前回のブログでは、「情報セキュリティワークショップ in 越後湯沢 2024」の車座でディスカッションされた、当社辻が取組む警視庁アドバイザーの活動内容や、内部不正に関して法執行機関である警視庁の方から営業秘密の三要件や課題をご紹介しました。
今回のブログでは、「人材育成」と「リーク情報の取り扱い」がディスカッションのテーマとなっています。警視庁の人材育成の課題をもとに官民における人材の育成や採用の課題、そして昨今ランサムウェアなどで多くの方がリーク情報を目にすることが増えましたが、その情報の取扱い方や注意点は何か、議論された内容をご紹介します。
官民共通の永遠の課題!?誰もが欲しいサイバー人材
辻:続いては、「求む!サイバー人材」ということで、警視庁もサイバー人材を募集しているわけですが、簡単にどんな職種があって、どんな課題があるのか説明いただきます。
根岸氏:人材の育成や採用は、よく車座やパネルディスカッションでも扱っている永遠の課題ですよね。
求む!サイバー人材
警視庁1号氏:これは官公庁だけじゃなく民間企業も同じだと思います。サイバー人材は引く手あまたで、誰もが欲しいというのが実情。警視庁においてもサイバー人材の採用が急務と考え実施をしていまして、大きく2つに分けられています。
1つ目は特別捜査官。民間企業でスキルを有する方を警視庁に特別採用します。警察官とは別枠で年齢も幅広く経験のある方を採用しています。
2つ目がスペシャリスト。一般の警察官として受験した捜査の経験はあるが、IT 関係のスキルがないという方が研修を受けて、スキルを高めてその内容を含めて捜査に生かすということで、IT 技術が先か、後付けするかという両輪で警視庁では進めています。
サイバー人材争奪戦!人材確保の課題とアルムナイ(出戻り)採用への可能性
警視庁1号氏:まず、人材育成には当然コストがかかりますが、育成後に退職や民間に転職してしまうケースもあります。一方で新規確保が困難というのもありまして、特別捜査官の採用は大変厳しい状況であり、サイバー人材の確保は組織的な課題になっているというのが実情です。今回、参考までに特別捜査官とスペシャリストに対してのアンケートの実施結果をお持ちしましたので、後ほど紹介します。
根岸氏:警察って特殊な分野の話だと感じると思うんですけど、よくよく聞いていると外からスキルのある人を採るとか、配置換えでセキュリティスキルを付けてもらうとか、まんま民間でやっていることと同じっていうか、僕らが普段思っている課題そのままですよね。
民間だろうが公務員だろうが、必要なところに必要な人材が適材適所に行ければ良くて、多少辞めていく人がいるのは、僕は健全な状況だと思っています。引き留めたところで、やりたいことがある人は旅立ってしまう。でも、人手が全然足りなくて、にっちもさっちもいかないっていう状態は決して良くないと思うので、中でくすぶっている人をどう生かすかとか、外でチャンスを見つけたいんだけど、うまくハマらないっていう人をどう取り込むかっていうのは、官民関係なく同じ課題かなと思う。
その辺、「うちはこうやっていますよ」とか、「うちもこういう課題があるな」とか、「聞いていてまさにうちも同じだ」みたいなコメントがあれば、一緒に考えたいと思っています。
辻:アンケートを取られたという話がありましたが、逆にどういうところにモチベーションを感じて今も居続けているみたいな回答ってあるんでしょうか。
警視庁2号氏:評価制度とかキャリア形成には若干不満を持っている人がいます。ただ、1番確実にこれと思ったのが職場の人間関係です。
辻:また生々しいヤツですね(笑)。
警視庁2号氏:「思う」、「やや思う」、「どちらとも言えない」、「あまり思わない」、「思わない」の5段階のところ、1番低い評価をつけたのが38人中0人で、2番目に低い評価は1人だけ居たんですが、あとは皆「どちらとも言えない」か「職場環境は良い」という結果でした。警察ってブラックなイメージがあるんですけど、サイバーに関しては「人間関係」と「仕事に集中しやすい環境」が高評価でした。
辻:専門性への志向が強ければ強いほどハマるんですかね。
根岸氏:イメージとしては、警察って結構厳しめなお仕事なのかなっていうイメージがあるかもしれないですけどね。
警視庁1号氏:きちんと IT の技術を持っている人というのは、みんな底知れず敬意を払うという職場環境ですので専念できます。このゼロには多分そういう裏付けがあるのかなと。少なくとも警視庁ではみんな敬意を払って「特別捜査官って凄い人だ」って、誰もが思って受け入れているという背景があると思います。
