セキュリティ人材育成の取り組み ~ 富士通 セキュリティマイスター認定制度のご紹介 ~ 2017年1月 富士通株式会社 サイバーディフェンスセンター Copyright 2016 FUJITSU LIMITED 1.認定制度発足の背景 1 Copyright 2016 FUJITSU LIMITED 社会問題化するサイバー攻撃 2014年11月下旬に発生したSony Pictures Entertainment(SPE)へのサイバー攻撃 2015年官公庁外郭法人での大規模情報漏洩 事件の発生 止まらない不正ログイン被害 リスト型攻撃、ブルートフォースによる攻撃 今後・・・ 全世界70億人がデジタルデバイスを持ち、500億のデバイスが インターネットに繋がるIoT( Internet of Things)時代 富士通はソリューションプロバイダーとして、セキュアなサービス を継続的に提供する社会的責任があると考えています 2 Copyright 2016 FUJITSU LIMITED セキュリティ技術者の不足 国内における情報セキュリティ従事技術者は約23万人 2.2万人のセキュリティ人材が不足(量の不足) 13.7万人の人材は更に教育やトレーニングが必要(質の不足) 業務が回らないほど危機的な不足:約1割 多少の無理をすれば間に合う程度の不足:約4割 必要最小限は足りているが理想的な状態と比べると不足:約5割 ※2014年 独立行政法人 情報処理推進機構「情報セキュリティ人材の育成に関する基礎調査」より 富士通はお客様に安心安全なシステム・ソリューション・サービス を提供するために、現場レベルでセキュリティを理解できる人材及び 高度なセキュリティ技術者の計画的な発掘及び育成が必要である と考えます 3 Copyright 2016 FUJITSU LIMITED セキュリティマイスター認定制度の特長 高度なセキュリティ技術を持つ専門家と現場でセキュリティを支えるシステム技術者を、富士通グ ループ全体に配置するため、2014年より”富士通 セキュリティマイスター認定制度”を、開始し ました。 セキュリティ技術者人材像の定義 今日のICT開発・運用の現場ニーズに適合し たセキュリティ技術者人材像の定義 可視化と発掘 セキュリティ技術を保有する技術者の可視化 と資質ある技術者の発掘 実践的な育成 実践力を重視したセキュリティ技術者育成プ ログラム 4 Copyright 2015 FUJITSU LIMITED 2.セキュリティ技術者人材像の定義 5 Copyright 2016 FUJITSU LIMITED セキュリティ人材のスキル構造 サイバーセキュリティにおいて経営者の意思決定に必要な情報を生むスキルはセキュリティコアス キルだけではない。 情報技術系スキル 非情報技術系スキル 基礎理論 法務 アルゴリズム 監査 セキュリティ マネジメント アーキテクチャ 捜査 アクセス制御 ソフトウェア リスク アセスメント ハードウェア 人的 セキュリティ 情報漏洩 対策 脆弱性管理 社会分析 調達 ネットワーク データベース 統計分析 インシデント 対応 識別と 認証 事業継続 暗号化技術 サービス マネジメント リスク管理 マルチメディア セキュリティコアスキル 6 経営 Copyright 2016 FUJITSU LIMITED セキュリティマイスターの人材像の定義 必要なスキルをちりばめ、現場のニーズに基づき、エンジニアの活躍の場を3つの領域に分けその 中で求められるスキルにより15の人材像(人材類型)を定義 システム開発・サービス運用現場で高度なセキュリティスキルの適用を推進し、 お客様業務の安心安全を実現するエンジニア セキュリティインシデントハンドラー システムセキュリティエンジニア セキュリティインシデントマネージャー シニアセキュリティインテグレーター お客様へ最適なソリューションを提供する高度なセキュリティ特化スキルを持つエンジニア セキュリティアナリスト サイバーリスクアセッサー セキュリティプロダクトエキスパート フォレンジックエンジニア セキュアネットワークコーディネーター ペネトレーションテスター サイバーリサーチャー 高度な脅威に対抗する業界最高レベルのセキュリティスキルを持つエンジニア シニアセキュリティコーディネーター コードウィザード グローバルホワイトハッカー コンピュータウィザード :各領域での人材類型 7 Copyright 2016 FUJITSU LIMITED セキュリティマイスター認定審査 各領域及び人材類型に応じた教育と認定審査を行い、認定者のレベルを維持 システムセキュリティエンジニア専門教育 修了認定 システムセキュリティエンジニア セキュリティインシデントハンドラー専門教育 修了認定 セキュリティインシデントハンドラー サイバーレンジ 共通教育 サイバーリスクアセッサー 専門教育 サイバーリスクアセッサー フォレンジックエンジニア専門教育 フォレンジックエンジニア ペネトレーションテスター専門教育 ペネトレーションテスター 認定審査 セキュリティアナリスト専門教育 