前回の記事（６）では総理官邸・公邸のセキュリティが機能していない実態や、 #内閣サイバーセキュリティセンター （ #NISC ）の能力不足の問題点などを指摘しました。NISCは、デジタル省、総務省、外務省、経済産業省、防衛省・自衛隊、さらには、警察庁や、金融庁、国土交通省、厚生労働省のセキュリティまで指導・監査する国の諜報や情報セキュリティの中核を担う組織ですが、そのトップが機能していないということは、その傘下の組織にも問題がある可能性が非常に高いことを示唆しています。

　そこで、今回は読者の皆様からのリクエストが多い『防衛省・自衛隊』の #サイバー人材 の問題点を公開されている情報を元に指摘してみます。諜報活動の情報は公開されることが少ないですが、公開情報を用いても問題の指摘は可能です。

#ウィキリークス や海外の #戦略国際問題研究所 、 #外交問題評議会 、 #ブルッキングス研究所 、 #ランド研究所 、 #カーネギー国際平和基金 、 #大西洋評議会 、 #ヘリテージ財団 等のレポートから、日本の軍備や諜報の問題点を洗い出すこともできます。但し、これらのシンクタンクの報告内容には、政治理念や政策の違いによる差が大きく全ての指摘事項が、日本の国益や安全保障に繋がる訳ではありません。寧ろ、日本にとって不利益になるように誘導してあることの方が多いでしょう。

　前述のシンクタンクに関しては、別の記事で詳しく説明しますが、政治的な立場に関係なく、日本のサイバーセキュリティの明白な問題点は、以下の #防衛省 の『 #サイバー人材の確保及び育成 』方針にあります。

　この方針では、日本の #国防 や #諜報 のサイバーセキュリティ人材を、 #陸上自衛隊通信学校 、 #陸上自衛隊高等工科学校 、 #防衛大学校 などの限られた生徒の中から育成しようとしています。しかも、これらのカリキュラムの内容を確認すると、人材育成レベルは７段階あるうちの下から１～３のみです。この最上位のレベル３を国家試験レベルに当てはめると、基本情報技術者試験に合格する程度に過ぎません。このレベルを具体的に示すと、工業高校や商業高校の情報科の生徒が取得可能な程度であり、これではサイバーセキュリティの即戦力とは言えません。

　プログラミングや情報セキュリティには、資格よりもセンスの方が重要な場合が多いです。そのため、資格を持っていないなくても、コンピュータが趣味の中学生や高校生が高度なハッキング技術を持っていることも珍しくありません。要するに資格は何なる目安にしか過ぎませんが、問題なのは限られた人数の生徒の中から100人/年の育成計画では、優秀な人材確保が困難であることです。

　能力の問題もありますが、陸・海・空で均等に分けると一部門当たり33人となります。24時間✕365日間運用を考慮すると、常時配置可能な人数は非常に限られます。そして、自衛官の離職率の高さを考慮すると、実際の活動人数はさらに少なくなるでしょう。この少ない人数を５年間掛けて5倍にしたところで、全く人数が足りません。

　現在のサイバー人材の確保及び育成計画では日本のサイバーセキュリティ人材の確保は確実に不十分であり、日本の国防が大きなリスクに晒されるどころの話しでなく、既に危機的状況です。

次に、アメリカの諜報機関が優秀なサイバーセキュリティ技術者を採用・育成する方法を見ていきましょう。

　アメリカの諜報機関、特にNSAやCIAは、サイバーセキュリティの専門家を獲得・教育するためにさまざまな手法を駆使しています。以下は、これらの機関が優秀な技術者を確保・育成するための代表的な方法や取り組みの一部です。

大学との連携：NSAやCIAは、全米の大学や研究機関と連携し、学生の育成や研究開発をサポートしています。例えば、NSAは『National Centers of Academic Excellence in Cybersecurity：NCAE-C（国家サイバーセキュリティ学術研究センター）』プログラムを通じて、サイバーセキュリティ分野での教育・研究の質を向上させる大学を認定しています。