根岸氏:民と官では、求められるものも違うし、必要なスキルも違うと思うんです。本当は、ずっとその職場で活躍して育っていった方が環境にフィットする人になると思うんだけど、固まっちゃうじゃないですか。勝手な僕の考えかもしれないけど、ある程度出たり入ったりがあった方が、僕はいいと思っているんですよね。中の人としてはスキルを付けたのに辞められちゃうのはツラいと思うんですけど。
辻:僕は、官の方と仕事をする機会があるんですけど、当たり前ですが民間の感覚が無いなって感じることがあります。利益は考えなくて良いじゃないですか。それが悪いっていうわけでは無くてね。僕は逆にそういう人たちの考え方が分からへんから話し合うと勉強になったりするんですけど、外に1回出てしまった人が学んで出戻ってくるみたいな制度って最近いろんな会社でもあるじゃないですか。そういうのは警視庁には無いんですか?捜査するにしても、民間が重視することと相反するものもあると思うんですけど、そういう知識や感覚を学んで帰ってきてくれたら、相当戦力になるんじゃないかなと思うんです。
警視庁2号氏:出戻りをした人は私の周りには1人もいないので、やっぱり公務員のイメージは入ったら最後まで、というイメージがあると思います。居るのが当たり前で、辞めるっていうのは、一大決心で辞めていくんだなという印象はあります。あとは、サイバーセキュリティ分野以外で、例えば殺人事件の捜査をしていた人が民間に行って新しい力を付けて、殺人事件でその力を発揮できるかというとそれは難しいのかなと思いますが、サイバーに関しては民間に行って力を付けるっていうのはあるような気もしますね。
辻:あんまり戻ってくるっていうのは無いんですね。
根岸氏:警察から民間にある程度の期間、現場でいろいろやりたいということで研修にこられる方は居ますよね。あれは凄く良い取り組みだなと思います。
辻:あれはあれでリスクなのかなと思うことはあるんですよね。警察サイドからすると。民間にそのあと行っちゃうみたいな人がいるんですよね。
根岸氏:それはそれで良いんじゃない?そういう人はいずれ転職してしまうし、あぶり出せて良かったじゃない?
辻:そういう方も回り回って帰ってこられたら良いと思うんですよね。人材の流通というか。
根岸氏:うちの会社は割と出戻る人が多くて、結局うちの会社が良かったと言って戻ってくるんですよね。いろんなところで経験を積んで帰ってきてバリバリ仕事するっていう、そういう人も居て活躍できていいかなって。それが当たり前かと思っていたけど、意外とそうではないのかもしれない。会社によるんですかね。そういうのがウェルカムな会社とか社風があるのかもしれない。
頻繁に出入りしろって言うわけでは無いけど、そういうのがむしろ健全なんじゃないかなっていう気がするけどね。辞めていく人を引き止められないのであれば、できるだけ活発に人材の異動が起きるような方に持っていく方が、現実味があるというか実現性が高いんじゃないかなって気がする。
辻:引き止めって結局うまくいかないですしね。人材を確保するに当たって募集かけなあかんわけでしょう。で、その募集って官民問わず、いろんな求人が出ているじゃないですか。
そこで、次は求人の内容ってどうなん?みたいな議論をしたいなと。本当に欲しい人を求められているのか、見た人はそう感じられているのか、ということで、今日は1つ持ってきました。こちら、サイバー犯罪捜査官 警部補(3級職)というものです。
欲しい人材は獲得できてる?募集要項の書き方とマッチング
根岸氏:今日はこれ、いじらせていただきます。実際に今、警視庁さんが募集されているものを持ってきたんですよね。
辻:これを見て、どうですか?根岸さん。
根岸氏:だいたい資格が列挙されている感じなんですよね。
辻:結構民間でもあるじゃないですか。同じ様なもの多いと思うんですよ。
根岸氏:こんなの書かれたら、我々3人は誰も応募できないね(苦笑)。どれも持って無くない?でも、しょうがないなって気がしますね。ただ、これが良い悪いというよりも敢えて批判的に言うと、一体どういう人が欲しいのかよく分からないなと思う。
辻:ふるいに掛けているだけにしか見えへんっていうか。
根岸氏:かといって、なんも分からない人に来てもらっても困るからね。最低限、狙いみたいなものがあるんですかね?