セキュリティアナリスト 各プロダクト専門教育 セキュリティプロダクトエキスパート セキュアネットワークコーディネーター 専門教育 セキュアネットワークコーディネーター コードウィザード 他のハイマスターによる面接と推薦 認定審査 コンピュータウィザード シニアセキュリティコーディネーター グローバルホワイトハッカー 8 Copyright 2016 FUJITSU LIMITED セキュリティマイスターの活躍 お客様に安心安全なシステム・ソリューション・サービスを提供 お客様 SI 運用 フィールドSE マネージドSE セキュリティインシデントハンドラー システムセキュリティエンジニア グローバルマネージドセキュリティサービス セキュアバイデザインサービス、コンサルティングサービス提供 ペネトレーション テスター セキュリティプロダクト エキスパート コードウィザード コンピュータウィザード ナレッジ セキュリティ アナリスト 意思 決定 監視 セキュアネットワーク コーディネーター サイバーリスク アセッサー 分析 陣頭 指揮 対処 フォレンジック エンジニア 技術検証 情報提供 など プレゼンス向上活動 9 シニアセキュリティ コーディネーター グローバルホワイトハッカー Copyright 2016 FUJITSU LIMITED セキュリティマイスター育成計画 20人 1,400人 ✓高度な脅威への対抗 ✓グローバルな動静分析 ✓現場の品質確保 ✓的確な事案対応 ✓業種・業務特化 580人 ✓高い技能を駆使した セキュリティサービス 700人 2016年度末に各現場へ 2014年度開始 2017年度末には、業種・業務への特化、 技術者が育つ土壌を作り上げ、2,000名 のマイスターがお客様をサポート 10 Copyright 2016 FUJITSU LIMITED 3.可視化と発掘 11 Copyright 2016 FUJITSU LIMITED 可視化と活躍のサイクルを設計 セキュリティ技術者の可視化と 活躍のサイクル ビジネスへの 貢献 セキュリティに素養のある人材 を可視化 教育 教育コースの提供 活動 コミュニティへの 参加・ナレッジの共有 12 などにより発掘 セキュリティ品質を 確保したICTの提供 高度な攻撃に対抗する ソリューションの提供 コミュニティでナレッジを共有し、 各自の業務に展開 セキュリティマイスター自身が 後進の技術者を発掘・育成 発掘 社内セキュリティコンテスト セキュリティマイスター 認定制度 認定 拡大、活性化 Copyright 2016 FUJITSU LIMITED 発掘・啓蒙を目指したセキュリティワークショップ 富士通グループ全体を対象としたセキュリティワークショップを開催。実践型セキュリティコンテ ストと最新セキュリティ技術セミナーにより、技術とナレッジ両面を向上 コンテストにおいて技能の発揮を可視化するダッシュボードを取り入れ、潜在する有能な技 術者を発掘 経営層、幹部社員、現場のエンジニア・研究者がそれぞれの視点から、最新のセキュリティ 事情や技術セミナーを行い、ナレッジの最新化と意識の共有を図る image コンテスト ダッシュボード 実践型セキュリティコンテスト会場風景 最新セキュリティ技術セミナー 13 Copyright 2016 FUJITSU LIMITED セキュリティコミュニティの形成支援 社内の各部門に点在しているセキュリティマイスターのナレッジの集約化を図り、有効活用する ためのコミュニティの形成を支援 コミュニティ主体の勉強会の開催やナレッジ共有基盤による全体スキルの向上 プロダクト 開発部門 コミュニティ ネットワーク部門 セキュリティサービス 提供部門 セキュリティコンサル部門 SI部門 CSIRT部門 ナレッジの集約 検証環境の調整 (TPS5、SIC) 事務局による支援 社外向けの講演や 本の執筆などの調整 外部団体活動 へ参加の調整 情報交換および発 信する環境の整備 14 Copyright 2016 FUJITSU LIMITED 4.実践的な育成 15 Copyright 2016 FUJITSU LIMITED 実践力重視の教育 富士通のコアテクノロジを活用し、仮想環境上に一般的な社内ネットワークを再現し、実践 的なトレーニングを実施 攻撃と防御の疑似体験、業務データが流れるリアルな環境で各種検証実施 サイバー攻撃の状況をダッシュボードで可視化することにより、受講者の理解をサポート image -サイバーレンジを活用した研修風景- サイバーレンジを効果的に活用できる専用のシステムを用意。 先進的かつ快適な環境で研修に取り組んでいます。 -サイバーレンジダッシュボードー 16 Copyright 2016 FUJITSU LIMITED 実践力重視の教育 解析結果をもとにタイムラインを作成し、暫定策および恒久策の策定までをシ ミュレーション 実践的な演習シナリオにより、エスカレーションやクロージングまでの流れを 網羅的に体験 image -サイバーレンジを活用した研修風景- クロージングまでをグループにて討議し、経験値を貯める 17 Copyright 2016 FUJITSU LIMITED 付.