ガートナー セキュリティ&リスク・マネジメントサミット2015 情報セキュリティ⼈材の必要性と 求められるスキル・養成⽅法 - 抜粋版 - 2015年7⽉13⽇ NRI セキュアテクノロジーズ 取締役 コンサルティング事業本部⻑ 菅⾕ 光啓 情報セキュリティ⼈材に関する意識・実態の現状 情報セキュリティ⼈材を育成するためのアプローチ Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 1 情報セキュリティ⼈材に関する意識・実態の現状 情報セキュリティ⼈材を育成するためのアプローチ Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 2 企業における情報セキュリティ実態調査 2014より 3,000社を対象とした、今回で13回⽬になるアンケート調査分析 ⽬的 企業における情報セキュリティの対策状況の可視化 時期 2014/08/29 〜 2014/10/17 ⽅法 紙郵送 ⼜は Web回答 によるアンケート調査 対象 3,000社(東証1部・2部上場、JASDAC上場、マザーズ上場、地⽅上場、未上場数社)の ITシステム担当者及び情報セキュリティ担当者等 回答数 660社(22.0%) ※参考 2013年度 685社(22.8%) http://www.nri-secure.co.jp/news/2015/0127_report.html Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 3 深刻な情報セキュリティ人材の不足① ⼈材は、過去3年間8割以上の企業が継続して不⾜している状態 0.0 % 3.3 % 0.3 % 1.9 % 31.5 % 2.8 % 28.9 % 0.7 % 13.8 % 13.3 % 12.7 % 83.8 % 84.5 % 82.9 % 2012 (n=741) 2013 (n=685) 2014 (n=660) 33.7 % 平均 83.7 % ■ 充⾜している ■ どちらかといえば充⾜している 50.1 % 55.6 % ■ どちらかといえば不⾜している ■ 不⾜している ■ 無回答 51.4 % Q.情報セキュリティに従事する⼈材の充⾜状況はどうか (n=660) Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 4 深刻な情報セキュリティ人材の不足② 不⾜している理由は、脅威の増⼤による業務の多様化と業務量の増加 セキュリティに従事する⼈材が不⾜している理由 [Q6]Q5について【どちらかといえば不⾜している、不⾜している】を選ばれた⽅にお尋ねします。情報セキュリティに従 事する⼈材が不⾜している理由はなんですか。以下の中からあてはまるものを全てお選びください。(n=547) 0.0 20.0 40.0 60.0 社内セキュリティ担当者のスキルが⼗分ではないため 100.0 49.2 経営層の理解が得られず⼈的リソースの割り当てが少ないため 36.4 社内セキュリティ担当者を雇⽤する予算がないため 31.6 社内セキュリティ担当者を雇⽤する予算はあるが採⽤ができな… 無回答 80.0 55.4 業務量が以前より⼤きく増加しているため その他 割合(%) 6.0 3.8 0.5 不⾜しているのは、実務的なスキルを有する⾼度セキュリティ⼈材 不⾜している⼈材の種類 [Q7]Q5について【どちらかといえば不⾜している、不⾜している】を選ばれた⽅にお尋ねします。不⾜しているのはどの ような⼈材ですか。以下の中からあてはまるものを全てお選びください。(n=547) 0.0 脅威情報の収集・伝達や発⽣したインシデントに対応する⼈材 セキュリティに関する中⻑期的な戦略・ポリシーを策定する⼈材 システムに対する不正な通信やアクセス等を監視する⼈材 システムに対する脆弱性診断を実施する⼈材 セキュリティ製品・サービスを導⼊する⼈材 セキュリティ製品・サービスを開発する⼈材 その他 無回答 割合(%) 20.0 40.0 60.0 80.0 100.0 64.7 64.0 55.0 40.8 23.6 9.0 1.6 1.3 Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 5 深刻な情報セキュリティ人材の不足③ 不⾜する⼈材の調達⽅針は「⾃社で育成する」が半数以上に上るが、キャリアパスの整 備や予算措置が課題 ⼈材の調達⽅針 セキュリティ⼈材を⾃社で育成する課題 [Q10]Q9について【⾃社で育成する】を選ばれた⽅にお尋ねします。