セキュリティ匠対談 七回目
~SOC/CSIRTには止まらない。セキュリティ人財不足~

 セキュリティ匠対談 第七回

 

SOC/CSIRTには止まらない。セキュリティ人財不足~


執筆者プロフィール

山崎 文明 山崎 文明:市場開発本部 エグゼクティブエキスパート
国内のセキュリティ第一人者として、今まで数多くの役職を歴任。著書多数。
官公庁に対しても、積極的なセキュリティ提言を行っている。
栗田 晴彦 栗田 晴彦:ビジネス推進本部 シニアエキスパート
CISSP/CCSP/CISA//PCI DSS QSA/PMP
セキュリティのコンサルティングや監査に長年従事。
現在は、後進の育成にも力を入れている。セキュリティ匠の会事務局。

待ったなし、セキュリティ人財育成

栗田 七回目の今回のテーマは、ネットワーク分離は小休止し、セキュリティ人財育成に触れたいと思います。第六回にも触れましたが、IPA(情報処理推進機構)のセキュリティ10大脅威(2018)では、「組織」分野で初めてこの件がランクインし、しかも第5位になっています。

https://www.ipa.go.jp/security/vuln/10threats2018.html より抜粋
赤枠は、ネットワンで挿入

山崎 今までは脅威としては、「標的型攻撃」、「ランサムウェア」、「内部不正」など、直接情報資産を狙うものが挙げられていました。ただ今回は、それを防ぐ側での対応上の課題が「脅威」とみなされたわけであり、人財不足の問題の質的な変化が感じられます。
栗田 丁度、平昌五輪が終わり、次は東京五輪となるわけです。国も東京五輪でのサイバーテロ対策に大きな懸念を示しており、セキュリティ人財育成は、その対策のベースですね。
山崎 まさに、そうです。例えば、NICT(情報処理通信機構)が、クラウド上に擬似環境を構築し、「サイバーコロッセオ」(サイバー演習)を行う予定です。サイバー攻撃に対応できる人を如何に育てるか、待ったなしの状況です。
注:ネットワン社内では、重要性の意味を込め「人財」の漢字をあてているが、多くの公的文書では「人材」を用いている。本対談でも、社内用語としては「人財」、公的用語としては「人材」と書き分けているが、両者の意味に差はない。

幅広いセキュリティの「匠」が必要

栗田 ところで、セキュリティ人財というと、どうしても、外的脅威に対抗して、IT技術を駆使しながらシステムを防衛する、諜報活動を日々行いマルウェアやDark Webを解析して対抗策を講じるなどの技術者がイメージされますが、実際はそれだけで済むほど単純ではありませんね。
山崎 これらの技術者に対しては、CTF(Capture the Flag:ハッキング技術のコンテストで、早く標的に到達することをゴールとする)やBlueTeamとRedTeam(防御者と攻撃者に分かれてシステム上で実地に近い攻防の演習を行う)などの訓練が注目をされています。
栗田 まさに、その通りですが、それ以外の領域でのセキュリティ人財の必要性も大きく求められています。2017年4月に、NISC(内閣官房サイバーセキュリティセンター)が「サイバーセキュリティ人材育成プログラム」(以下、人材育成プログラムと略称)を発表していますが、これが参考となります。
山崎 政府の立場から、サイバーセキュリティを維持していくための課題や方向性、施策がよくまとめられています。
栗田 はい。その中で、今後の取組方針として、供給者側(人材提供側)で3種類の人材育成の必要性をうたっていますが、それは、「①橋渡し人材層の育成」、「②チームとなってセキュリティを推進するための人材育成」、「③高度人材(セキュリティ技術のイノベーション人材)の育成」となっています。
山崎 ③のカテゴリーは以前のプログラムでは、「突出した能力を持つ人材の発掘・育成」として挙げられている人で、SOC/CSIRTでの最先端の技術者やフォレンジック調査を行うアナリストのイメージですね。確かに、重要で不可欠な人財ですが、一方それらの人だけではセキュリティ運用は回りません。①や②の人など、会社のIT方針やIT環境を理解した上で、それを具体的なセキュリティ対策やインシデント対応に統合できる人は必須です。
栗田 一般的なセキュリティトレーニングを考えてみれば自明と思います。トレーニングは人財育成の一環であるわけですが、基本は全員参加です。セキュリティ運用は全員が関わることを考えると、人財育成の課題は当然幅広くならざるを得ません。必要なスキルこそ違えども、様々な「匠」が必要な時代と思います。

 

具体的に求められるスキル。アーキテクチャやデザインが重要に

山崎 「人材育成プログラム」には、求められるスキルに関して細かい記載はないですが、具体的にどのようなスキルが求められるかを正しく把握することが重要です。
栗田 多少、古くなりますがIPAが2015年5月の改訂版を発表した「ITのスキル指標を活用した情報セキュリティ人材育成ガイド」(以下「人材育成ガイド」と略称)が参考になります。「ITのスキル指標」とあるように、IPAが発表した「情報セキュリティ強化対応スキル指標」をベースにして必要な人材像を描いています。
山崎 ITサービス管理、システムデザイン、ITアーキテクト、コンサルタントなど、セキュリティ人財育成で、検討が漏れがちとなってしまう役割やスキルが確りと定義されています。前章で述べたSOCなどで活躍する「突出した能力を持つ人材」の記載は一部にとどまっていますね。
栗田 セキュリティのコンサルとして、現場に長くいますが、会社のセキュリティ戦略を正しくセキュリティ要件に落とし込む、その要件をシステムや業務の運用に正しく実装する、この2つがなかなかできていませんね。セキュリティツールを入れたりセキュリティサービス導入したりすることだけがセキュリティ対応と勘違いしてしまっている節もあります。
山崎 「人材育成プログラム」の中でも、その戦略や業務を理解し、幅広く社内調整できる人材の必要性は、強調されています。海外ですとまず全社的な観点からITアーキテクチャを考え、その延長でセキュリティアーキテクチャを議論できるのですが、日本では途上です。
栗田 「アドオンのセキュリティから、ビルトインのセキュリティ」とは口ではわかっていますが、それを実現するのは難しいですね。「突出した能力を持つ人材」は、外注するケースが多いでしょう。組織では、インシデント対応などの局面において、どのようにそのような人財を使いこなせるかが重要です。
山崎 情報セキュリティ管理組織でも、脆弱性検査ぐらいは自前で出来てもよいですね。どうしても外だしにする必要があるなら別ですが、何もかも外だしは問題です。特に、脆弱性検査は、検査自身が目的ではなく、最終ゴールは脆弱性を適切に管理する事。全社の脆弱性管理のフレームワークの中で検討すべき話です。