セキュリティマイスター人材像 18 Copyright 2016 FUJITSU LIMITED 前提スキル 【フィールド領域】 ITスキル標準の共通レベル2(基本情報技術者)相当の スキルを有していること 【エキスパート領域】 ITスキル標準の共通レベル4(情報処理技術者試験にお ける高度試験)またはCISSPの資格を有していること 【ハイマスター領域】 富士通グループ外からも認められるコンピュータのスキルを有 していること FUJITSU Wayに従って行動できる人、安心安全のミッション実行に対するモチベーションを有する人が望ま しい 参考:ITスキル標準V3(IPA) http://www.ipa.go.jp/jinzai/itss/download_V3_2011.html 19 Copyright 2016 FUJITSU LIMITED セキュリティ人材のスキル構造 サイバーセキュリティにおいて経営者の意思決定に必要な情報を生むスキルはセキュリティコアス キルだけではない。 情報技術系スキル 非情報技術系スキル 基礎理論 法務 アルゴリズム アーキテクチャ 監査 セキュリティ マネジメント 捜査 アクセス制御 ソフトウェア 人的 セキュリティ 脆弱性管理 リスク アセスメント インシデント 対応 情報漏洩 調達 対策 ハードウェア 社会分析 識別と 認証 ネットワーク データベース 統計分析 事業継続 暗号化技術 サービス マネジメント リスク管理 マルチメディア セキュリティ コアスキル 20 経営 Copyright 2016 FUJITSU LIMITED 【フィールド領域】システムセキュリティエンジニア 人材概要 セキュリティ部門で はなくシステム構築 開発部門に籍を置 き、システムのセ キュリティ非機能設 計および現場のセ キュリティの作り込 みを担当する人材 ス キ ル マ ッ プ 情報理論 情報技術系 アーキテクチャ アルゴリズム ■ ソフトウェア ハードウェア ネットワーク データベース サービスマネジメント ■ ■ ■ マルチメディア セキュリティマネジメント セキュリティ コア ■ 脆弱性管理 リスクアセスメント 非情報 技術系 アクセス制御 ■ 人的セキュリティ ■ 識別と認証 情報漏洩対策 インシデント対応 暗号化技術 調達 法務 捜査 社会分析 監査 統計分析 経営 リスク管理 事業継続 期待される業務 システムの要件定義段階において顧客とセキュリティ非機能要件を折衝する システムの方式設計段階においてシステム全体(インフラ、アプリ)のセキュリティ方針(※)を定義する ※システム構成、セキュリティ機能の配置、OSやミドルのセキュリティ設計などの非機能要件 システムのテスト段階において設計したセキュリティ機能が適切に機能しているか確認する 目標 導入するシステムの品質(セキュリティ)向上とそれによるビジネスリスクの低減 標準スキル セキュリティに関する応酬話法ができる 安全なアプリケーションの開発をマネージメントおよび検証できる セキュリティを考慮したシステム設計を実践できる • コンピュータの構成要素、システムの構成要素について理解している • インターネット技術(IPv4、NAT、DNS、Proxyなど)について理解している • 情報資産に対する物理的脅威、技術的脅威、人的脅威を理解している • Webサービスに対する代表的な攻撃手法の手法と攻撃された場合の脅威と対策について理解している • 代表的なミドルウェア(Apache、BIND、postfix、squid)のセキュリティ設定を理解している • 代表的なOS(Windows、Linux)のセキュリティ設定を理解している 21 Copyright 2016 FUJITSU LIMITED 【フィールド領域】セキュリティインシデントハンドラー 人材概要 セキュリティ部門ではな く運用部門やリスク管 理部門、本社部門に籍 を置き、システムのセ キュリティ運用設計およ びセキュリティを踏まえ た現場の業務を担当す る人材 期待される業務 目標 標準スキル ス 情報技術系 キ ル マ ッ プ セキュリティ コア 非情報 技術系 情報理論 アーキテクチャ ハードウェア ■ データベース アルゴリズム ■ ソフトウェア ■ ネットワーク ■ サービスマネジメント ■ マルチメディア セキュリティマネジメント ■ アクセス制御 脆弱性管理 ■ 人的セキュリティ リスクアセスメント ■ 識別と認証 情報漏洩対策 インシデント対応 暗号化技術 調達 法務 捜査 社会分析 監査 統計分析 経営 リスク管理 事業継続 ■ システムの要件定義段階においてセキュリティ運用要件を折衝する システムの運用設計段階においてシステム全体のセキュリティ運用(※)およびデシジョンテーブルを定義する ※必要となるログの定義、トリガーの設計、パッチ運用設計など システムのテスト段階において設計したセキュリティ運用が実際に運用できるか確認する