警視庁2号氏:私はこの募集要項を見て警視庁に入ったんですけれども..(笑)。先程の資格のお話ですが、資格持っていて仕事ができない人と、資格はないけどこちらにいらっしゃるお三方どっちがいいですかと言われたら、私は当然お三方がいいなと。
辻:ここの場でお三方以外とは言えないですよね(笑)。
警視庁2号氏:ええ(笑)。
ただ一方で、官公庁ですので資格がひとつの基準になっています。保有する資格に応じて警部補または巡査部長で採用する、資格については、そういう使い方をしているのかなと思います。
辻:ここの資格は、持っていた場合こうした階級に当たるということで、こういう書き方をしているんですね。
警視庁2号氏:資格の他に、何年以上民間の経験があれば、警部補で受験できますというような、受験のための入り口っていうんですかね。
根岸氏:民間の場合は、こういう資格を持っていたからこういう社内的な評価ランクで採用って別に決まっていないような気がする。
辻:民間の場合、重視されるのは前職の給与じゃないですか?
根岸氏:今回サイバー犯罪捜査官を例に出しましたけど、出す側と応募する側で本当にマッチングが取れているのかっていうか、欲しい人材が応募してくれて、本当に意欲のある人が求人を見て来たいと思ってくれるかっていうのは、素朴な疑問。偉そうなことを言って、こうすべきっていうものがあるわけじゃないですが、どうしたらもっとマッチングが上手くいくのかというのは前から悩みというか、難しいなと。
個人的なつながりがあるとか、社外で一緒に仕事をする機会があって人となりがよく分かったから来て欲しいって思う方が多い気がして。工夫の仕方というか、どうするのがいいのか分かんないなって。
piyokango 氏:民間だとカジュアル面談ってありますよね。採用に関係なくとりあえず面談して組織の中の状況とか自分が居たらどんなことができそうかっていう、本当にフランクに話す場があって。それは割と最近よく見る印象がありますね。
辻:他にアンケート結果で紹介しておきたいものはありますか?
根岸氏:そのアンケート結果は、中途の方も中で育成されたスペシャリストの方もいろんな方がいらっしゃるんですよね?
警視庁2号氏:両方ですね。特別捜査官も内製で育成してきた方も含めています。所属にもよりますが、「今の業務が楽しくてやりがいがある」、あと「ワークライフバランスがしっかりしているので、もうこの会社は最高」という人が多いですね。
一同:へぇー!(一同驚き)
辻:なんか意外。っていうのも失礼なんですけど..(笑)。
警視庁2号氏:特別捜査官で入った場合、技術をやりたい人と捜査をやりたい人が大きく分かれている、という要因もあります。解析ばかりでつまらないっていう人の中には「もっと捜査したい。犯人を検挙したい」っていう人も居ます。私も警察に入り、解析して最後犯人にたどり着いて、初めて被疑者を検挙できたときの高揚感はやっぱり忘れられないですね。
根岸氏:色々調べて結論にたどり着くことと同じような感覚なのかもしれないね。直接犯人に会うか会わないかの違いだけで、それは同じなのかな。ただ、誰がそういうのに合うかっていうのをうまくマッチング取れていないと、さっき言ったみたいな悲しいことになるんですかね。
警視庁2号氏: 定期的に異動させて捜査の部門がいい人は捜査に、ずっと解析ばっかりやりたいという方は、なるべくそちらに行くようにやっています。
辻:募集を見ていて思うことがあるんですよね。どういう人が欲しい、何ができる、何の経験が何年の人、みたいなものが多いと思うんですけど、うちに来るとこういうことが学べます、みたいなものをもっと書いてもいいと思うんです。「こういう仕事ができます」「こういうやりがいがあります」ってあまり書かれてなくて、こういうことを学びたいと思う人が資格でしかいけないっていうのも、ちょっと一方通行な感じがするなと思って。
