自由民主党政務調査会 IT戦略特命委員会 サイバーセキュリティの進化と今必要とされるセキュリティ人財 ~攻撃者を迎え撃つ強靭なセキュリティプロフェッショナル~ 2015年4月1日 NRIセキュアテクノロジーズ株式会社 上級セキュリティコンサルタント 与儀 大輔,CISSP 〒100-0004 東京都千代田区大手町1-7-2 東京サンケイビル 自己紹介 与儀 大輔,CISSP 1994年~2007年 2007年~2012年 2012年 12月~ 2012年 12月~ (Daisuke Yogi, CISSP) 横河電機 ラック 野村総合研究所 NRIセキュアテクノロジーズ <主なセキュリティ関連資格> CISSP ISMS審査員補 <主な対外活動> NPO 日本ネットワークセキュリティ協会 幹事 情報セキュリティ大学院大学 客員研究員 一般財団法人日本サイバー犯罪対策センター 理事 <政府等委員会> 情報処理推進機構 情報セキュリティ人材育成委員会 委員 経済産業省 情報セキュリティ人材の育成指標等の策定 主査 内閣官房情報セキュリティセンター セキュリティ人材育成委員会 委員 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 1 目次 1.環境の変化と攻撃者の変貌 2.国内のセキュリティ人材育成動向 3.海外のセキュリティ人材育成動向 4.必要とされるセキュリティ人材とは 5.まとめ 6.参考資料 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 2 IT環境の変化とテクノロジーの進歩 2014現在 インターネットユーザー数: 27億人 2001年当時 インターネットユーザー数: 5,000万人 電子メール送信数: 310億件/日 電子メール送信数: 2,970億件/日 Webサイト数: 6.4億サイト Webサイト数: 4,000万サイト Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 3 情報セキュリティ3要素の考え方の違い 欧米 AIC 日本 3要素 CIA 3要素 可用性 機密性 Availability Confidentiality 完全性 機密性 完全性 可用性 Integrity Confidentiality Integrity Availability •機密性(Confidentiality) アクセスを認可された者だけが情報にアクセスできることを確実にすること。 •完全性(Integrity) 情報および処理方法が、正確であり完全であることを確実にすること。 •可用性(Availability) 認可された利用者が、必要なときに、情報及び関連する資産にアクセスできること。 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 4 攻撃者の変化 愉快犯から狙いを定めた標的型攻撃へ 名称 Hacker(ハッカー)からHacktivistへ(Hacker+Activist(活動家)) インターネット 目的 愉快犯 Webの改ざん 自己顕示欲 カード番号等換金可能な情報売買へ 企業機密、国家機密へ サイバー戦争 手法 ウィルス添付のメール I love you システムの脆弱性への攻撃 攻撃者が、攻撃対象のソー シャルネットワーク等を調査し 始める。 システムの脆弱性+人の脆弱性への攻撃 APT等 最近の傾向 C&C 攻撃前にSNSやTwitterなどで入念に情報収集 攻撃者は狙いやすいところを狙う (→ 労力(>お金)に見合わないことはやらない) Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 管理不足な Eメールサーバ Hacktivists 5 目次 1.環境の変化と攻撃者の変貌 2.国内のセキュリティ人材育成動向 3.海外のセキュリティ人材育成動向 4.必要とされるセキュリティ人材とは 5.まとめ 6.参考資料 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 6 我が国の情報セキュリティ政策の推移と人材育成のキーワード 年度 2000 各省における 試行錯誤 2004 2005 2006 2009 サイバー攻撃への対応を 中心とした対策実施時期 対策推進の枠組み 民間の情報セキュリ 【中長期計画】 ティに関する資格の 周知を図る 2013 サイバー攻撃事案発生を念頭においた危機管理等 の視点からの対処体制の整備等の取組みの重点化 事故前提社会への対応力強化など 情報セキュリティ先進国へ向けた取組み IT障害への対応も含めた 綜合的な対策基盤づくりの推進 基本戦略 2010 2015 リスクの深刻化の進展に対応 した国家安全保障・危機管理 等の視点からの取組みの強化 サイバーセキュリティ戦略 すべての主体に事 故前提の自覚を (2013.6.10 情報セキュリティ政策会議決定) 国民を守る情報セキュリティ戦略 (2010.5.11 情報セキュリティ政策会議決定) 【次年計画】 第1次情報セキュリティ基本計画 第2次情報セキュリティ基本計画T セキュアジャパンの実現に向けて (2006.2.2 情報セキュリティ政策会議決定) IT時代の力強い「個」と「社会」の確立に向けて (2009.2.3 情報セキュリティ政策会議決定) 2006 2009 2007 2008 2010 2011 2012 民間の情報セキュリティ に関する資格及び教育プ ログラムについて一層の 周知及び普及を図る サイバー セキュリティ サイバーセ キュリティ 2013 2014 政策機関対策 情報セキュリティポリシー に関するガイドライン 政府機関の情報セキュリティ対策のための統一基準(第1~4版) (2005.12.13 