米国におけるサイバーセキュリティ分野の人材育成政策

米国におけるサイバーセキュリティ分野の人材育成政策と関係する主要な政府機関の概略

当協会の渡辺理事に、この度「米国におけるサイバーセキュリティ分野の高等教育の段階」の概要についてご執筆していただきましたので、その一部をご紹介します。

本年9月15日から米国のウエスト・フロリダ大学(州立大学)の友人で本学のサイバーセキュリティセンター所長のEman教授と会うことになっている。

以前から米国におけるサイバーセキュリティ分野の人材育成や教育に関心を持っていたので、再度、NISTの関係文書やCAE-CD教育プログラムを読み直し、下記のとおり整理してみた。

米国は、サイバーセキュリティ人材育成を産学官の連携によって、戦略的に推進している。急速にかつ刻々と変化しているサイバーセキュリティ分野において、米国は、必要とされる人材が適切な教育プログラムを受けることができ、その結果、必要とされる知識、技術、能力等を習得した人材が人材を必要としている組織のポジションに就けることを可能にするインフラストラクチャを構築している。

そのインフラストラクチャの代表格の一つが米国国立標準技術研究所(NIST)の「サイバーセキュリティ教育のための国家計画(NICE)」に基づく「NICEサイバーセキュリティ・労働力フレームワーク」(以下「NICEフレームワーク」という。)である。

①「NICEサイバーセキュリティ・労働力フレームワーク」(「NICEフレームワーク」)

このNICEフレームワークは、NISTが産学官の主要関係者のコンセンサスにより策定したものであり、サイバーセキュリティ業務の専門領域と業務に必要とされる知識、技術、能力に関する共通用語と分類を提供しているものである。

NICEフレームワークは、雇用主、ポジションへの応募者(教育機関での学習者を含む)、教育機関などに対して、サイバーセキュリティ分野の多岐に渡る様々な業務の個々について、どのような知識、技術及び能力が必要かということを定めるフレームワークと言ってもよい。より具体的にイメージしてもらうために、下記の図に表現してみた。

NICEサイバーセキュリティ労働力フレームワーク

上記図の最上層にカテゴリーが位置している。このカテゴリーは、以下の7項目から構成されている。

  • セキュア開発(Securely Provision)
  • 運用及び保守(Operate and Maintain)
  • 監督及び統治(Oversee and Govern)
  • 保護及び防衛(Protect and Defend)
  • 分析(Analyze)
  • 情報収集及び運用(Collectand Operate)
  • 調査(Investigate)

例えば、カテゴリー(セキュア開発)は7の専門領域が設定されており、カテゴリー(運用及び保守)は6の専門領域が設定されている。カテゴリー(セキュア開発)とは、システム・ネットワーク開発に付随する安全かつ堅固なITシステムの概念化、設計、契約及び構築と説明されている。

セキュア開発の下層には専門領域(リスクマネジメント)を含めた7の専門領域が定められている。各専門領域は、業務上の役割によってさらに細かく分類されている。例えば、リスクマネジメントについては、承認権限者とセキュリティコントロール評価者に分類されている。

承認権限者の業務上の役割は、「上級職員として、組織運営(ミッション、機能、イメージ又は評判を含め)、組織の資産、個人、他の組織又は国家に対する許容水準のリスクについて情報システムの運用上の正式な責任を負う。」と説明されている。承認権限者の職務には、T0145(アクレディテーション・パッケージの管理及び承認)やT0221(権限と各種書類を再確認して、ソフトウエア・アプリケーション、システム及びネットワークの各々についてリスクのレベルが許容範囲にあることの確認)が定められており、承認権限者にとって必要な知識、スキル及び能力が細かく項目ごとに記述されている。承認権限者は、コンピュータ・ネットワーキングのコンセプトやプロトコル、ネットワーク・セキュリティに関する知識を持つだけではなく、リスクマネジメントや関係法令、倫理に関する知識を持っていることが要求されている。

上記のようにサイバーセキュリティの各業務に対応する人材がNICEフレームワークによって定義され、このフレームワークに基づいて評価されるようになっている。したがって、NICEフレームワークは、雇用主、職に応募する人、人材育成を担う教育機関などに対して同一の基準を提供しており、人材のスキルギャップを改善し、需給のミスマッチを減少させることを狙いにしていることは言うまでもない。

②National Centers of Academic Excellence in Cyber Defense プログラム(「CAE-CDプログラム」)

連邦政府の各機関は、サイバーセキュリティ分野の人材育成のため様々なプロジェクトを展開している。高等教育機関に対するプロジェクトの一つに、National Centers of Academic Excellence in Cyber Defense (サイバーデイフェンスにおけるアカデミック・エクセレンス・ナショナルセンター)プログラムがある(以下「CAE-CDプログラム」という)。

このプログラムは、国家安全保障局(NSA)と国土安全保障省(DHS)が共同で認定する教育プログラムである。米国の地域認証(全米の6つの地域に配置されている大学等認定機関による適格認証)を受けている2年制、4年制又は大学院レベルの教育機関であれば、この認定プログラムに申請することができる。申請教育機関の教育プログラムがCAD‐CDプログラムの一定の水準(例えば申請校のカリキュラムが上述のNICEフレームワークと整合性がとれているかなど)を満たすことで、A National Center of Academic Excellence in Cyber Defenseとして認定される。Eman教授が勤務するウエスト・フロリダ大学(University of West Florida)も認定校になっている。

NSAとDHSは、このCAD‐CDプログラム認定校に対して資金を拠出しているわけではない。けれども、大学等はこの認定校になることで、米国国立科学財団など様々な機関からの資金の提供を受けることが可能となる。また学生は米国連邦政府から正式に認められた認定校で学位等を取得したことを雇用主等へ提示できる。

2019年版のCenters of Academic Excellence in Cyber Defenseのカタログによれば、CAD‐CDプログラム認定校は272校にまで増えている。ウエスト・フロリダ大学は、全米を6地域に分けた南東部地域の地域拠点校としての役割を果たしている。したがって、ウエスト・フロリダ大学は、担当地域(フロリダ州、ジョージア州、アラバマ州、サウスカロライナ州、テネシー州、プエルトリコ)の認定校及び認定候補の教育機関に対して教育上の指導や支援を提供し、各種研修プログラムも実施している。

おわりに

高等教育段階、つまり多くの学習者が教育から雇用へ移動する段階のサイバーセキュリティに関する教育について日米の比較をすると、NICEフレームワークというインフラストラクチャとCAD-CDプログラムの教育機関のネットワークを持つ米国と日本とでは、少し差があるように感じている。

私にできることは、Eman教授からウエスト・フロリダ大学のサイバーセキュリティ教育のベストプラクテイスをきちんと学ぶことである。その結果については、後日IPECに報告したい。

執筆:渡辺英緒(特定非営利活動法人プロフェッショナルイングリッシュ協会理事)