根岸氏:うちの会社もやっているけど、入社した人のインタビュー記事とか、同じように入社してきた人の話が聞ける機会を設けるとか、先輩社員と話ができますとか。新卒採用だと良くあるけど、中途でもそういう場を設けている会社があって、分かりやすくていいなと思う。なかなか顔を出せないのが民間と違うのかもしれないけど、そういうのがあったら何ができるのか実際にやっている人から生の声で聞くことができて距離感も近くなれそう。
リーク情報の取り扱い方と注意点
辻:次の話題に移ります。リーク情報の取り扱い方についてです。
リーク情報って、ランサムウェアでもありますし、あと忘れたころにパスワードが何億件漏えいしてアップロードされていた、みたいなニュースもあったりします。いろんな人がリーク情報を手にする時代になったと感じていて、それをどう取り扱うのがいいのか、もしくはどんな注意点があるのか、というお話していきたいなと思っています。リーク情報の取り扱いは、立場によって違ってくるかなと思っています。だいたい分けてみたらこの4つかと思います。
リーク情報を扱う4つの立場
辻:被害に遭った組織もしくは人。それから法執行機関、専門家、あとは無関係とまでは言えないかもしれないですけど第三者(被害に遭ったわけではなく、外から見て知っているような人たち)という、この4つの立場に分けられるかなと思います。
それぞれ立場によって、接し方が変わってくるんじゃないかと思うんですよね。例えば、専門家って場合によっては不用意に拡散してしまうかもしれないので、結構難しい立ち位置かなって気がするんです。
今日はこの立場ごとに考えていきたいなと思うんですが、これに関して piyokango さんが問題意識を持っているということなので紹介いただきます。
サイバー野次馬のリーク情報拡散...中には悪質な事例も。リークサイトに掲載されてしまった場合の相談先は?
piyokango 氏:皆さん同じように問題意識はあると思うんですけど、私は特に SNS の反応を見る機会が多くて。今年の夏、「ランサムウェアの被害に遭った組織の情報がリークされた」という情報が SNS 上で出回ることがありました。ランサムウェアの被害組織が「拡散はやめてください」とプレスリリースで発信するケースというのは、国内だと見たことが無いと思うんですよね。
辻:初めてに近いかもしれない。
piyokango 氏:呼びかけ後も、SNS 上ではどう見ても悪質だなと思うものがありました。純粋にリークされた情報を横流ししているケースもあれば、なんでこんなことするのかなと思うんですけど、リークされた情報とみられるものから住所一覧を作ったりとか。
辻:データを抽出・加工しているということですね。
piyokango 氏:わざわざ、そういう加工というか作成をして、それをまた拡散するっていうことをされている、悪質ですよね。そういうケースが日本でも起きているんです。被害組織からしたら当然困っているんじゃないかなと思う。
法執行機関の立場から、そういったことがあった場合に取り締まることができるのか、できないのか。あるいは、被害組織の立場からすると、そういった相談にすぐに乗っていただけるのかとか。その辺はこの夏の事案で言うと、浮き彫りになったっていうか、議論がいろいろあるところなのかなっていうのを見ていて思ったので、今回、私から発表させていただきました。
これ、どうですか。実際、相談という形でこられたときに門前払いなのか、ちゃんと相談として受けられるのか。
根岸氏:確かに。警察に相談したら何かしてくれるの?と。