情報セキュリティ政策会議決定) (2000.7 情報セキュリティ対策推進会議決定) 政府機関の情報セキュリティ対策 のための統一基準群 (2011.4.21 情報セキュリティ政策会議決定) (2012.4.26、2012.4.18 同会議等改定) 見直し後の 統一基準群 重要インフラ対策 重要インフラのサイバーテロ 対策に係る特別行動計画 重要インフラの情報セキュリティ 対策に係る行動計画 (2000.12 情報セキュリティ対策推進会議決定) (2005.12.13 情報セキュリティ政策会議決定) 重要インフラの情報セキュリティ対策に係る第2次行動計画 (2009.2.3 情報セキュリティ政策会議決定) (2012.4.26 同会議等改定) 組織体制 センター長:内閣官房副長管補(安全保障・危機管理) 内閣官房情報セキュリティ 対策推進室 (2000.2設置) ②情報セキュリティ政策会議(2005.5 設置) 議長:内閣官房長管 ③GSOC(2008.4 運用開始) Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 出所:内閣官房情報セキュリティセンターNISC サイバーセキュリティセ ンターへの改組 ①内閣官房情報セキュリティセンター(2005.4 設置) 見直し後の 行動計画 7 深刻な情報セキュリティ人材の不足 IPAの報告によると従業員100人 以上の企業の情報セキュリティ技術 者は現在約23万人いますが、その うち約14万人は何らかの教育やト レーニングを行う必要があり、また技 術者の総数も約2.2万人不足して いると推計されています。 出所:IPA(独立行政法人情報処理推進機構)の「情報セキュリティ人材の育成に関する基礎調査」(2012年4月27日) Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 8 ‘14 「企業における情報セキュリティ実態調査」は、 一年間の情報セキュリティに関する豊富なデータを、 定点とトレンドの観点からご提供します。 「企業における情報セキュリティ実態調査」は、NRIセキュアテクノロジーズが毎年実施している 企業の情報セキュリティに関する取り組みの実態調査です。2002年に開始して以来、本年度で13回目になります。 毎年設けている定点観測的な事項に加えて、情報セキュリティのトレンドを見据えて新設・再構成した48問の質問への回答を集計・分析し、 企業における情報セキュリティへの取り組みの実態がより明確に浮かび上がるようにいたしました。 9 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 2014 「企業における情報セキュリティ実態調査」より 01- 1 01- 予算 IT関連投資額の増減方針は安定。 2 人材 人材は過去3年間、 毎年不足。 ■ 本年度のIT関連投資額を増額する企業の割合 高度なスキルが必要な人材ほど不足している。 1 64.7 位 36.9% 37.6% 33.2% 2012 2013 2014 (n=741) (n=685) (n=660) 2014 (n=660) 82.9 % 2013 (n=685) 84.5 % 2012 (n=741) 83.8 % 脅威情報収集・伝達や インシデント対応する人材 平均 83.7 % 2 位 01- ■ 本年度の情報セキュリティ関連投資額を増額する企業の割合 3 教育・資格 自社育成の割合が高い。 2012 自社で育成する 2013 (n=685) 2014 (n=660) Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 3 位 55.0 % 自社で育成する課題は キャリアや制度の不足。 69.8 31.4% セキュリティ専門会社に委託する (n=741) % 自社でどのように育成する?? 指導者不在でOJTは困難 スキルの可視化に資格取得は有効 ■ 人材の調達方針 26.1% 64.0 中長期的な戦略・ポリシー 不正な通信やアクセス等を 監視する人材 を策定する人材 情報セキュリティ関連投資額を増額する企業は、 過去三年で増加傾向。 19.6% % 即戦力となる人材を新規雇用する % 43.6 % キャリアパス不足 研修コース不足 32.5 26.4 66.7% 28.9% 24.5% % モチベーション維持 の体制不足 % 予算不足 10 2 01- 人材 セキュリティに従事する人材が不足している一方、それを増やす企業が少ないという結果となった。 セキュリティに従事する人材の充足状況 [Q5]貴社の情報セキュリティの管理や、社内システムのセキュリティ対策に従事する人材の充足状況はいかかがで すか。以下の中からもっともよくあてはまるものを1つお選びください。(n=660) 0.0% 3.3% 0.3% 1.9% 13.8% 31.5% 2.8%13.3% 28.9% 0.7% 12.7% 33.7% F 2014(n=660) 2013(n=685) 2012(n=741) ・過去3年間、セキュリティに従事する人材が不足している と回答する企業は例年通り8割程度で多い結果となった。 ・セキュリティに従事する人材の増減方針は現状維持と回 答する企業が8割程度を占めた。 充足している どちらかといえば充足している どちらかといえば不足している 無回答 I [Q8]今後3年間で社内人材の人数規模増減方針はどのようになる見通しですか。以下の中からもっともよくあて はまるものを1つお選びください。(n=660) 0.2 0.3 4.5 0.6 0.1 1.2 無回答 割合(%) 80 60 大幅に減らす 74.8 83.1 76.5 40 20 0 少し減らす ほぼ現状維持 20.8 0.7 2012(n=741) 14.2 0.9 2013 (n=685) © Copyright NRI SecureTechnologies, Ltd. All Rights Reserved. Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 17.6 0.9 2014 (n=660) 考 察 N S I G H T 人材不足と考える企業が多いのは、次々と話題になる脆 弱性や他社のインシデントのニュースといった外的要因に よって高度な専門性を持つ人材の必要性や、担当者の 業務量過多を感じる企業が増加しているからであると考え られる。 セキュリティに従事する人材の増減方針 0.5 0.1 3.1 A C T 不足している 50.1% 55.6% 51.4% 100 事 実 少し増やす 大幅に増やす P 提 言 R O P O S A L 人材不足に対して、経営層の理解を得た上で適切な人 材補充対応が必要である。 セキュリティ人材はすぐには育たない 最新動向把握等、継続的に学ぶ事が必須 1 1 セキュリティに従事する人材が不足している理由は、担当者のスキル不足や業務量増加が上位となった。 セキュリティに従事する人材が不足している理由 [Q6]Q5について【どちらかといえば不足している、不足している】を選ばれた方にお尋ねします。情報セキュリティに従 事する人材が不足している理由はなんですか。以下の中からあてはまるものを全てお選びください。(n=547) 0.0 20.0 40.0 割合(%) 60.0 社内セキュリティ担当者のスキルが十分ではないため 80.0 100.0 F 49.2 経営層の理解が得られず人的リソースの割り当てが少ないため 36.4 社内セキュリティ担当者を雇用する予算がないため 31.6 社内セキュリティ担当者を雇用する予算はあるが採用ができな… 6.0 その他 I 3.8 無回答 0.5 [Q7]Q5について【どちらかといえば不足している、不足している】を選ばれた方にお尋ねします。不足しているのはどの ような人材ですか。以下の中からあてはまるものを全てお選びください。(n=547) 0.0 割合(%) 20.0 40.0 60.0 80.0 64.7 64.0 55.0 40.8 23.6 9.0 1.6 1.3 © Copyright NRI SecureTechnologies, Ltd. All Rights Reserved. Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 考 察 N S I G H T スキル不足や業務量の増加、経営層の理解不足による 人的リソースの割り当てが少ないと回答する企業が多いこ とから、セキュリティに専任で従事する人材を社内で確保で きておらず、例えばITシステムや総務等の部局の担当者が 兼務しているからであると考えられる。 不足している人材の種類 脅威情報の収集・伝達や発生したインシデントに対応する人材 セキュリティに関する中長期的な戦略・ポリシーを策定する人材 システムに対する不正な通信やアクセス等を監視する人材 システムに対する脆弱性診断を実施する人材 セキュリティ製品・サービスを導入する人材 セキュリティ製品・サービスを開発する人材 その他 無回答 A C T ・セキュリティに従事する人材が不足している理由は、社内セキュリ ティ担当者のスキルが十分でないことや、業務量が以前より大きく 増加しているためと回答する企業が多い結果となった。 ・その中でも脅威情報の収集および伝達や、中長期的な戦略お よびポリシーを策定する人材が最も不足している結果となった。 55.4 業務量が以前より大きく増加しているため 事 実 総務省実施の実践的防御演(CYDER) などの教育演習は今後益々必要性を増す 広く民間でも実施すべき教育内容である 100.0 P 提 言 R O P O S A L ・社内担当者のスキル不足や業務量過多が課題であるなら ば、社内人材の育成を考えることが重要である。 ・社内の人材確保が難しいならば、社外で確保することも視野 に入れて対応可能な体制を整えることが重要である。 ・特に、真っ先に実施すべきポリシー策定や、インシデントに対 応する人材が不足しているならば、外部活用も必要である。 1 2 3 01- 教育・資格 自社で育成すると回答する企業が多い一方、資格取得は積極的に奨励されていない結果となった。 セキュリティに従事する人材の調達方針 [Q9]情報セキュリティの管理や、社内システムのセキュリティ対策に従事する人材の調達方針について、以下の中か らあてはまるものを全てお選びください。(n=660) 割合(%) 0.0 20.0 40.0 60.0 自社で育成する F 28.9 即戦力となる人材を新規雇用する 24.5 分からない 10.2 その他 4.5 I 0.2 のを全てお選びください。(n=660) 0.0 応用情報技術者試験 ネットワークスペシャリスト試験 情報セキュリティスペシャリスト試験 システム監査技術者試験 CISA/CISM等 ISACA認定資格 CISSP/SSCP等 (ISC)2認定資格 GIAC各資格等 SANS認定資格 CAIS 各資格等 JASA認定資格 Cisco技術者認定資格 AWS認定資格 Oracle認定資格 Microsoft認定資格 特になし その他 無回答 20.0 11.8 14.1 2.7 2.0 0.3 0.2 2.4 0.5 3.3 3.3 8.8 40.0 60.0 割合(%) 80.0 21.4 1.7 1.4 © Copyright NRI SecureTechnologies, Ltd. All Rights Reserved. Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. P 72.4 考 察 N S I G H T ・自社で育成すると回答する企業が多いのは、人材不足 が叫ばれる中でリスクヘッジのために自社に頼れる人材を 置いておきたいという意図があると考えられる。 ・自社で育成すると回答する企業が多いにも関わらず、専 門家育成の認識が低いのは、試行錯誤の段階であり何か ら取り組めば良いのか悩んでいるからであると考えられる。 取得を奨励している資格 [Q12]社内のセキュリティ人材教育の一環として取得を奨励している資格はありますか。以下の中からあてはまるも A C T ・情報セキュリティに従事する人材を自社で育成する方針 であると回答した企業が6割を上回る結果となった。 ・人材の調達方針に関するその他自由回答の中には、 「子会社への委託」という記入も散見された。 ・取得を奨励している資格は、「特になし」と回答する企業 が7割を上回る結果となった。 66.7 セキュリティ専門会社に委託する 無回答 80.0 事 実 子会社への丸投げは経営陣の責任回避 子会社では費用不足により満足な教育も ないまま運用される懸念 提 言 R O P O S A L ・自社での育成を考えるのであれば、資格取得の奨励や 外部の研修コースの利用も選択肢の一つである。 ・また、自社育成も重要であるが、サイバー攻撃への対応 等、高度な専門性を必要とする場合はセキュリティ専門会 社への委託も視野に入れて適切に分担することも重要で ある。 1 3 組織として情報セキュリティに従事する人材のキャリアパス整備に取り組むことが重要である。 セキュリティ人材を自社で育成する課題 [Q10]Q9について【自社で育成する】を選ばれた方にお尋ねします。セキュリティ人材を自社で育成するにあたっての 課題はなんですか。以下の中からあてはまるものを全てお選びください。(n=440) 0.0 割合(%) 20.0 40.0 60.0 社内で育成するための適切なキャリアパスが不足している 80.0 F 育成のための適当な研修コースがない 43.6 32.5 予算が不足している 26.4 能力・スキルの要件が分からない 22.7 その他 I 5.5 [Q11]Q9について【自社で育成する】を選ばれた方にお尋ねします。一人あたりの年間研修予算はどの程度を見 込んでいますか。以下の中からもっともよくあてはまるものを1つお選びください。(n=440) 100万円以上 5.7% 7.5% 7.7% 27.0% 13.9% 18.0% 11.1% 50万円以上100万未満 30万円以上50万円未満 20万円以上30万円未満 P 10万円以上20万円未満 5万円以上10万円未満 5万円未満 分からない 無回答 © Copyright NRI SecureTechnologies, Ltd. All Rights Reserved. Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 考 察 民間の情報セキュリティに関する資格及び教育プ ログラムについて一層の周知が必要 N S I G H T ・キャリアパス不足や研修コース不足と回答する企業が多い のは、セキュリティ人材育成方針を企業として定めていないこ とが理由と考えられる。 ・また、他業務との兼務を強いられている人材が多く、専門 家の育成が遅れている、または社員のモチベーションが維持 できていないものと考えられる。 一人あたりの年間研修予算 8.2% 0.9% A C T ・セキュリティ人材のキャリアパスが不足していると回答した企業が7 割程度にのぼった。 ・2番目に多かったのは「育成のための適当な研修コースがない」と の回答であった。 69.8 本人のモチベーションを維持する体制・理由が整備されていない 事 実 年間教育費用30万円未満が50%以上 高度セキュリティ教育には50万~60万円必要 提 言 R O P O S A L 企業としてどのようなセキュリティ人材が必要なのかを認識 し、そのためにどのように育てるのか、といったセキュリティ人 材育成方針を定めることが必要である。その上で、どのよう な資格や研修を受けるのかといった具体的な手段を考える ことが重要である。 1 4 世界のCISSP人数から見た日本の現状 グローバルセキュリティ3大資格 (ISC)2 : CISSP ISACA : CISA SANS : GIAC 米国に比べ明らかに少ない 米国政府は積極的にセキュリティ民間資格取得 を政府職員に必須・推奨として採用し教育受講 費用、資格取得費用を予算化している 約30,000人の政府機関職員が取得 韓国と比較しても2分の1以下 韓国は政府機関が積極的に採用、海外企業と の取引や外資系入社の条件にもなっており取得 者が増加 日本においての問題点 出所(ISC2)Japan CISSPは(ISC)2が認証する情報セキュリティ専門家の資格です。 https://www.isc2.org/japan/cissp_about.html Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 経営者のセキュリティ教育に対する理解不足 政府機関職員は予算不足、定期ローテーション により資格取得までに至らない (除く警察庁・防衛省) セキュリティ人材のキャリアパス不足 15 目次 1.環境の変化と攻撃者の変貌 2.国内のセキュリティ人材育成動向 3.海外のセキュリティ人材育成動向 4.必要とされるセキュリティ人材とは 5.まとめ 6.参考資料 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 16 情報セキュリティ人材ニーズ 情報セキュリティ人材は、ここ数年の経済状況にも関わらず、増加し続 けている。