セキュリティ⼈材を⾃社で育成するにあたっての 66.7 % ⾃社で育成する セキュリティ専⾨会社に委託する 課題はなんですか。以下の中からあてはまるものを全てお選びください。(n=440) 0.0 28.9 % 割合(%) 20.0 40.0 60.0 社内で育成するための適切なキャリアパスが不⾜している 即戦⼒となる⼈材を新規雇⽤する 24.5 % 69.8 育成のための適当な研修コースがない 43.6 本⼈のモチベーションを維持する体制・理由が整備されていない 32.5 予算が不⾜している 26.4 能⼒・スキルの要件が分からない その他 80.0 22.7 5.5 ⼀⼈あたりの年間研修予算 [Q11]Q9について【⾃社で育成する】を選ばれた⽅にお尋ねします。⼀⼈あたりの年間研修予算はどの程度を⾒ 込んでいますか。以下の中からもっともよくあてはまるものを1つお選びください。(n=440) 8.2% 0.9% 100万円以上 5.7% 7.5% 27.0% 7.7% 13.9% 18.0% 11.1% 50万円以上100万未満 30万円以上50万円未満 20万円以上30万円未満 10万円以上20万円未満 5万円以上10万円未満 5万円未満 分からない 無回答 Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 6 深刻な情報セキュリティ人材の不足に対する考察と提言 F 事実 ACT ・過去3年間、セキュリティに従事する⼈材が不⾜していると回答する企業は8割程度である⼀⽅、セキュリティに従事する⼈材の増減⽅針は 現状維持と回答する企業も同じく8割程度を占めた(現有勢⼒で頑張る!)。 ・不⾜する⼈材は、中⻑期的な戦略およびポリシーを策定する⼈材と並んで、脅威情報の収集および伝達やインシデントに対応する⼈材が 最も不⾜している(全体を俯瞰できるスキルを持った管理者と実務スキルをもった技術者)。 ・セキュリティ⼈材のキャリアパスが不⾜していると回答した企業が7割程度に上るとともに、「育成のための適当な研修コースがない」との回答も 4割を超えた。 ・年間の⼀⼈当たりの研修予算が30万円未満が50%以上(「分からない」を含めると77%超)であった。 I 考察 NSIGHT ・⼈材不⾜と考える企業が多いのは、次々と話題になる脆弱性や他社のインシデントのニュースといった外的要因によって⾼度な専⾨性を持つ ⼈材の必要性や、担当者の業務量過多を感じる企業が増加しているからであると考えられる。 ・ISMSなどの情報セキュリティ管理だけでは対応できないほど業務が多様化・⾼度化していると考えられる。 ・キャリアパス不⾜や研修コース不⾜と回答する企業が多いのは、セキュリティ⼈材育成⽅針を企業として定めていないことが理由と考えられる。 ・他業務との兼務を強いられている⼈材が多く、専⾨⼈材の育成が遅れているとともに、兼務の形態が社員のモチベーションの低下にもつながっ ていると考えられる。 P 提⾔ ROPOSAL ・社内担当者のスキル不⾜や業務量過多が課題であるならば、社内⼈材の育成を考えることが重要である。 ・社内の⼈材確保が難しいならば、社外で確保やアウトソースすることも視野に⼊れて対応可能な体制を整備することが重要である。 ・特に、インシデントに対応できる実務スキルを持った⼈材を早期に育成することが必要であり、実践的なカリキュラムを採⽤・実施すべきである。 ・⼈材不⾜に対して、経営層の理解を得た上で適切な⼈材補充対応が必要であり、その⼈材のキャリアパスを整備しなければならない。また、 ⾃社で育成する場合は、その⼿段を明確にすることが不可⽋である(OJTを⾏うとしても教えられる⼈材がいない)。 ・実践的なスキル習得は⼀朝⼀⼣ではできないことから、育成計画を策定する必要がある。 Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 7 情報セキュリティ⼈材に関する意識・実態の現状 情報セキュリティ⼈材を育成するためのアプローチ Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 8 どのような人材を育成する必要があるか(例) 安全・安⼼なITシステム・ネットワークを構築・運⽤する⼈材 組織のシステム全般を担当する⼈ ITシステム担当者 ネットワーク管理者 ITセキュリティ担当者 セキュリティの技術要素を理解し、ITシス テム・ネットワークインフラの導⼊、運⽤・ 管理、保守を担当する⼈物 基盤・アプリケーションを構築・管理する⼈ ITスペシャリスト 基盤システムの設計、構築、運⽤、保守 する⼈物 アプリケーションスペシャリスト アプリケーションシステムの設計、構築、運 ⽤、保守する⼈物 ⾼度な専⾨スキルをもつセキュリティスペシャリスト ITの専⾨スキルに加え、セキュリティの技術要素を的確に理解して、 ネットワーク、システム、アプリケーションなどをセキュアに構築・開 発・運⽤するための技術⼒を有する⼈材 プロジェクトを管理する⼈ プロジェクト マネージャー 業務要件、IT要件を把握し要 件を定義し、プロジェクトに責任 を持つ⼈物 様々なサイバー脅威に対抗するための⾼度な専⾨スキルを有する ⼈材 ⼀個⼈がすべての脅威に対応するのは極めて困難なため、各分 野ごとの⾼度専⾨⼈材の育成が必要 マルウェア・エクスプロイト解析する⼈ インシデントを調査する⼈ 脆弱性を検査する⼈ 侵⼊したマルウェアや使われたエクスプロイ トを安全に解析し、攻撃⼿法の解明や 対策⼿法の考案を⾏う。またシステム・ネ ットワーク上に残された痕跡から未知のマ ルウェアの検出も⾏える⼈物 インシデント時にシステム・ネットワー ク上の証拠を発⾒、適切に証拠保 全する⼈物 最新の攻撃⼿法を熟知し、対策⽅法を 提案する。必要に応じて、システム・ネット ワークに脆弱性が検査を計画し適切に ⾏える⼈物 マルウェアアナリスト フォレンジックアナリスト インシデントに対応する⼈ システム・ネットワークを守る⼈ インシデント時に素早く対応し、システム ・ネットワーク運⽤者および管理者と連 携して、対策を⾏い安全に復旧を⾏え る⼈物 システム・ネットワークの運⽤、管理を ⾏う。インシデント時の初期対応も ⾏える⼈物 インシデント ハンドラー ネットワーク アナリスト Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. ペネトレーションテスター セキュリティ対策を管理・提⾔する⼈ セキュリティ マネージャー セキュリティ対策を検討、提⾔する上で必 要な基礎知識・スキルを持ち、ビジネス戦 略的観点から最適なソリューションを経営 層に提⾔できる⼈物 9 人材育成のための環境整備 業務範囲の決定 スキル棚卸 フレームワーク化 研修プログラム選定 スキルの⾒える化 Step Step Step Step Step 1 2 3 4 5 内製化 システム・アプリケーション関 連スキル 6つのポイント ⾼度スキル保有の証明 •システム開発 •ツールによる脆弱性診断 •ネットワーク・システム運⽤ •CSIRT ( イ ン シ デ ン ト 対 応) •セキュリティ要件の定義 •セキュアデザイン •セキュアコーディング •脆弱性診断の結果を理解 外部委託 基盤関連スキル •マルウェア解析 •フォレンジック •⾼度な脆弱性診断 •ネットワーク・システム監視 •ネットワーク・システム構築 •ネットワーク・システム運⽤ •キャリアパス •職務・ポジション •育成計画 •ローテーション 1. 業務に適合した内容 2. 体系⽴った内容 3. 実践的な内容 4. 復習可能な教材 技術スキルの証明 5. 定評、実績ある研修 6. 評価・測定可能な研修 マネジメントスキルの証明 CSIRTメンバー •インシデント対応能⼒ •フォレンジック能⼒ •サイバーインテリジェンス関 連スキル Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 開発スキルの統⼀ 10 範囲決定 スキル棚卸 フレームワーク化 研修プログラム選定 見える化 セキュリティ関連業務の洗い出しと内製化・外部委託の範囲決定 セキュリティ関連業務の例 ITシステム関連 セキュリティ関連 セキュア・システム企画 セキュア・システム要求定義 セキュア・システム設計 セキュア・システム開発 セキュア・システム運⽤ セキュア・データ管理 ネットワーク監視 セキュリティ監視 脆弱性/パッチマネジメント システム脆弱性診断 インシデント対応 アーティファクトハンドリング 情報セキュリティマネジメント セキュリティ監査 事業継続管理 個⼈情報管理 マルウェア解析 システム解析(フォレンジック) Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 内製化 当面は 外部委託 (いずれ内製化) 外部委託 委 託 す 知る 識業 は務 必に 要つ い て の 11 範囲決定 スキル棚卸 フレームワーク化 研修プログラム選定 見える化 必要なサイバーセキュリティスキルの洗い出し(一例) システム系エンジニアの方 (アプリケーションスペシャリスト) セキュリティ セキュア セキュア 要件の定義 デザイン コーディング 脆弱性診断の 結果を理解 Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. セキュアな ネットワーク・ システム運用 インシデント 対応能力 基盤系エンジニアの方 CSIRTの方 (ITスペシャリスト) (インシデントハンドラー) 12 範囲決定 スキル棚卸 フレームワーク化 研修プログラム選定 見える化 キャリアパスの例 システム部門 セキュリティ部門 CIO CISO 上級エンジニア 上級セキュリティエンジニア・管理 役員 マネージャー/ Expert マネージャー スーパー プログラマ システム 全体設計 中級エンジニア リーダー/ 中級エンジニア APL設計 運用設計 基盤設計 ・認証技術、暗号、脆弱性管理、・・ エンジニア コーディング エンジニア 製品選定 基盤構築 ・セキュアコーディング、DB、セキュ アサーバ構築、セキュアネットワー ク、モバイルセキュリティ、・・ 初級エンジニア 新人・エントリ コーディング サーバ設定 マネージャー 脅威インテリ ジェンス ポリシー 策定 ・・ 中級セキュリティエンジニア 組織 セキュリティ インシデント ハンドリング Forensics PEN-Test APL-Test マルウェア 解析 POC検証 監査実務 ・脆弱性管理、リバースエンジニアリング、 ネットワーク解析、各種攻撃手法、セキュリ ティ標準、・・・ ・セキュアコーディング、DB、セキュ アサーバ構築、セキュアネットワー ク、モバイルセキュリティ、・・ ネットワーク 設定 ・プログラミング基礎、サーバ基礎 Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 13 範囲決定 スキル棚卸 フレームワーク化 研修プログラム選定 見える化 キャリアパスの例 システム部門 セキュリティ部門 CIO CISO 上級エンジニア 上級セキュリティエンジニア・管理 役員 マネージャー/ Expert マネージャー スーパー プログラマ システム 全体設計 中級エンジニア リーダー/ 中級エンジニア APL設計 運用設計 基盤設計 ・認証技術、暗号、脆弱性管理、・・ エンジニア コーディング エンジニア 製品選定 基盤構築 ・セキュアコーディング、DB、セキュ アサーバ構築、セキュアネットワー ク、モバイルセキュリティ、・・ 初級エンジニア 新人・エントリ コーディング サーバ設定 マネージャー 脅威インテリ ジェンス ポリシー 策定 ・・ 中級セキュリティエンジニア 組織 セキュリティ インシデント ハンドリング Forensics PEN-Test APL-Test マルウェア 解析 POC検証 監査実務 ・脆弱性管理、リバースエンジニアリング、 ネットワーク解析、各種攻撃手法、セキュリ ティ標準、・・・ ・セキュアコーディング、DB、セキュ アサーバ構築、セキュアネットワー ク、モバイルセキュリティ、・・ ネットワーク 設定 ・プログラミング基礎、サーバ基礎 Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 14 範囲決定 スキル棚卸 フレームワーク化 研修プログラム選定 見える化 NRIセキュア セキュリティキャリアコースマップ IT全般を対象にするITSS(UISS)に、セキュリティから考えた世界基準レベルのフ レームワーク「NICE」の要素をプラスして、3つのコースマップを作成 ユーザー企業向け ITベンダー企業向け セキュリティ担当者向け Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 15 範囲決定 スキル棚卸 フレームワーク化 研修プログラム選定 見える化 ITを利用する人たち 事業戦略、案件を管理する人 組織のシステム全般を担当する人 管理者 ITシステム部門 組織のセキュリティ全般を担当する 人 情報を適切に取り扱う人 事業⽬的の実現に向けた事業戦略 および個別案件を策定しマネジメ ントする⼈物 ITセキュリティ 部門 マネージャーは、ITプロジェクト の策定およびマネジメントを実施 する。SEは、ITプロジェクトの アプリケーションおよびインフラ の導⼊、保守を実施する。またア プリケーションシステムの設計、 構築、運⽤、保守を担当する⼈物 一般社員 セキュリティリテラシーを有し、 適切に情報を取り扱い業務を遂⾏ する⼈物 セキュリティポリシー策定、イン シデントハンドリングなどセキュ リティに関することを実施する Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 16 範囲決定 スキル棚卸 フレームワーク化 研修プログラム選定 見える化 ITシステム・ネットワークを作る人たち ソリューションを提案する人 プロジェクトを管理する人 コンサルタント プロジェクト マネジメント 顧客ニーズを把握し、提案。