#NCAE -Cは、 #CISA 、 #NSA 、 #FBI 、 #NIST 、 #DoD 、 #NICE 、 #NSF 、および #USCYBERCOM （米国サイバー軍）と連携して、国家およびインフラストラクチャの脆弱性の軽減を支援しています。サイバーセキュリティに関する高等教育と専門知識を促進し、重要なインフラストラクチャを強化します。このプログラムでは、2年制および4年制の機関をサイバー防衛における国立学術研究センター（CAE-CD）、研究（CAE-R）、およびサイバー運用（CAE-CO） として指定しています。現在、48州、コロンビア特別区、プエルトリコ連邦の400以上の一流大学がNCAEに指定されています。サイバーセキュリティのカリキュラムと学業の優秀さの基準を確立し、学生と教員間の能力開発が含まれます。専門能力開発におけるコミュニティへの貢献とリーダーシップを重視し、学術分野を超えて機関内のサイバーセキュリティ実践を統合します。サイバーセキュリティ教育が直面する課題の解決策に積極的に取り組んでいます。

インターンシップやフェローシップ：機関内でのインターンシップやフェローシッププログラムを提供し、学生や若手研究者に実務経験を積ませるとともに、将来的な採用を視野に入れた人材の発掘を行っています。日本の基準だとレベル７がスタート地点です。

リクルートメントイベント：職業説明会やサイバーセキュリティ関連のカンファレンスでの出展、ハッキングコンテストなどのイベントに参加し、優秀な技術者との接触を図っています。日本の基準だとレベル７がスタート地点です。

専門家との協力：業界の専門家やコンサルタントを招聘し、内部の技術者教育やトレーニングを行っています。

広報活動：サイバーセキュリティや国家の安全に関する重要性を伝えるキャンペーンや広報活動を通じて、多くの人々に興味を持ってもらい、その中から新しい人材を引き込む試みを行っています。

良好な待遇：競争力のある給与、キャリアアップの機会、先端的なプロジェクトへの参加機会など、魅力的な待遇を提供することで、優秀な技術者の採用を試みています。日本の基準だとレベル７がスタート地点です。

セキュリティクリアランス：諜報機関での職には、多くの場合、セキュリティクリアランスが必要です。これは、背景調査を含む厳格なプロセスを経て取得します。クリアランスの有無は、機関内でのキャリアの選択肢や進展に影響を与えるため、多くの技術者がこのプロセスを経ることを選択します。

Bug Bounty プログラム：多くの企業や政府機関は、外部のハッカーに自らのシステムをテストさせる『Bug Bounty』プログラムを実施しています。これにより、セキュリティの脆弱性を発見した者に対して報酬を提供することで、システムの安全性を向上させるとともに、優秀なセキュリティ専門家との接点を持つことができます。日本の基準だとレベル７がスタート地点です。
 
ハッキングコンテスト：#DEFCONや #Pwn2Own などのコンテストでは、ハッカーたちが賞金を目指してさまざまなセキュリティ対策を突破する試みを行います。これらのイベントは、才能のあるハッカーを発掘する場としても利用されています。日本の基準だとレベル７がスタート地点です。
 
サイバー犯罪者との司法取引：逮捕されたサイバー犯罪者が、司法取引をして自身のスキルを正当な目的のために使用するチャンスを求めて、政府や警察機関と協力するケースがあります。このようなサイバー犯罪者は、潜在的な脅威や他の犯罪者の活動を特定・追跡するのに役立つ情報を提供することがあります。その他のケースでは、サイバー犯罪者が捕まった後、刑罰を軽減する条件としてセキュリティ関連の業務に従事することが提案されることもあります。このような取引は、犯罪者が再び違法な活動を行わないようにするための方法として用いられることもあります。
 
犯罪の才能の有る不良少女を一流のエージェントに育て上げるのは、#ニキータ #NIKITA 状態です。

　以上のような方法を通じて、米国政府や企業はサイバーセキュリティの専門家を獲得し、そのスキルや知識を活用してセキュリティ対策の強化や犯罪防止に取り組んでいます。

　日本とアメリカのサイバーセキュリティ人材の獲得方法には大きな差があり、アメリカでは優秀な人材を様々な手法を使ってリクルーティングしているのに対し、日本では限られた自衛官人材の中から育成が行われ、成果が出るかどうかが不確かな問題点があります。

　さらに、サイバーセキュリティの世界では、英語は必須ですが、日本ではサイバーセキュリティ教育だけでなく、英語教育も並行して行う必要があり、このことも大きなハンディキャップとなっています。

つづく…