また、今後も継続に増加すると予測されている 単位:千人 Thousands Americas EMEA APAC Total 2010 921 617 748 2,286 2011 1,045 704 817 2,566 2012 1,181 797 894 2,872 2013 1,331 892 981 3,204 2014 1,495 995 1,079 3,568 2015 1,673 1,108 1,191 3,972 2016 1,867 1,230 1,320 4,416 2017 2,081 1,363 1,463 4,908 20122017 CAGR 12.0% 11.3% 10.4% 11.3% Americas:北米、中米、南米 EMEA:ヨーロッパ、中東及びアフリカ APAC:アジア太平洋 出所:2013年(ISC)2グローバル情報セキュリティワークフォーススタディ Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 17 US DoD Directicve 8570.1M 米国国防総省(The U.S. Department of Defense: DoD) は、効果的にDoDの情報、情報システム、情報インフラ を守るため、職員、兵役メンバー、請負業者、DODシス テムに特権アクセスをもつユーザーなどすべての情報 保証を必要とする人材に対し、「DoD Directive 8570.1M (米国国防総省指令8570.1M )」を要求しています。 (資格取得義務化) 対象は職員のみならず納入業者にも拡大しています。 納入業者は有資格者が必要人数いなければ、政府の プロジェクトに参加できません。 IAT(Information Assurance Technical) IAM (Information Assurance Management) CND (Computer Network Defense) CNDSP (Computer Network Defense Service Provider) IASAE (Information Assurance System Architect and Engineer) ※黄色字:(ISC)2提供資格 ※GXXX:SANS提供資格 ※XX+:CompTIA提供資格 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 18 National Initiative for Cybersecurity Education 米国ではNIST (National Institute of Standards and Technology)で策 定された、NICE (National Initiative for Cybersecurity Education)フレー ムワークをベースにした各省庁で の人材育成計画の策定が進むと想 定されている 運用・保守 セキュアな供給 守備・防衛 監督と開発 分析 フレームワークでは、サイバーセ キュリティ領域を7つの大分類とし て整理している 捜査 運用・情報収集 http://csrc.nist.gov/nice/ Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. President Barack Obama, 29 May 2009 19 米国 NICE Cybersecurity Workforce Framework NICE Cybersecurity Workfoce Framework では、サイバーセキュリティに関するタスクと知識を下表の7 種類のカテゴリで分類 I カテゴリ カテゴリの定義 専門領域の例 セキュアな供給 システム開発の各過程に関わる、セキュアなIT システムの概念 化、設計及び構築についての専門領域 システム要件検討、システム開発、ソフトウェア保証とセ キュリティエンジニアリング、システムセキュリティアー キテクチャ、試験と評価、技術研究開発、情報保証コン プライアンス 効果的かつ効率的なIT システムの性能とセキュリティを確保する ために必 要なサポート、アドミニストレーション及び保守に関する専門領域 システム・アドミニストレーション、ネットワークサービス、 システムセキュリティ分析、カスタマーサービスと技術サ ポート、データ・アドミニストレーション、ナレッジマネジメ ント 内部のIT システムやネットワークへの脅威の識別、分析及び緩 和に関する専門領域 脆弱性アセスメントと管理、インシデントレスポンス、計 算機ネットワーク防御(CND)分析、計算機ネットワーク 防御(CND)インフラ支援 IT システム、ネットワーク及びデジタルエビデンスに関するサイ バー事象及び/または犯罪についての専門領域 捜査、デジタル・フォレンジック 情報活動に用いられるサイバーセキュリティ情報の高度な収集 に関する専門領域 情報収集オペレーション、サイバーオペレーション計画、 サイバーオペレーション 入手したサイバーセキュリティ情報が情報活動に有効かどうかを 決定するための、高度なレビューと評価に関する専門領域 脅威分析、エクスプロイト分析、ターゲット、全情報源の インテリジェンス 他者がサイバーセキュリティ活動を効率的に実施できるようなサ ポートに関する専門領域 法的助言と弁護、教育と訓練、戦略策定とポリシー開発、 情報システムセキュリティオペレーション(ISSO)、最高 情報セキュリティ責任(CISO) Security Provision II 運用・保守 Operate and Maintain III 守備・防衛 Protect and defend IV 捜査 Investigate V 運用・情報収集 Collect and Operate VI 分析 Analyze