だ。
制度導入の背景には、セキュリティ人材の不足がある。独立行政法人情報処理推進機構が2014年に行った「情報セキュリティ人材の育成に関する基礎調査」によると、国内における情報セキュリティ従事技術者は約23万人。人数的には2.2万人が不足、13.7万人の人材には、さらに教育やトレーニングが必要という。
ただし、一口にセキュリティ技術者といっても、さまざまである。たとえば、外国の諜報機関の攻撃も撃退してくれるスーパーエンジニアが必要となれば、人材が不足するのも当然だ。
同社で、セキュリティマイスター認定制度の設計・導入を主導し、現在はその運営を担当している、サイバーセキュリティ事業戦略本部サイバーディフェンスセンター長の奥原雅之さんは、次のように話す。
「そんなスーパーエンジニアは、ほとんどいません。気持ちはわかりますが、そんな技術者を求めても、要望が満たされることは永遠にありません。では、何ができる技術者が必要なのか。具体的な人材像や求められる役割、スキルを明確にする必要があると考えました」
また、ICTにもさまざまな技術分野がある。ネットワーク、データベース、アプリケーション、サーバー構築などだ。これらの分野で最上級といわれる技術者は、当然、セキュリティについて熟知している。ネットワークやサーバー構築などを、セキュリティの知識やスキルなしで行うことはあり得ない。
しかし、そういった業務に携わる人たちは、通常、セキュリティ人材にはカウントされない。セキュリティを専門にしているわけではないからだ。
そこで、奥原さんは、セキュリティ技術の素養をもつ技術者は、すでに社内に多数存在しているだろうと考え、本制度を導入。セキュリティ技術者の人材像を定義し、高い技術をもつ社内人材の可視化と発掘の仕組みを整備するとともに、本認定制度のために、グループ会社である株式会社富士通ラーニングメディアが開発した専用の育成プログラムも取り入れた。
「本制度は、高い技術をもっている人がいるならば、そういう人を認定しようというものです。ですので、人材育成をする前に、まずは人材を発掘することから始めています」

セキュリティ人材像4つの領域で明確化

本制度が定義するセキュリティ技術者(セキュリティマイスター)の人材像については、図表1のとおりである。

図表1 セキュリティマイスターの人材像

セキュリティマイスターの人材像

横軸は、「営業分野」、「SE分野」、「分野に限らず」、と役割別に分かれ、そのうち、「SE分野」の下方に描かれている【フィールド領域の人材】は、システム開発や運用を支えるシステムエンジニアで、セキュリティに詳しい人材。【エキスパート領域の人材】は、セキュリティソリューションの開発などを行う専門技術者を認定する。
「分野に限らず」に描かれている【ハイマスター領域の人材】については、きちんとした定義はなく、いわゆるホワイトハッカーと呼ばれる世界トップクラスのノウハウを有する人たち、といったイメージだという。現在、同社には、この領域のセキュリティマイスターが9人おり、広告塔も務めている。
また、「営業分野」の【セールス領域の人材】は、2018年度より認定が開始され、顧客の求めるシステムがどのようなものかを把握し、それに必要なセキュリティを提案できる人材を認定する。
このように、さまざま要素を考えたうえで、必要な人材の概念をまとめ、それを踏まえてセキュリティマイスターとはどのような人材かを体系図に表したのが、「セキュリティマイスターの人材モデル類型」だ(図表2)。

図表2 セキュリティマイスターの人材モデル類型

セキュリティマイスターの人材モデル類型

「NIST(アメリカ国立標準技術研究所)が策定した人材フレームワーク(NICE)を、当社に合うようにアレンジしました。ちょうど新しいフレームワークが発表された時期と重なったこと、このフレームワークがかなり細かく人材を定義していて、われわれの目的に合致するものだったこと、そもそも、セキュリティに関する教育プログラムはアメリカ発のものが多く、人材教育との親和性を高められる、などの理由がありました。それから、グローバル化ですね。将来、この制度を海外拠点にも広げることを考えると、国際的に認知されている人材像のほうが受け入れられやすいと考えました」
このモデル類型は、縦軸が前述の4つの領域および一般、横軸が職務内容になっている。そして、図表中の「グローバルホワイトハッカー」、「コンピュータウィザード」などは、すべてセキュリティマイスターの名称だ。その横についている星印は、取得の難易度を示している。
例として、縦軸の【セールス領域】をみてみよう。営業担当者は、顧客からの要望を聞き、どのようなセキュリティ対策が必要か、SEなどを交えて考える必要がある。そのため、職務内容としては、「セキュリティ戦略/統括」、「企画/設計」が該当する。そして、取得の難易度によって、「サイバーセキュリティマスターエージェント」、「サイバーセキュリティエージェント」に分かれる。
「あくまでも、それぞれの役割で必要とされるセキュリティに関する知識やスキルを十分にもっていることが、マイスター認定の要件です。
したがって、いずれの分野、難易度で認定されても、同じセキュリティマイスターであり、ハイマスター領域がエキスパート領域やフィールド領域より上、といった格づけはいっさいしていません」