セキュリティ匠の会の目指すもの

栗田 この「人材育成ガイド」では、必要な役割やスキルは細かくブレークダウンできていますが、それを「どのように育成するか」は、あまり記載されていません。
山崎 それは組織や育成対象によって、ケースバイケースにならざるを得ないということでしょう。特に、高いスキルになればなるほど、通常のトレーニングではカバーしづらく、演習やOJTでカバーすることとなります。 このセキュリティ分野は日進月歩なので、トレーニングが出来た時点で陳腐化しているでしょうし、戦略家やアーキテクトなどは、思考力や洞察力に加え統合力や調整力も重要です。
栗田 実は、この「人材育成ガイド」では、取組例のヒントとして、その方法が載っており大変参考になります。「専門性の高い人材の育成方法」としては、

・強い興味があり、自発的に技術を学ぶ。教育より、自発的な取組を阻害しない環境を整備したり、興味のある者同士でのコミュニケーション作りの支援が重要

・様々な部署に点在して配置されるため孤立しやすい。セキュリティ技術者間の連携を促進する

・異なる指標で評価する必要があり、往来とは別の評価・認定の仕組みが必要

などがあります。

山崎 とても重要なポイントです。組織としての環境作りが大切なことが分かります。
栗田 実は、この問題意識は、2016年秋に「セキュリティ匠の会」を立ち上げた時に感じていたものです。セキュリティの匠間の連携が出来るようなコミュニティ作りを通じ、「相互啓発できる」仕組みを目指しています。

スローガンとして、Security Everywhere、Security Everyoneを掲げています。「匠の会」の活動を通じ、「人材育成ガイド」に書かれるような、総合的な見方が出来る匠を育成することが一つの大きな目標です。

 

他の組織とのコラボレーション

山崎 このようなコミュニティは、参加者の意識付けとともに、他組織との連携が重要ですね。
栗田 はい、事務局として最近はそれにはかなり腐心しています。ただの勉強会や、情報共有では意味がありませんし、仲良しクラブでもいけません。お互いが啓発できる場が重要です。発足して1年半がたちましたが、現在は積極的に社外と交流することを考えています。
山崎 私も、研究会や委員会などに今まで沢山参加してきましたが、様々な立場の人と交流することで多面的な見方が可能となります。さらに、脅威や脆弱性情報を共有することで、サイバー脅威への対応も迅速になります。人財育成では欠かすことのできない要素です。
栗田 その目的で、セキュリティ匠の会では外部の「セキュリティの匠」を呼び、広くセキュリティの啓発をしています。富士通で「セキュリティマイスター制度」を立ち上げたサイバーディフェンスセンターの佳山様の考えには非常に共感しています。

http://www.fujitsu.com/jp/solutions/business-technology/security/secure/concept/security-initiative/security-meister/ より抜粋
山崎 「匠」が日本語なら、「マイスター」はドイツ語、ともに専門家の技術やその継承を重んじている点は共通性が高いです。セキュリティの技術者が、目指すべき高みのヒントがあります。
栗田 佳山様とは、私がNetOne-CSIRTのメンバーとして、日本CSIRT協議会に参加する縁でお会いしました。問題意識や目指すべき方向など、参考になることが多くありました。特に、事業部(現場)でのSE(エンジニア)のスキル向上が急務ということには非常に強い共感を覚えました。まさに、戦略やITアーキテクチャから、セキュリティを議論し、実装できることが求められていることがわかります。
山崎 富士通とネットワンでは、規模が全く違うのですが、同じ方向に進もうとしていることは興味深いです。
栗田 佳山様は、CISSP活動を推進しているNPOであるISC2(International Information Systems Security Certification Consortium)とも密接な関係を築かれています。匠の会で進めている、CISSP資格取得支援、CCSP資格取得支援と通じるところが多々あります。
山崎 IPA、JPCERT、NISCなど、国内のITベンダーが集まって知恵を持ち寄り、サイバーセキュリティ向上のために日々コラボレーションを実施しています。国内のセキュリティの匠たちが協力しているということは心強い限りです。
栗田 佳山様は、セキュリティ匠の会で発表を頂くことで、セキュリティ人材育成の重要性をアピールいただこうと考えています。同じ会には、日本CSIRT協議会の方にも講演頂き、社会に貢献できるセキュリティ人財育成への強力なバックアップをお願いしています。
山崎 それは、楽しみです。ネットワンのセキュリティの匠達も大いに刺激を受けてほしいです。
栗田 次回 第八回の匠対談は、再びネットワーク分離に戻り、データダイオードや、仮想化の影響などに触れる予定です。

イベント/レポート

pagetop