OSやミドルウェア、プロダクトの出力するログを見てセキュリティインシデントかどうかデシジョンテーブルに従っ て一時切り分けと応急処置を行う 運用サービスの品質(セキュリティ)向上 セキュリティに関する応酬話法ができる 想定脅威に対する運用対策を考えられる セキュリティを考慮したシステム運用の設計ができる • コンピュータの構成要素、システムの構成要素について理解している • インターネット技術(IPv4、NAT、DNS、Proxyなど)について理解している • 情報資産に対する物理的脅威、技術的脅威、人的脅威を理解している • Webサービスに対する代表的な攻撃手法の手法と攻撃された場合の脅威と対策について理解している • 代表的なOSやミドルウェア、プロダクトが出力するログを理解している セキュリティインシデント発生時に現場のとりまとめができる 22 Copyright 2016 FUJITSU LIMITED 【フィールド領域】セキュリティインシデントマネージャー(官公庁) 人材概要 業種特有の遵守事項や セキュリティフレームワー クを意識し、業種特化市 場におけるシステム提案、 システム設計・構築、運 用におけるマネージメント ができる人材 ス キ ル マ ッ プ 情報技術系 情報理論 アーキテクチャ ハードウェア データベース 目標 標準スキル アルゴリズム ソフトウェア ネットワーク ■ サービスマネジメント ■ ■ ■ ■ アクセス制御 ■ ■ ■ ■ マルチメディア セキュリティ コア セキュリティマネジメント 脆弱性管理 リスクアセスメント 情報漏洩対策 暗号化技術 非情報 技術系 法務 人的セキュリティ 識別と認証 インシデント対応 調達 ■ 捜査 社会分析 監査 統計分析 経営 リスク管理 期待される業務 ■ ■ ■ 事業継続 ■ ■ ■ ■ ■ ■ ■ ■ 業種特化市場のシステム開発プロジェクトを担当し、リーダ(PM)として、セキュリティの基礎及び、セキュリティリ スクのトレンドと対策方法を理解し、セキュリティ設計・開発を行うチームのマネージメントを行い、要求された サービスレベルを満たすシステムを実現する。また、設計されたサービスレベルを維持するための運用、及び、 セキュリティインシデント対応のマネージメントを行う 官公庁システム特有の遵守事項と、官公庁システム事業本部が定める官公庁セキュリティフレームワークが理 解できる。また、その内容に基づく、マネージメントが行える セキュリティに関する応酬話法ができる 関連基準に基づく設計のマネージメントと監査ができる • 官公庁セキュリティフレームワーク(官公庁事本) • 政府関連の情報セキュリティ対策のための統一基準(NISC) • 高度サイバー攻撃対処のためのリスク評価等のガイドライン(NISC) • セキュアWebガイド(社内) • お客様インターネット接続システムにおけるセキュリティ必須要件(社内) 想定脅威に対する運用対策を考えられる セキュリティインシデント発生時に現場の初動対応等ができる • システム構成を理解し、影響と暫定対処のシナリオを推論できる。 • お客様との契約事項を理解し、責任分界点とクロージングに関する交渉を適切に行える。 23 Copyright 2016 FUJITSU LIMITED 【エキスパート領域】セキュリティプロダクトエキスパート 人材概要 プロダクト部門や マーケティング部門 に籍を置き、特定の セキュリティプロダク トに関する専門性の 高い深い知識を活 かし、商談およびプ ロジェクト実施にあ たる人材 期待される業務 目標 標準スキル ス キ ル マ ッ プ 情報技術系 情報理論 アーキテクチャ ハードウェア データベース ■ ■■ ■■ ■ アルゴリズム ■ ■ ■ ■■ ■■ アクセス制御 ソフトウェア ネットワーク ■ ■■ ■ サービスマネジメント マルチメディア セキュリティ コア セキュリティマネジメント 脆弱性管理 リスクアセスメント 情報漏洩対策 暗号化技術 非情報 技術系 人的セキュリティ 識別と認証 ■ ■ ■ インシデント対応 ■ 調達 法務 捜査 社会分析 監査 統計分析 経営 リスク管理 事業継続 セキュリティプロダクト導入によるメリット、デメリットをお客様に説明する プロジェクトにおいてセキュリティプロダクトの基本設計、詳細設計を行う セキュリティプロダクトに関する調査、検証、評価を行う セキュリティプロダクト販売による売上貢献 セキュリティに関する応酬話法ができる コンピュータの構成要素、システムの構成要素について理解している インターネット技術(IPv4、NAT、DNS、Proxyなど)について理解している セキュリティプロダクトの検証環境を構築、運用できる 一つ以上のセキュリティプロダクトを自分で設計・構築して導入できる 特定のセキュリティプロダクトの拡販素材一式を作成できる 24 Copyright 2016 FUJITSU LIMITED 【エキスパート領域】セキュアネットワークコーディネーター 人材概要 ネットワーク部門に籍 を置き、ネットワーク機 器の脆弱性や流行し ている攻撃などの影響 を正しく理解し、インシ デントに対する分析と 対応方法を顧客に対し て助言できる。