VII 監督と開発 Oversight and Development Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 20 NICE 7大分類と31タスク Security Provision セキュアな供給 Operate & Maintain 運用・保守 Protect & Defend 守備・防衛 Analyze 分析 Collect& Operate 情報収集・運用 Oversight & Development Software Assurance Information Assurance and Compliance Systems Development Security Engineering 情報保証 システム開発 ソフトウェア保証と コンプライアンス エンジニアリング Customer & Tech Support Data Administration カスタマーサービスと データ管理 技術サポート All-source Intelligence 全情報源の諜報活動 捜査 Exploitation Analysis エクスプロイト分析 System Security Technology Research Architecture and Development システム セキュリ 技術研究開発 ティ アーキテクチャ System Administration Network Services システム ネットワークサービス アドミニストレーション CND Infrastructure Computer Network Support Defense(CND) Analysis Incident Response コンピューターネット コンピューター インシデントレスポンス ワーク防御インフラ支援 ネットワーク防御分析 Test and Evaluation 試験と評価 Systems Security Analysis システム セキュリティ分析 Vulnerability Assessment & Mgt 脆弱性アセスメントと管理 Cyber Threat Analysis 脅威分析 Targets ターゲット Cyber Operational Planning Collection Operations Cyber Operations サイバーオペレーション計 情報収集オペレーション サイバーオペレーション 画 Education & Training 教育と訓練 監督と開発 Investigate Knowledge Mgt ナレッジマネジメント Systems Requirements Planning システム要件計画 Digital Forensics デジタルフォレンジック Information Systems Security Operations 情報システムセキュリ ティオペレーション Legal Advice & Advocacy 法的助言と弁護 Security Program Strategic Planning & Policy Management(CISO) Development セキュリティ 戦略的な計画とポリシー策定 プログラム管理 Investigation 捜査 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 21 目次 1.環境の変化と攻撃者の変貌 2.国内のセキュリティ人材育成動向 3.海外のセキュリティ人材育成動向 4.必要とされるセキュリティ人材とは 5.まとめ 6.参考資料 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 22 ITシステム・ネットワークを作る人たち ITベンダー系 ソリューションを提案する人 プロジェクトを管理する人 コンサルタント プロジェクト マネジメント 顧客ニーズを把握し、提案。顧客満 足度に責任を持つ人物 業務要件、IT要件を把握し要件を定 義し、プロジェクトに責任を持つ人物 基盤を構築、管理する人 アプリケーションを作る人 ITスペシャリスト アプリケーション スペシャリスト 基盤システムの設計、構築、運用、 保守する人物。 アプリケーションシステムの設計、構 築、運用、保守する人物 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 23 ITを利用する人たち ユーザー企業系 事業戦略、案件を管理する人 組織のシステム全般を担当する人 管理者 ITシステム部門 事業目的の実現に向けた事業戦略お よび個別案件を策定しマネジメントす る人物 マネージャーは、ITプロジェクトの策定 およびマネジメントを実施する。SEは、 ITプロジェクトのアプリケーションおよ びインフラの導入、保守を実施する。 またアプリケーションシステムの設計、 構築、運用、保守を担当する人物 組織のセキュリティ全般を担当する人 情報を適切に取り扱う人 ITセキュリティ 部門 一般社員 セキュリティリテラシーを有し、適切に 情報を取り扱い業務を遂行する人物 セキュリティポリシー策定、インシデン トハンドリングなどセキュリティに関す ることを実施する Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 24 セキュリティ専門家集団 セキュリティ担当者 マルウェア・エクスプロイト解析する人 インシデントを調査する人 脆弱性を検査する人 マルウェア アナリスト フォレンジック アナリスト ペネトレーション テスター 侵入したマルウェアや使われたエクス プロイトを安全に解析し、攻撃手法の 解明や対策手法の考案を行う。