顧客 満⾜度に責任を持つ⼈物 業務要件、IT要件を把握し要件を 定義し、プロジェクトに責任を持 つ⼈物 基盤を構築、管理する人 アプリケーションを作る人 ITスペシャリスト アプリケーション スペシャリスト 基盤システムの設計、構築、運⽤、 保守する⼈物 アプリケーションシステムの設計、 構築、運⽤、保守する⼈物 Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 17 範囲決定 スキル棚卸 フレームワーク化 研修プログラム選定 見える化 セキュリティ専門家集団 マルウェア・エクスプロイト解析する 人 インシデントを調査する人 脆弱性を検査する人 フォレンジック アナリスト ペネトレーション テスター インシデントに対応する人 システム・ネットワークを守る人 インシデント ハンドラー ネットワーク アナリスト セキュリティ対策を管理・提言する 人 マルウェア アナリスト 侵⼊したマルウェアや使われたエ クスプロイトを安全に解析し、攻 撃⼿法の解明や対策⼿法の考案を ⾏う。またシステム・ネットワー ク上に残された痕跡から未知のマ ルウェアの検出も⾏える⼈物 インシデント時に素早く対応し、 システム・ネットワーク運⽤者お よび管理者と連携して、対策を⾏ い安全に復旧を⾏える⼈物 インシデント時にシステム・ネッ トワーク上の証拠を発⾒、適切に 証拠保全する⼈物 システム・ネットワークの運⽤、 管理を⾏う。インシデント時の初 期対応も⾏える⼈物 Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 最新の攻撃⼿法を熟知し、対策⽅ 法を提案する。必要に応じて、シ ステム・ネットワークに脆弱性が 検査を計画し適切に⾏える⼈物 セキュリティ マネージャー セキュリティ対策を検討、提⾔す る上で必要な基礎知識・スキルを 持ち、ビジネス戦略的観点から最 適なソリューションを経営層に提 ⾔できる⼈物 18 範囲決定 スキル棚卸 フレームワーク化 研修プログラム選定 見える化 セキュリティキャリアコースマップ ユーザー企業向け 正しいセキュリティリテラシーを 身につける 経営層およびベンダーと話せる 知識を身につける 入門 ITセキュリティ部門 情報セキュリティインシデント 未然防止研修 ITシステム部門 基礎 社内のセキュリティ全般を 見渡せるようになる 応用 管理者のため の情報セキュ リティ基礎 管理者 業務で必要なセキュリティ能力を 身に付ける 専門 SSCP CISSP IT + セキュリティ基礎 インシデント 対応 Web アプリケーシ ョンセキュリ ティ TEAM Professor SEC401 一般社員 Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 19 範囲決定 スキル棚卸 フレームワーク化 研修プログラム選定 見える化 セキュリティキャリアコースマップ ITベンダー企業向け 正しいセキュリティリテラシーを 身につける 自身の分野に必要な セキュリティ基礎能力を身につける 入門 高度なトレーニングにより 本格的なセキュリティ能力を身につける 基礎 チームのリーダーとして 必要なセキュリティ能力を身につける 応用 専門 コンサルタント システムエンジニアのための 情報セキュリティ基礎 ITスペシャリスト 情報セキュリティインシデント 未然防止研修 プロジェクト マネジメント SSCP CISSP インシデント対応 IT + セキュリティ基礎 アプリケーション スペシャリスト Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. TEAM Professor Webアプリケーショ ンセキュリティ SEC504 SEC401 セキュ アJava プログラ ミング DEV522 20 範囲決定 スキル棚卸 フレームワーク化 研修プログラム選定 見える化 セキュリティキャリアコースマップ セキュリティ担当者向け 専門分野を学ぶための 基礎知識を身につける 専門分野の基礎スキルを 体系的に身につける 入門 専門分野の標準スキルを 体系的に身につける 基礎 専門分野の高度スキルを 体系的に身につける 応用 専門 フォレンジック アナリスト FOR572 フォレンジッ ク1-DAY FOR408 FOR508 FOR526 マルウェア アナリスト FOR610 Web ペネトレーション テスター インシデント ハンドラー ネットワーク アナリスト IT + セキュリティ 基礎 2-DAY アプリケーショ ンセキュリティ 1-DAY SEC504 SEC542 SEC660 SEC642 SEC502 SEC503 SEC511 SEC401 SEC560 インシデント 対応 1-DAY セキュリティ マネージャー Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. CISSP 21 範囲決定 スキル棚卸 フレームワーク化 研修プログラム選定 見える化 研修プログラム選定の6つのポイント 1. 