また、 ネットワークポジション でのセキュリティ強度 を高める企画・提案が 行える人材 期待される業務 目標 標準スキル ス 情報技術系 キ ル マ ッ プ セキュリティ コア 情報理論 アーキテクチャ ハードウェア データベース アルゴリズム ■■ ■ ■ ■ ■ アクセス制御 ソフトウェア ネットワーク サービスマネジメント ■■ ■ ■■ ■ マルチメディア セキュリティマネジメント 脆弱性管理 リスクアセスメント 情報漏洩対策 暗号化技術 非情報 技術系 ■ ■ ■ ■ 人的セキュリティ 識別と認証 インシデント対応 調達 法務 捜査 社会分析 監査 統計分析 経営 リスク管理 事業継続 ■ ■ ■ ■ ■ ネットワークにおけるセキュリティリスクを分析する ネットワーク機器のログを分析する 外部セキュリティ関連情報を収集する IPSやWAFなどの運用知識が必要なソリューションの導入提案を行う その他、運用支援契約に基づく日々の対応を行う ネットワークインテグレーション、ネットワークサービスによる売上貢献 セキュリティプロダクト提案による売上貢献 セキュリティに関する応酬話法ができる 各種のログやパケットを相関して考察した上で、誤検知かどうかやインシデントの原因を推測できる パケットを取得して正常な通信と不正な通信を見分けることができる 代表的なネットワークプロトコルについて理解している ネットワークに絡むセキュリティ侵害のシナリオを推測できる(インテリジェンスの総合分析力) ネットワークセキュリティ製品、サービスの特性を理解し、懸念されるリスクに対して対策が正しく選択できる ネットワークに関連する攻撃手法を理解している その他、ネットワークに関する専門知識 25 Copyright 2016 FUJITSU LIMITED 【エキスパート領域】サイバーリスクアセッサー 人材概要 コンサルティング部門 や企画部門に籍を置 き、セキュリティ攻撃 事例、脆弱性情報及 びセキュリティリスク 分析手法を活用し システム、プロダクト におけるサイバーセ キュリティリスクを抽 出し、対策優先順位 を助言することができ る人材 ス キ ル マ ッ プ 情報技術系 情報理論 アーキテクチャ ハードウェア データベース マルチメディア セキュリティ コア セキュリティマネジメント 脆弱性管理 リスクアセスメント 情報漏洩対策 暗号化技術 非情報 技術系 法務 社会分析 統計分析 リスク管理 ■ ■ ■ ■ ■ ■ ■ ■■ ■ ■ ■ ■ ■ ■■ アルゴリズム ソフトウェア ネットワーク サービスマネジメント アクセス制御 人的セキュリティ 識別と認証 インシデント対応 調達 捜査 監査 経営 事業継続 期待される業務 システム・プロダクトの状況調査、リスク分析、セキュリティ基本設計書の作成 新たな脆弱性情報の入手、確認 国内外のセキュリティに関する全般的な情報収集 目標 新たな脆弱性に対して、国内外規格、ガイドラインに沿った体系的に整理し対策必要性を説明 お客様システム、プロダクト開発におけるリスク把握 コスト、実現難易度を考慮したセキュリティ対策優先順位の提案 標準スキル 脅威分析とリスク分析手法、および関連する国際に関する規格を理解し活用できる (ISO27001,ISO27005,ISO15408) コスト、セキュリティ対策比較の考え方を活用できる 脆弱性情報サイトに記載されている内容を理解できる 新たに発見された脆弱性によって及ぼされる影響を考察できる (脆弱性情報の収集の他に)脅威情報の収集を行うことができる お客様の業務を理解し、脅威についてお客様の環境に合わせたリスク分析を実施することができる 26 ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■■ ■ ■ Copyright 2016 FUJITSU LIMITED 【エキスパート領域】ペネトレーションテスター 人材概要 セキュリティ部門に籍 を置き、ペネトレー ションテストに関する 深い知識を活かし、 ペネトレーションテス トサービス実施にあ たる人材 ス キ ル マ ッ プ 情報技術系 情報理論 アーキテクチャ ハードウェア データベース マルチメディア セキュリティ コア セキュリティマネジメント 脆弱性管理 リスクアセスメント 情報漏洩対策 暗号化技術 非情報 技術系 法務 社会分析 統計分析 リスク管理 期待される業務 目標 標準スキル ■ ■■ ■ ■ ■ ■ ■■ ■■ ■ ■ ■ ■ ■ ■ アルゴリズム ソフトウェア ネットワーク サービスマネジメント アクセス制御 人的セキュリティ 識別と認証 インシデント対応 ■ ■ ■ ■ ■ ■ ■ ■ 調達 捜査 監査 経営 事業継続 ■ ■■ ■ ■ ツールを用いてサーバ、ネットワーク機器、アプリケーションの脆弱性診断を行う 手動でシステムに対するペネトレーションテストを行う 脆弱性診断やペネトレーションテストの結果からシステムのセキュリティリスク評価を行う