仮想環境において実践的な研修を実施

では、実際の認定はどのように行われるのだろうか。
認定方法は、領域ごとに異なる。たとえば、フィールド領域のサイバーセキュリティエンジニアの場合は、前述の育成プログラムのうち、サイバー攻撃におけるセキュリティ対策の必要性を短時間で認識するという、2日間のコースを受講する。そして、カリキュラムの最後に行われる試験をパスすると、認定されることになっている。
ハイマスター領域の認定は、シンプルだが最も難しい。同領域の社員による面接を受け、全員がOKを出したら認定となる。
エキスパート領域は、前提条件として、情報処理技術者試験(情報処理推進機構)に合格しておかなくてはならない。そのうえで育成プログラムを受け、最後に書類審査をパスすると、認定される。プログラムの内容は、どのマイスターの認定を受けるかで違うが、実施期間は10日前後だ。ただし、最初の2日間は共通の内容となり、
「CYBERIUM(サイベリウム)」と名づけられたサイバーレンジを使い、実際と同じサイバー攻撃を疑似体験する(図表3)。

図表3 サイバーレンジによる研修の流れ

サイバーレンジによる研修の流れ

サイバーレンジとは、同社の先進技術を活用して構築した仮想環境だ。この環境上に実際の業務データの流れを形成し、受講者に、サイバー攻撃の手口や防御方法を、実践的に学んでもらうことができる。
そのため、セキュリティ対策や、インシデント時に必要となる一連の対応や技術要素などについて、しっかりと理解できる内容となっている。
加えて、サイバー攻撃の状況はダッシュボードで可視化され、受講者の理解を深めるように工夫されている。
「万が一のことを考えると、研修で実物のシステムやデータを使用するわけにはいきません。そこで、研修を安全かつ効率的に実施するため、仮想環境を再現するサイバーレンジとして、CYBERIUMを当社で独自開発したのです。じつは、サイバーレンジはほとんどが外国製で、国内で開発している企業は少ない。当社は、そのなかの1つということになります。実物のシステムでは危なくてできない教育も行うことができるため、リアルな環境で実践力を強化することができます」

サイバーレンジによる演習の様子

▲ サイバーレンジによる演習の様子

コンテストなどで人材の可視化・発掘へ

同社では、「富士通サイバーセキュリティワークショップ」というイベントを、2014年から毎年実施している。これは、セキュリティに素養のある人材を可視化・発掘する取り組みの1つであり、後進のセキュリティマイスターの発掘・育成の環境をつくることで、技術の向上を図るというものだ。また、社内にセキュリティ技術の重要性を広く知らせることで、マイスターたちのモチベーションアップにもつなげる。
2018年11月に行われた直近のイベントは、(1)セキュリティコンテスト、(2)ハイマスターズアリーナ、(3)セキュリティ解説セミナーの3つで構成した。
(1)のセキュリティコンテストとは、部門横断のチームをつくり、セキュリティに関する実践的な知識や技術を求められる課題に対し、解決のテクニックを競い合うというもの。529名の参加者が、オンライン形式の予選会に参加し、勝ち抜いた40名が10チームに分かれ、本選で課題に挑戦していった。これについては、マイスター候補の発掘が目的で、参加者は認定を受けていない人がメイン。マイスターたちは、課題の作成など、裏方として活躍した。
(2)のハイマスターズアリーナは、本制度におけるトップクラスの技術者であるハイマスターの実力を、客観的に評価するための公開イベントだ。各ハイマスターは、このイベントに参加し、自身の技術の有効性や有用性をアピールする。それを、一般社員などの観客をはじめ、ほかのセキュリティマイスターや社内セキュリティ有識者、役員クラスの評議員が評価し、入賞者には、同社の株式が授与される。金賞200株(当時150万円相当)、銀賞100株(当時75万円相当)、銅賞50株(当時30万円相当)となっている。なお、評価によっては、ハイマスターの認定が取り消されることもあるという。
「観客は、必ずしもセキュリティに詳しい人たちばかりではありません。そういう人たちにもわかるようアピールできなければ、ハイマスターとはいえないだろうということで実施したのですが、非常に好評でした。内容は高度で専門用語も出てくるのですが、それでもわかりやすかったという声が多く聞かれました」
そして、(3)のセキュリティ解説セミナーでは、セキュリティコンテストの予選問題や本選問題の解説や実況が、セミナー形式で行われた。
「本ワークショップには、主に部下をもつ社員を招待しました。マイスターたちが活躍するためには、直属の上司の理解が欠かせません。会社はセキュリティ人材を非常に重視しているということを見せることで、現場はセキュリティマイスターの育成に向けて動いてくれる。そうした循環をつくらないと、制度としてまわりません」