また システム・ネットワーク上に残された痕 跡から未知のマルウェアの検出も行 える人物 インシデント時にシステム・ネットワ ーク上の証拠を発見、適切に証拠 保全する人物 最新の攻撃手法を熟知し、対策方 法を提案する。必要に応じて、シス テム・ネットワークに脆弱性が検査 を計画し適切に行える人物 インシデントに対応する人 システム・ネットワークを守る人 セキュリティ対策を管理・提言する人 インシデント ハンドラー ネットワーク アナリスト セキュリティ マネージャー インシデント時に素早く対応し、シス テム・ネットワーク運用者および管 理者と連携して、対策を行い安全に 復旧を行える人物 システム・ネットワークの運用、管理 を行う。インシデント時の初期対応も 行える人物 セキュリティ対策を検討、提言する上 で必要な基礎知識・スキルを持ち、ビ ジネス戦略的観点から最適なソリュー ションを経営層に提言できる人物 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 25 NRIセキュアが考えるセキュリティ研修選定の流れ 業務範囲の決定 スキル棚卸 キャリアパス決定 研修選定 見える化 Step Step Step Step Step 1 2 3 4 5 システムエンジニア ITベンダー企業向け 6つのポイント 高度スキル保有の証明 内製化 •システム開発 •ツールによる脆弱性診断 •ネットワーク・システム運用 •CSIRT(インシデント対応) •セキュリティ要件の定義 •セキュアデザイン •セキュアコーディング •脆弱性診断の結果を理解 ユーザー企業向け 1. 業務に適合した内容 2. 体系立った内容 3. 実践的な内容 4. 復習可能な教材 外部委託 基盤エンジニア 5. 定評、実績ある研修 •マルウェア解析 •フォレンジック •高度な脆弱性診断 •ネットワーク・システム監視 •ネットワーク・システム運用 6. 評価・測定可能な研修 セキュリティ担当者向け 専門家の証明 スキルレベルの統一 CSIRTメンバー •インシデント対応能力 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 26 目次 1.環境の変化と攻撃者の変貌 2.国内のセキュリティ人材育成動向 3.海外のセキュリティ人材育成動向 4.必要とされるセキュリティ人材とは 5.まとめ 6.参考資料 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 27 セキュリティ人財育成の重要ポイント as isからto beへ情報セキュリティはStep by Stepで学ぶ事が重要 知っているから出来るへ 諸々対応が出来る ベンダーと適切に話す事が出来る CISSP GIAC等 資格取得によるスキルの 可視化 経営陣に分かりやすく説明出来る スキルの可視化 高度情報セキュリティ人財 知識+経験+資格 セキュリティ実践 グローバルセキュリティ資格取得 社員のスキル・キャリアマップ作製 教育予算の確保 セキュリティ人財 IT人材 ネットワーク・セキュリティ応用知識 ネットワーク・セキュリティ基礎知識 基盤的スキル ヒューマンスキル・常識的なITスキル ※ヒューマンスキル(コミュニケーション・プレゼン・ドキュメント作成能力等) Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 28 私の提言 サイバーセキュリティ人財がプロフェッショナルとして認 知・処遇される為のキャリアパス・環境整備を行う。 セキュリティ人財=ヒーロー 「IT人材」をどのように「高度情報セキュリティ人財」に育 成するのかTo-beを決定する。資格取得を実施する際に は、グローバルで通用するかを選定条件にする 新たな国家資格は現状不要、国家資格がセキュリティ教 育事業の民業圧迫になるのでは本末転倒 セキュリティ教育に関わる費用の減税や減免措置を実 施し、経営者の負担を軽減する Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 29 イメージが大切 日本:IT=オタク!? 米国:IT、Security=ヒーロー、カッコいい ホワイトハッカーではない、新たな呼称が必要 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 30 [email protected] Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 31 目次 1.環境の変化と攻撃者の変貌 2.国内のセキュリティ人材育成動向 3.海外のセキュリティ人材育成動向 4.必要とされるセキュリティ人材とは 5.まとめ 6.参考資料 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 32 人材育成の参照資料 ISEPA 情報セキュリティ教育事業者連絡会 情報セキュリティ人財アーキテクチャガイドブック http://www.jnsa.org/isepa/images/outputs/jinzai_arch_2009.pdf (ISC)2 2013年(ISC)2グローバル情報セキュリティワークフォーススタディ https://www.isc2cares.org/uploadedFiles/wwwisc2caresorg/Content/2013-ISC2-Global-Information-Security-Workforce-Study.pdf 経済産業省 情報セキュリティ人材の育成指標等の策定事業 情報セキュリティ人材のモデルキャリア http://www.meti.go.jp/meti_lib/report/2013fy/E002940.pdf ※上記は下記5つのPDFファイルを1つにまとめた形式となっております。 