2. 3. 業務に適合した内容であること 体系⽴った内容であること 実践的な内容であること 4. 5. 6. 復習可能な教材があること 定評、実績あるトレーニングであること ⾝につけた能⼒を評価・測定できること NRIセキュアテクノロジーズの研修プログラムの場合 トレーニング Point 1 Point 2 Point 3 Point 4 Point 5 Point 6 70以上の コース 攻撃手法 防御手法 の流れで設計 PC演習 現実的なシナリオ 1500ページ以上 の教材。ツール キット、仮想マシ ンの提供 40万人以上 2万5千人/年 グローバル資格 GIAC 全分野網羅 10ドメインの 知識体系 ビジネス思考 600ページ以上の 教材 9万4千人以上の CISSP グローバル資格 CISSP 65以上の コース OWASP PCI DSS Microsoft SDL NIST コードサンプル 脆弱性検出デモ 繰り返し学習可 能なeラーニング 20万人以上の 利用者 確認テストあり 修了試験あり 全業務に 共通の基礎 セキュリティ エッセンス PC演習 詳細な教材 演習データ配布 GIACやCISSPに つながる なし Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 22 範囲決定 スキル棚卸 フレームワーク化 研修プログラム選定 見える化 KSA(知識、スキル、能力)の「見える化」 知識、スキル、能力の「見える化」には、資格の活用が有効。 セキュリティのエキスパートがいない組織では、セキュリティの知識、スキル、能力が評 価できない 本人のやる気向上 業務アサインの納得感 資格による スキルの可視化 高度情報セキュリティ人財 セキュリティ実践 セキュリティ人財 ネットワーク・セキュリティ応用知識 ネットワーク・セキュリティ基礎知識 IT人材 基盤的スキル ヒューマンスキル・常識的なITスキル ※ヒューマンスキル(コミュニケーション・プレゼン・ドキュメント作成能力など) Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 23 範囲決定 スキル棚卸 フレームワーク化 研修プログラム選定 見える化 資格のレベルマップ(国内資格) 資格名 レベル 独立行政法人 情報処理推進機構(IPA) High 情報セキュリティスペシャリスト システム監査技術者 特定非営利法人 日本セキュリティ監査協会 (JASA) 公認システム監査人 (CSA) 特定非営利法人 日本システム監査人協会(SAAJ) 応用情報技術者 基本情報技術者 独立行政法人 情報処理推進機構(IPA) 特定非営利法人 日本セキュリティ監査協会 (JASA) 特定非営利法人 日本システム監査人協会(SAAJ) システム監査人補 Middle 日本規格協会(JRCA) SEA/J Entry ISMS審査員補 CSBM CSPM of Technical CSBM of Management 独立行政法人 情報処理推進機構(IPA) ITパスポート ネットワーク情報セキュリティマネージャー推進協議会 Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 公認情報セキュリティ主任監査人 ネットワーク 情報セキュリティ マネージャー推進協議会 特定非営利法人 日本セキュリティ監査協会(JASA) 公認情報セキュリティ監査人 情報セキュリティ監査人補 ネットワークセキュリティ実践資格 サーバセキュリティ実践資格 不正アクセス監視実践資格 セキュリティポリシー実践資格 セキュリティ監査実践資格 情報セキュリティ監査アソシエイト ネットワークセキュリティ基礎資格 出所:各種情報ソースよりNRIセキュアテクノロジーズ作成 24 範囲決定 スキル棚卸 フレームワーク化 研修プログラム選定 見える化 資格のレベルマップ(グローバル資格) 資格名 レベル Expert Advanced SANS GCFA(FOR508) SANS GREM (FOR610) GCED(SEC501) GCWN(SEC505) GAWN(SEC617) GCFW(SEC502) GCUX(SEC506) GXPN(SEC660) GSLC(MGT512) GCPM(MGT525) GCIA(SEC503) GCIH(SEC504) GWAPT(SEC542) GPEN(SEC560) GSNA(AUD507) GWEB(DEV5522 High Middle (ISC)2 CISSP CompTIA ISACA Security+ Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. GSSP-JAVA(DEV541) CISA CISM (ISC)2 SANS SSCP JGISP GSEC(SEC401) GCFE (FOR408) GSSP-.NET(DEV5544) Certification Partner Certification Partner CIW Web Security Professional CIW Web Security Specialist CIW Web Security Associate 出所:各種情報ソースよりNRIセキュアテクノロジーズ作成 25 【参考】 米国防総省の推奨認定資格 Level I Level II Level III Information Assurance Technical A+CE Network+CE SSCP CCNA-Security GSEC Security+CE SSCP CCNA-Security CISA CISSP CASP Information Assurance Management CAP GSLC Security+CE CAP GSLC CISM GSLC CISM CISSP Information Assurance System Architect and Engineer CISSP CASP CSSLP CISSP CASP CSSLP Computer Network Defense Service Provider Analyst GCIA CEH GCIH Infrastructure Support SSCP CEH CISSP CASP Incident Responder GCIH GCFA CSIH CEH GCIH GCED CISSP-ISSEP CISSP-ISSAP Auditor CISA GSNA CEH Manager CISSP-ISSMP CISM 出所) 「DoD 8570 Policies and References」よりNRIセキュアテクノロジーズ作成 Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved.http://iase.disa.mil/iawip/Pages/iabaseline.aspx 26 参考となる資料 SANS / GIAC http://www.sans.org/ http://www.giac.org/ (ISC)2 https://www.isc2.org/japan/cissp_about.html 2013年(ISC)2グローバル情報セキュリティワークフォーススタディ https://www.isc2cares.org/uploadedFiles/wwwisc2caresorg/Content/2013-ISC2-Global-InformationSecurity-Workforce-Study.pdf ISEPA 情報セキュリティ教育事業者連絡会 情報セキュリティ⼈財アーキテクチャガイドブック http://www.jnsa.org/isepa/images/outputs/jinzai_arch_2009.pdf 経済産業省 情報セキュリティ⼈材の育成指標等の策定事業 情報セキュリティ⼈材のモデルキャリア http://www.meti.go.jp/meti_lib/report/2013fy/E002940.pdf NIST(⽶国 国⽴標準技術研究所) National Initiative for Cybersecurity Education http://csrc.nist.gov/nice/framework/ DoD(⽶国 国防総省) DoD 8570 Information Assurance Workforce Improvement Program http://iase.disa.mil/iawip/Pages/index.aspx Copyright(C) 2015 NRI SecureTechnologies, Ltd. All rights reserved. 27
© Copyright 2024 ExpyDoc