セキュリティリスク評価の結果から必要となる対処を提示する リスク評価結果や必要となる対処をフィールドエンジニアに説明する 脆弱性診断サービスの実施 サービス部門のセキュリティ後方支援 セキュリティに関する応酬話法ができる VCISまたはnessusやQualysを使って機器の脆弱性診断を実施できる APPスキャンなどを使ってWebアプリケーションの脆弱性診断を実施できる 手動で代表的なWebアプリケーションの脆弱性診断を実施できる XSS、CSRF、セッションハイジャック、ディレクトリトラバーサル、アカウント検査など 手動で代表的なミドルウェアの脆弱性診断を実施できる オープンリゾルバ、メール中継など 脆弱性診断の結果を理解し、コマンドラインからncやtelnetを使ってその結果を再現できる 既知の脆弱性に対してmetasploitなどを使ってエクスプロイトすることができる セキュリティ侵害のシナリオを作成できる 27 Copyright 2016 FUJITSU LIMITED 【エキスパート領域】サイバーリサーチャー 人材概要 セキュリティ部門 に籍を置き、海外 を含めたアンダー グラウンド情報に 精通する知識を活 かし、マネージド セキュリティサー ビス実施にあたる 人材 ス キ ル マ ッ プ 情報技術系 情報理論 アーキテクチャ ハードウェア データベース マルチメディア セキュリティ コア セキュリティマネジメント 脆弱性管理 リスクアセスメント 情報漏洩対策 暗号化技術 非情報技術 系 法務 社会分析 統計分析 リスク管理 ■ ■ ■ ■ ■■ ■ ■ ■ ■ ■ ■ ■■ ■■ ■ 期待される業務 世の中で流行している攻撃動向を公開情報から調査し分析する 分析の結果、今後必要となる対処を推測しわかりやすく報告する 目標 MSSへセキュリティ動向情報を提供 攻撃の予兆から推測される対処の指示 標準スキル セキュリティに関する応酬話法ができる 脆弱性情報サイトに記載されている内容を理解できる マルウェアの表層分析が実施できる ドメイン情報から関連するIPアドレスや管理者情報を検索できる マルウェアの表層分析結果から類似マルウェアをグループ分けできる マルウェア種類を理解して、説明できる 公開情報分析の結果、実施すべき対策を推測できる 28 アルゴリズム ソフトウェア ネットワーク サービスマネジメント アクセス制御 人的セキュリティ 識別と認証 インシデント対応 調達 捜査 監査 経営 事業継続 ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■■ ■ Copyright 2016 FUJITSU LIMITED 【エキスパート領域】セキュリティアナリスト 人材概要 セキュリティ部門や ネットワーク部門に籍 を置き、主にネット ワーク上のログやパ ケットを分析する知識 を活かし、マネージド セキュリティサービス 実施にあたる人材 ス キ ル マ ッ プ 情報技術系 情報理論 アーキテクチャ ハードウェア データベース マルチメディア セキュリティ コア セキュリティマネジメント 脆弱性管理 リスクアセスメント 情報漏洩対策 暗号化技術 非情報 技術系 法務 社会分析 統計分析 リスク管理 期待される業務 目標 標準スキル ■■ ■■ ■ ■■ ■ ■ ■ ■■ ■ ■ ■ ■ ■ ■■ アルゴリズム ソフトウェア ネットワーク サービスマネジメント アクセス制御 人的セキュリティ 識別と認証 インシデント対応 調達 捜査 監査 経営 事業継続 ■■ ■■ ■ ■ ■ ■ ■ ■■ ■ ■ ■ ■ ■ 各種ログやパケットを収集し、どのような攻撃が行われているのか分析する セキュリティインシデントに対して周辺機器のログを収集し、システムに対する影響範囲を特定する セキュリティインシデントがシステムに影響を与える場合、暫定対処案を提示する 関係者と折衝しSEやCEおよびファーストラインと連携して暫定対処を支援する 必要に応じてフォレンジックエンジニアの出動依頼などの助言を行う フォレンジックの結果から、必要となる恒久対処案を提示する MSS内でセキュリティインシデントハンドラーの上級職として機能 企業内CSIRT構築支援ビジネスへ向けたノウハウの提供 セキュリティに関する応酬話法ができる セキュリティ侵害のシナリオを推測できる 各種OSやミドルウェア、プロダクトが出力するログを理解している 各種のログやパケットを相関して考察した上で、誤検知かどうかやインシデントの原因を推測できる grep、awk、sedなどのコマンドを使って目的のログを抽出・整形できる パケットを取得して正常な通信と不正な通信を見分けることができる 代表的なネットワークプロトコルについて理解している 正規表現やSQL文を理解して、書くことができる 29 Copyright 2016 FUJITSU LIMITED 【エキスパート領域】フォレンジックエンジニア 人材概要 セキュリティ部門に籍 を置き、コンピュータ フォレンジックに関す