警視庁2号氏:まず警察に相談していただきたいと思います。すぐ捕まえられるかどうかは別の問題として、例えば住所が晒されたということは誰か来るかもしれません。命の危険がある可能性もあります。
あとは、内容が、名誉棄損に当たるような記載がありますよとか、これは侮辱罪ですよとか。事案の内容にもよると思いますけど、相談くださったその方を警察は守るべきだと思いますので、積極的に相談していただいてよいと思います。
根岸氏:情報を盗られてどこかのサイトにリークされたとき、誰でも分かるようなところにある場合もあれば、そうでもない場合もあります。専門家に相談できるパスがある場合もあれば、全然ない人たちもいます。大企業、中小企業いろいろあると思うんですけど、自組織の被害状況が自分達でもよく分からないというケースが結構あって。その被害を受けた組織がどれぐらい自分たちの情報が漏れているか確認したい場合、警察に相談したら相談に乗ってもらえるのかというのも、意外と知られていないんじゃないですかね。僕も知らないんですけど。
警視庁2号氏:リークサイトに少なくとも会社名が載っているというのを、会社が認知したって形を捜査員の立場で考えますと、これはすぐに相談していただきたいと思います。リークサイトに載っているということは、何かしらの情報が漏れていて、ランサムウェアの被害の可能性があるということは分かりますが、リークの中身を我々が見ても分からない可能性があるんです。
例えば、このデータは確かに A さんと書いてあるんですけど、このデータは本当に A さんのものなのか、我々では判断がつかない。であれば、相談をされて内容を把握している方と一緒に確認した方が、捜査ははるかに早く進むのではないかと思います。
根岸氏:どこをどう見ていいか分かんないし確認も難しい時に、警察に相談して中身を一緒に確認しましょうみたいな。そういうケースも事案によってはあるってことですね。
警視庁2号氏:私が相談を受けたら、確実にそう対応します。
根岸氏:僕らならどこを調べればいいかってパッとすぐ分かるけど、そういう人達ばっかりじゃない。あと、そういう専門家がいないとか、小さな規模だとか、あるいはベンダーにいろいろお願いしているとかっていうような会社だと、なかなかどこに何を聞けばいいか分からない場合もあるかなという気がする。そういう時に相談していただきたいと警視庁さんだからそう言っているけど、全国津々浦々どこでもそういうのができるかっていうと、そうとも言えないですよね。少なくとも警視庁では対応しますよってことですよね。県警によって、できる・できないがあると思うんですよね。
辻:マンパワーの問題もありますからね。
根岸氏:下手したらさ、うちじゃ分からないって、たらい回しにされちゃってもおかしくないじゃない。そういうのは無くしたいよね。その辺は窓口を一本化する取り組みとか、何かされているんですか?
警視庁2号氏:警察庁のホームページにサイバー事案に関する統一窓口がありますので、全国どこでも通報、相談等が可能です。
根岸氏:そういうのを知っていると、聞きやすいかなって気がするんです。
辻:どこに連絡していいか、分かりやすく広報するっていうのも大事かなと思います。
根岸氏:被害組織は自分たちの情報を知りたいっていうニーズがある。でも、第三者ってそもそも必要かな。必要性無いよね?
piyokango 氏:必要か、というと必要になるケースはあるかもしれない。
根岸氏:例えば、自分の情報が漏れているか気になるから調べたいとか、そういった欲求はあるのかな。
piyokango 氏:あるでしょうね。 そういうサービスがあったりしますし。
根岸氏:それは自分でやるべきですか?例えば自分が使っているサービスでリークがありました。俺の情報もあるかもしれないと心配です。そういう人は自分で見るべきですか?