今後もセキュリティ人材の育成に注力していく

このほか、マイスター同士が交流できる社内SNS「マイスターラウンジ」も設けた。
たとえば、セールス領域の社員が手に負えないような案件が発生したときは、フィールド領域やエキスパート領域、ときには、ハイマスター領域の社員らの協力を得て、問題解決にあたることになる。
そのため、異なる領域同士でスムーズに連携できるように、気軽にマイスター同士が交流できるバーチャルなコミュニティを設けたのだ。
「セキュリティに詳しい社員らが協力し合えるようにすることも、この制度のねらいの1つです。マイスターラウンジでは、メーリングリストや専用の掲示板などで、情報共有や議論ができます。それらを活用して、たとえばフィールド領域のマイスターが、エキスパート領域やハイマスター領域のマイスターに直接質問し、知恵を借りることもできます。おかげで、本人たちからは、仕事がよりしやすくなったとの声がありました」
また、マイスター全体を対象に、新たに「マイスターポイント制度」も導入した。認定者は、自らが主体となって、社内において勉強会や技術検証、社内SNSを使った情報共有などを行うほか、社外でも活動し、主に、国内外で開催されているセキュリティテストの運営や、ワークショップ・セミナーの講師なども務めている。そうしたセキュリティ関連の活動や、自らが受けた教育などをマイスターラウンジで申請することで、ポイントがもらえるというものだ。ポイントが貯まると、より難易度の高いセキュリティマイスター取得にチャレンジできるようになる。
「一度マイスターとして認定されると、そこで目標を見失ってしまう可能性があります。そのため、認定後も継続的に活動するためのモチベーションアップがねらいです。また、これにより、個々の活動状況やスキルを可視化して、今後の施策展開の際に役立てていきます」
以上、富士通のセキュリティ人材育成について紹介してきた。いまや、インターネットやデジタル情報機器は、日常生活やビジネスに欠かせないものとなっている。セキュリティ人材の必要性は、今後もますます高まっていくだろう。
「当社では、今後もセキュリティ人材の活動状況をより可視化し、育成に注力していきたいと考えています。また、他社様と連携できることがあれば対応をしていき、当社やグループ会社だけでなく、日本のセキュリティ人材不足の解消に貢献できればと思っています」

(取材・文/小林信一)


 

▼ 会社概要

社名 富士通株式会社
本社 東京都港区
設立 1935年6月
資本金 3,246億円
売上高 4兆983億円(連結2017年度)
従業員数 14万365名(連結 2018年5月31日現在)
事業内容 テクノロジーソリューション、ユビキタスソリューション、デバイスソリューション
平均年齢 43.3歳
平均勤続年数 20年
URL http://www.fujitsu.com/jp/

サイバーセキュリティ事業戦略本部
サイバーディフェンスセンター長
奥原雅之さん


 

企業研修に特化した唯一の雑誌! こんな方に
  • 企業・団体等の
    経営層
  • 企業・団体等の
    教育研修担当者
  • 労働組合
  • 教育研修
    サービス提供者
  1. 豊富な先進企業事例を掲載
  2. 1テーマに複数事例を取り上げ、先進企業の取組の考え方具体的な実施方法を理解できます
企業と人材 詳細を見る

ページトップへ