る深い知識を活かし、 マネージドセキュリ ティサービス実施にあ たる人材 ス キ ル マ ッ プ 情報技術系 情報理論 アーキテクチャ ハードウェア データベース マルチメディア セキュリティ コア セキュリティマネジメント 脆弱性管理 リスクアセスメント 情報漏洩対策 暗号化技術 非情報 技術系 法務 社会分析 統計分析 リスク管理 期待される業務 目標 標準スキル ■■ ■■ ■ ■■ ■ ■ ■■ ■ ■ ■ ■ ■ ■■ ■ アルゴリズム ソフトウェア ネットワーク サービスマネジメント アクセス制御 人的セキュリティ 識別と認証 インシデント対応 調達 捜査 監査 経営 事業継続 ■■ ■■ ■ ■ ■ ■ ■ ■■ ■ ■■ ■ ■ ■ セキュリティインシデント発生時における証拠の保全方法を提示する 取得したイメージなどを解析し、攻撃者によっていつどのような事が行われたのかタイムラインを作成する MSS内でセキュリティインシデント原因の特定と顧客報告のための調査役として機能 企業内CSIRT構築支援ビジネスへ向けたノウハウの提供 セキュリティに関する応酬話法ができる NTFSやext3に関する特徴を理解している パーティションやRAIDなどディスクレイアウトに関する知識を有している フォレンジックツールの使い方を理解している サーバやパソコンのハードディスクからディスクイメージを取ることができる サーバやパソコンのメモリダンプを取ることができる ディスクイメージやメモリダンプ、プリフェッチフォルダなどの情報からどのような事が行われたのか推測できる 証拠保全に関する法律的知識を持っている スクリプト言語、プログラム言語を理解し、解読できる Windowsイベントログ、レジストリの中身を理解している 各種OSやミドルウェア、プロダクトが出力するログを理解している 30 Copyright 2016 FUJITSU LIMITED 【ハイマスター領域】コードウィザード 人材概要 ス 情報 キ 技術系 ル 組み込み系など開発部 マ 門に籍を置き、その部門 ッ の仕事を継続する傍ら、 自らの技術力を活かして、 プ セキュ 独自の研究・発信活動を リティ 行う人材 コア セキュリティに関する知 識はまだ持っていないが ローレイヤ技術に関する 深い知識を持ち、スペ 非情報 シャリスト性の高い人材 技術系 また、コンピュータウィ ザードを目指す候補生 情報理論 アーキテクチャ ハードウェア データベース マルチメディア ■■■ ■■■ ■■ ■■ ■■ アルゴリズム ソフトウェア ネットワーク サービスマネジメント セキュリティマネジメント アクセス制御 脆弱性管理 人的セキュリティ リスクアセスメント 識別と認証 情報漏洩対策 インシデント対応 暗号化技術 調達 法務 捜査 社会分析 監査 統計分析 経営 リスク管理 事業継続 ■■■ ■■■ ■■ ■■ 期待される業務 自ら積極的に外部団体の活動へ参加するモチベーションをもって、研究活動および国内の技術者向けセキュリ ティセミナーへ参加し、発表を行う。例えば以下を実施する。 ・JNSAなど外部団体の活動へ参加し、知見を広げ共有する ・社内でセキュリティ勉強会を開催し講師を務める ・自らの知見をまとめ、Web投稿や書籍執筆などの活動を行う 目標 マルウェアの解析 国内での富士通のセキュリティプレゼンス向上 標準スキル 国内での富士通のセキュリティプレゼンスを向上できること コンピュータの各要素技術について精通していること。例えば以下のようなスキルを保有している • セキュアコーディングガイドラインを書いたり、アップデートできる • アセンブラ言語を理解している • バイナリの解析ができる • コンパイラのチューニングができる 31 Copyright 2016 FUJITSU LIMITED 【ハイマスター領域】コンピュータウィザード 人材概要 組み込み系など開 発部門に籍を置き、 その部門の仕事を 継続する傍ら、自ら の技術力を活かして、 独自の研究・発信活 動を行う人材 また、セキュリティに おける最先端の技 術を体現する人材 期待される業務 目標 標準スキル ス 情報技術系 キ ル マ ッ プ セキュリティ コア 情報理論 アーキテクチャ ハードウェア データベース マルチメディア セキュリティマネジメント 脆弱性管理 リスクアセスメント 情報漏洩対策 暗号化技術 非情報 技術系 ■■■ ■■■ ■■ ■■ ■■ ■ ■ ■ ■ ■ アルゴリズム ソフトウェア ネットワーク サービスマネジメント アクセス制御 人的セキュリティ 識別と認証 インシデント対応 調達 法務 捜査 社会分析 監査 統計分析 経営 リスク管理 事業継続 ■■■ ■■■ ■■ ■■ ■ ■ ■ ■ ■ 自ら積極的に外部団体の活動へ参加するモチベーションをもって、研究活動および国内の技術者向けセキュリ ティセミナーへ参加し、発表を行う。例えば以下を実施する。 ・JNSAなど外部団体の活動へ参加し、知見を広げ共有する ・社内でセキュリティ勉強会を開催し講師を務める ・自らの知見をまとめ、Web投稿や書籍執筆などの活動を行う 上記に加え、セカンドラインのスキルレベルを超えるインシデント対応が求められる また、アンダーグラウンドサイトを巡回し、攻撃の予兆を監視・推測・共有する マルウェアの解析 国内での富士通のセキュリティプレゼンス向上 国内での富士通のセキュリティプレゼンスを向上できること コンピュータの各要素技術について高度に精通していること。例えば以下のようなスキルを保有している • アセンブラ言語を理解している • 難読化されたバイナリを解析してマルウェアの挙動を解析することができる • 発見した脆弱性に対するエクスプロイトコードを書くことができる • 高度な正規表現やSQL文を記述することができる • 独自OSを作ることができる 32 Copyright 2016 FUJITSU LIMITED 【ハイマスター領域】グローバルホワイトハッカー 人材概要 ス キ ル グローバルなハッ マ カーカンファレンス ッ で発表を行うなど、 プ 世界的にホワイト ハッカーと認めら れる人材 コンピュータウィ ザードが海外でも 活動し、認められ るようになると認 定される 期待される業務 目標 標準スキル 情報技術系 情報理論 アーキテクチャ ハードウェア データベース マルチメディア セキュリティ コア セキュリティマネジメント 脆弱性管理 リスクアセスメント 情報漏洩対策 暗号化技術 非情報 技術系 ■■■ ■■■ ■■ ■■ ■■ ■ ■ ■ ■ ■ アルゴリズム ソフトウェア ネットワーク サービスマネジメント アクセス制御 人的セキュリティ 識別と認証 インシデント対応 調達 法務 捜査 社会分析 監査 統計分析 経営 リスク管理 事業継続 ■■■ ■■■ ■■ ■■ ■ ■ ■ ■ ■ 自ら積極的に外部団体の活動へ参加するモチベーションをもって、研究活動および海外の技術者向けセキュリ ティセミナーへ参加し、発表を行う。例えば以下を実施する。 ・JNSAなど外部団体の活動へ参加し、知見を広げ共有する ・社内でセキュリティ勉強会を開催し講師を務める ・自らの知見をまとめ、Web投稿や書籍執筆などの活動を行う 上記に加え、セカンドラインのスキルレベルを超えるインシデント対応が求められる また、アンダーグラウンドサイトを巡回し、攻撃の予兆を監視・推測・共有する マルウェアの解析 グローバルな富士通のセキュリティプレゼンス向上 グローバルな場で富士通のセキュリティプレゼンスを向上できること コンピュータの各要素技術について高度に精通していること。例えば以下のようなスキルを保有している • アセンブラ言語を理解している • 難読化されたバイナリを解析してマルウェアの挙動を解析することができる • 発見した脆弱性に対するエクスプロイトコードを書くことができる • 高度な正規表現やSQL文を記述することができる • 独自OSを作ることができる 33 Copyright 2016 FUJITSU LIMITED 【ハイマスター領域】シニアセキュリティコーディネーター 人材概要 重大なインシデント 発生時にインシデ ントレスポンスチー ムを指揮し、意思 決定者(CIO、 CISO)に適切な助 言を行う人材 ス キ ル マ ッ プ 情報技術系 情報理論 アーキテクチャ ハードウェア データベース マルチメディア セキュリティ コア セキュリティマネジメント 脆弱性管理 リスクアセスメント 情報漏洩対策 暗号化技術 非情報 技術系 法務 社会分析 統計分析 リスク管理 ■■ ■■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■■■ ■■■ ■■■ アルゴリズム ソフトウェア ネットワーク サービスマネジメント アクセス制御 人的セキュリティ 識別と認証 インシデント対応 調達 捜査 監査 経営 事業継続 期待される業務 重大なセキュリティインシデント発生時におけるインシデント対応全体をコントロールする CIOやCISOまたマスコミ、関係省庁などと折衝し、問題解決のコーディネートを行う 業界向けにセキュリティセミナー活動を行う 情報セキュリティEXPOなど一般向けセキュリティセミナーへ参加し、発表を行う 自らの知見をまとめ、Web投稿や書籍執筆などの活動を行う 経営層とのコンサルティング業務を行う 目標 必要な情報をまとめ、組織への影響を経営層にアドバイスする 組織のセキュリティプレゼンス向上 顧客に対する安心・安全の提供 標準スキル セキュリティに関する応酬話法ができる セキュリティインシデントのレスポンス経験を有し、インシデントの全貌をまとめられる コンピュータウィザードの言っている事を理解し、わかりやすくCIO、CISOへ説明できる 34 ■■ ■■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■■■ ■ Copyright 2016 FUJITSU LIMITED 35 Copyright 2016 FUJITSU LIMITED
© Copyright 2024 ExpyDoc