piyokango 氏:自分の情報以外を入手してしまう可能性があるので、見るべきではないですよね。
根岸氏:第三者ってそのそういう情報に接する必要がそもそもあるのかな。
辻:パッとは浮かばないですけど、まだ専門家になっていないけど、そういった研究をしている学生とかくらいかな。
根岸氏:専門家の定義がよく分からないね。
辻:仕事としてやっているとか、正当業務行為であるかどうか、かと思うんです。
根岸氏:専門家の定義が曖昧なんだけど、例えばここにいる皆さんも普通の人(全然セキュリティやサイバーを全く知らない人、ニュースなどで初めてそういう事案を知る人)に比べたら、遥かに専門家に近いじゃないですか。一緒くたに専門家とします。
その時に、そういう情報に接することがある人がリーク情報をどう扱うかも、見ていて目に余るものがあるなと感じるところがあって。それってリーク情報に限らず、僕ら普段危険と隣り合わせじゃないですか。違いは何かと言うと、攻撃側の情報を僕らがどれくらい調べて持っているかっていうことを出すか出さないかっていうのは、メリット・デメリットがあって。どのぐらい知っているって相手に知られちゃって、それに対応されてしまうっていうデメリットと、そういう情報を共有して早期に対応できるというメリットと天秤にかけてどうしようって日々悩むのね。
で、こういうリーク情報とか、ランサムウェアのアクターに関する情報もすごく扱いがセンシティブだと思うわけ。だけど、見ていると専門家なのか分からないけど、ダークウェブにありますぐらいは知っている。そういう意味では専門的な知識がある。だけど、それを全然知らない人にあえて広めちゃうような、意識しているのか意識してないのか分かんないけど、ハブになっちゃっているような人がいるような気がしていて、それは如何ともしがたい。それはやめてほしい。
辻:それは法的には問題ないけど、倫理的にはダメ?
根岸氏:法的かどうか分かんないけど、倫理的にはどうかと思うのと、意識せずにもしかしたら善意でやっている可能性があるかな?
辻:確信犯的なやつですね。
根岸氏:みんなに知ってもらって危機感を持ってもらわないとダメだっていうのは、あるじゃない?僕ら的に。悪い言葉で言えば、危機感を煽るような仕事ではある。でもやりすぎたらダメ。そのバランスが大事。で、そういうのどうなのって感じることがあるんですけど。感じませんか?
piyokango 氏:ありますね。まあ、X で見ているとそういうのはあったりして。モニタリングみたいなアカウントもあるじゃないですか。
根岸氏:ダークウェブのリークのモニタリングもあれはどうなんだろう?
piyokango 氏:更新されると、どこそこハック!みたいな。
根岸氏:X に流されたら割と広まるからね。
piyokango 氏:誰でも見られるところなので。
根岸氏:それが役に立つ場面もあると思うんですよ。だからダメかって言われたらダメじゃないと思うんだけど、マイナス面が強い気もするんですよね。そういう立場に皆さんがなった場合どう気を付けますか、というのは問いたい。
piyokango 氏:明確な線引きが難しくはあるんですけど。倫理的な問題というか。
根岸氏:人によって割れません?自分はそういうことやっちゃうとか、絶対にしないとか。
辻:「自分はやれへんけど、人がやっていることは別にどっちでもいいです」という人も居るでしょうしね。僕も見ていて目に余る X のポストに関しては、それになんか突っ込んだろかって思うときあるんですよ。でも突っ込んだらまたそれが広がるわけでしょ?この間、あるところのランサム事案で情報を盗まれたものがあって、「××会社の情報が盗まれる事故がありました。調べてみました。そしたらメールアドレスとパスワードが漏れていました」って言っているんです。でも、よくよくスクリーンショットを見ると2013年と書いてあるんですよ。今回の件は全く関係ないのに、さも関係あるかのように振舞っていたんですよ。
根岸氏:“こういうのが良い”という合意があんまり得られてないテーマなんだなという気がしていて、人によって扱いが違うっていうか。ただ、場合によっては法執行機関的にはやめていただきたいものもあるでしょうし、犯罪になりますよね。そういう犯罪行為になる・ならないって我々にとってそれプラスなの?マイナスなの?という線引きが人によってブレるっていうか。有罪か無罪かはブレない気がするけど、僕ら側の線は人や事案によって割とブレがちっていうか。皆さんはどうしているんだろう。
piyokango 氏:答えがないですけど、ただ現状として見ていくと、残念ながらそういう人がいるというのは事実ではあります。サイバー野次馬じゃないですけど、残念ながら起きてしまった時に相談という話がありましたが、どういう立ち回りができるのかということを(法的にどうかという話は置いといて)、当事者、被害組織が考えなきゃいけないステージに来ているなと思いますね。
根岸氏:全部が全部答えを出したいわけじゃないので、各テーマなんとなく終わっていますが、僕らはこういう話題について今後も考えていきたいですし、皆さんと議論を継続していきたいと思っています。
(つづく)