最近のAdobe Readerでご覧になることをおすすめいたします。 (報告書構成) 第1編 本編 第2編 3スキル標準見直し案 第3編 情報セキュリティ関連タスク一覧 第4編 情報セキュリティに関する認定・資格調査結果 第5編 情報セキュリティ人材のモデルキャリア Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 本日配布資料 33 セキュリティ資格情報 グローバルセキュリティ3大資格 (ISC)2 : CISSP ISACA : CISA SANS : GIAC Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 出所ISEPA http://www.jnsa.org/isepa/images/outputs/lisence-map.pdf 34 グローバルセキュリティ3大資格 (ISC)2 : CISSP ISACA : CISA SANS : GIAC 情報セキュリティ認定・資格マップ Expert GCFA,GREM (FOR5**,6**) GCED,GCFW,GCIA,GCIH,GCWN,GCUX,GWAPT,GPEN GWEB,GSSP-JAVA,GSSP-.NET (DEV5**) GSLC,GCPM (MGT5**) Advanced 情報セキュリティスペシャリスト GSNA (AUD5**) 公認システム監査人(CSA) CISSP 公認情報システム監査人(CISA) 公認情報セキュリティ主任監査人 GSEC (SEC401) システム監査技術者 公認情報セキュリティマネージャー(CISM) CSBM ISMS審査員補 システム監査人補 情報セキュリティ監査人補 セキュリティ監査実践資格 セキュリティポリシー実践資格 CIW Web Security Professional High GCFE (FOR4**) CSPM of Management 日本行政情報セキュリティプロフェッショナル (JGISP) Middle 応用情報技術者 基本情報技術者 -10 -9 SSCP 公認情報セキュリティ監査人 Comp TIA Security+ MGT -8 -7 -6 -5 -4 CSPM of Technical CIW Web Security Specialist CIW Web Security Associate 不正アクセス監視実践資格 サーバセキュリティ実践資格 ネットワークセキュリティ実践資格 Entry -3 -2 -1 ITパスポート Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. 0 TEC ネットワークセキュリティ基礎資格 1 2 3 4 5 6 7 8 9 10 情報セキュリティ監査アソシエイト 35 グローバル資格のレベルマップ 資格名 レベル Expert Advanced SANS GCFA(FOR508) SANS GREM (FOR610) GCED(SEC501) GCWN(SEC505) GAWN(SEC617) GCFW(SEC502) GCUX(SEC506) GXPN(SEC660) GSLC(MGT512) GCPM(MGT525) GCIA(SEC503) GWAPT(SEC542) GCIH(SEC504) GPEN(SEC560) GSNA(AUD507) GWEB(DEV5522 High (ISC)2 Middle CompTIA CISSP Security+ GSSP-JAVA(DEV541) CISA ISACA CISM (ISC)2 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. SANS SSCP JGISP GSEC(SEC401) GCFE (FOR408) GSSP-.NET(DEV5544) Certification Partner Certification Partner CIW Web Security Professional CIW Web Security Specialist CIW Web Security Associate 36 国内資格のレベルマップ 資格名 レベル 独立行政法人 情報処理推進機構(IPA) High 情報セキュリティスペシャリスト システム監査技術者 (CSA) 応用情報技術者 基本情報技術者 特定非営利法人 日本セキュリティ監査協会 (JASA) 特定非営利法人 日本システム監査人協会(SAAJ) システム監査人補 Middle 日本規格協会(JRCA) ISMS審査員補 CSBM SEA/J 公認情報セキュリティ主任監査人 公認システム監査人 特定非営利法人 日本システム監査人協会(SAAJ) 独立行政法人 情報処理推進機構(IPA) 特定非営利法人 日本セキュリティ監査協会 (JASA) 公認情報セキュリティ監査人 情報セキュリティ監査人補 ネットワークセキュリティ実践資格 ネットワーク 情報セキュリティ マネージャー推進協議会 サーバセキュリティ実践資格 不正アクセス監視実践資格 セキュリティポリシー実践資格 セキュリティ監査実践資格 CSPM of Technical CSBM of Management 独立行政法人 情報処理推進機構(IPA) ITパスポート 特定非営利法人 日本セキュリティ監査協会(JASA) 情報セキュリティ監査アソシエイト Entry ネットワーク情報セキュリティマネージャー推進協議会 Copyright © 2015 NRI SecureTechnologies, Ltd. All rights reserved. ネットワークセキュリティ基礎資格 37
© Copyright 2024 ExpyDoc
