Last Updated on 2024-01-27 14:35 by 荒木 啓介
アメリカのサイバーセキュリティ機関であるCISA(Cybersecurity and Infrastructure Security Agency)のシニアテクニカルアドバイザー、ジャック・ケーブル氏は、2019年にスタンフォード大学のコンピュータサイエンス学生だった際、卒業にサイバーセキュリティのコースを履修する必要がなかったと述べています。彼によると、アメリカのトップ24のコンピュータサイエンススクールのうち23校で、サイバーセキュリティの履修が必須ではないとのことです。この状況は、約5年後の現在も変わっていないとケーブル氏は指摘しています。
唯一、カリフォルニア大学サンディエゴ校がコンピュータサイエンスとエンジニアリングのプログラムでセキュリティを学士号の要件としているようですが、大学のカリキュラムからは明確ではありません。ケーブル氏は、サイバーセキュリティがグラフィックスやヒューマンコンピュータインタラクションのようなサブディシプリンと見なされており、将来のソフトウェア開発者にとって必須の知識ではないという現状に対して、不満を表明しています。彼は、多くの攻撃が基本的なセキュリティ知識を持つ開発者なら防げたであろう単純な弱点を突いていると述べています。
CISAは、コンピュータサイエンス教育におけるセキュリティの役割に関する情報提供を求めるリクエストを出しており、その回答は2月20日までに求められています。この問題は、セキュリティ担当者と開発者の間の乖離、ランサムウェアやその他の破壊的なサイバー攻撃からの絶えず増大する脅威に寄与するものであるとされています。
CISAによると、セキュリティコースが不足している理由の一つは、民間部門が開発者の採用時にこれらのスキルを要求していないことです。2022年9月に開催されたワークショップでは、コンピュータサイエンスのカリキュラムにセキュリティを組み込むことの課題が議論され、需要の不足が挙げられました。ケーブル氏は、「これまでのところ、企業はソフトウェア開発者を採用する際にセキュリティを重要な評価要素としていない」と述べています。この状況が変わらない限り、大学が実践を変える動機はほとんどないと彼は指摘しています。
【ニュース解説】
アメリカのサイバーセキュリティ機関であるCISAのジャック・ケーブル氏が、コンピュータサイエンスの学位を取得するためにはサイバーセキュリティのコースを履修する必要がないという現状を指摘しました。彼の発言によると、アメリカのトップ24のコンピュータサイエンススクールのうち23校で、サイバーセキュリティの履修が必須ではないとのことです。このことは、将来のソフトウェア開発者がセキュリティに関する基本的な知識を持たずに職場に出ることを意味しており、ソフトウェアの脆弱性を通じたサイバー攻撃のリスクを高める可能性があります。
この問題は、単に教育カリキュラムの問題にとどまらず、産業界全体のセキュリティに対する認識の問題を反映しています。企業が開発者の採用時にセキュリティスキルを重視していないため、大学もそれに応じた教育プログラムを提供する動機が乏しいのです。この状況は、セキュリティ担当者と開発者の間のコミュニケーションのギャップを生み出し、ランサムウェアやその他のサイバー攻撃からの脅威を増大させています。
セキュリティをコンピュータサイエンスの教育に組み込むことは、ソフトウェアの品質を向上させ、サイバー攻撃による損害を減少させるために重要です。セキュリティ教育を受けた開発者は、セキュアなコーディングの実践や、脆弱性の早期発見と修正、セキュリティリスクの評価などを行うことができるようになります。これにより、企業の信頼性と顧客のデータ保護が強化されるとともに、サイバー攻撃による経済的損失のリスクを軽減することができます。
しかし、セキュリティ教育の強化には潜在的なリスクも存在します。例えば、セキュリティに関する知識が悪用される可能性があります。また、セキュリティに関する教育が過度に強調されると、他の重要なコンピュータサイエンスの分野が軽視される恐れもあります。さらに、セキュリティ教育の導入には、教員の専門性の向上や教材の開発など、追加的なコストがかかることも考慮する必要があります。
規制に関しては、ソフトウェア開発者に対するセキュリティ教育の義務化が検討される可能性があります。これは、ソフトウェアのセキュリティを確保するための一歩として、政府や業界団体による規制の強化を促すことになるでしょう。
長期的には、セキュリティ教育の普及は、より安全なデジタル環境の構築に寄与し、サイバーセキュリティの専門家の需要を増加させることが期待されます。これにより、セキュリティに関するキャリアパスが拡大し、より多くの人材がこの分野に進出する機会が生まれるでしょう。また、セキュリティを重視した教育は、将来の技術革新においてもセキュリティが重要な要素となることを意識させ、より堅牢なシステムの開発を促進することになります。
from Wait, security courses aren't a requirement to graduate with a computer science degree?.
