Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]

1,538 views

Published on

これまで情報セキュリティ人材の不足が叫ばれている中、サイバー攻撃の増加や2020年の東京オリンピック開催に向け、その育成はますます重要となってきています。では、どのような人材が求められ将来も通用するのか、そしてどう知識やスキルを身につければ良いのかを情報セキュリティの最前線で教育をしている観点で解説します。

▽セキュリティ人材育成トレーニングはこちらから▽
http://www.globalknowledge.co.jp/reference/security/securitytopic.html

Published in: Technology
  • Be the first to comment

[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]

  1. 1. 将来も通用する セキュリティエンジニアのスキルとは グローバルナレッジネットワーク社主催セミナー 「G-Tech 2015」人材育成トラック 2015年11月6日(金) 株式会社ラック セキュリティアカデミー
  2. 2. ■主な担当講師業務 □(ISC)2 CISSP/SSCPレビューセミナー認定主任講師 □CompTIA Security+講師 □東京電機大学 未来科学部 情報メディア学科 非常勤講師 □岡山理科大学 総合情報学部 情報科学科 特別講師 ■最近の主な活動 □ 総務省 高度ICT利活用人材育成会議 委員(2011~2013年度) □ 経済産業省 情報セキュリティ人材の育成指標等の作成事業 WG委員(2012年度) □ 文部科学省 中核的専門人材養成の戦略的推進事業 WG委員(2012年度~) ■主な著書等 「情報セキュリティプロフェッショナル教科書」 (アスキーメディアワークス、共著)、 「SSCP認定資格公式ガイドブック」 (NTT出版、共著)、「ネットワークセキュリティ」 (オーム社、共著) 等。 長谷川 長一(はせがわ ちょういち) 株式会社ラック サイバーセキュリティ本部 理事 NPO 日本ネットワークセキュリティ協会(JNSA) 教育部会WGリーダー 同 SaaSセキュリティWGリーダー ■ソフトバンク、日本ユニシスを経て、現職。情報セキュリティコンサルティング、情報セ キュリティ監査業務を経て、現在は主にセキュリティ教育業務を担当。 URL:http://www.lac.co.jp/education/index.html E-mail:choichi.hasegawa@lac.co.jp http://www.facebook.com/choichi.hasegawa 2 Copyright ©LAC Co., Ltd. All Rights Reserved
  3. 3. 蛇口をひねれば飲み水が出る当り前を、高度情報社会でも実現します。 株式会社ラックは1986年に設立されました。”Little eArth Corporation”という社名には、ICTの進展 で地球が相対的に小さくなっていく中で、ICTを基盤に国や企業の発展を支えていこうという理念がこめ られています。JSOC、サイバーセキュリティ研究所、サイバー救急センターの配備が特徴です。 JSOC (Japan Security Operation Center) JSOCは、ラックが運営する情報セキュリティに関するオペレーションセンターです。 24時間365日運営。高度な分析官とインシデント対応技術者を配置しています。2000 年の九州・沖縄サミットの運用・監視を皮切りに、日本の各分野でのトップ企業など高 レベルのセキュリティが要求されるお客様に、高品質なサービスを提供しています。 商 号 株式会社ラック LAC:Little eArth Corporation Co., Ltd. 設 立 1986年(昭和61年)9月 資本金 10億円 代 表 代表取締役社長 高梨 輝彦 従業員数 1,581名(2015年4月1日現在) 売上高 328億円(連結:2015年3月期) 決算期 3月末日 認定資格 経済産業省情報セキュリティ監査企業登録 情報セキュリティマネジメントシステム (ISO/IEC 27001)認証取得(JSOC) プライバシーマーク認定取得 ・本社 〒102-0093 東京都千代田区平河町 2-16-1 平河町森タワー 03-6757-0111(代表) 03-6757-0113 (営業窓口) ・名古屋オフィス ・福岡オフィス ・アクシス事業所(福島県喜多方市)  http://www.lac.co.jp/  sales@lac.co.jp  Twitter @lac_security  YouTube laccotv  Facebook Little.eArth.Corp ・米国ニューヨークオフィス USLAC ・韓国ソウル 子会社 CSLAC Cyber Security LAC Co.,Ltd. ・中国上海 子会社 LAC CHINA 上海楽客網絡技術有限公司 株式会社ラック 3 Copyright ©LAC Co., Ltd. All Rights Reserved
  4. 4. 情報セキュリティ、 ここ5~10年間の変化 -将来も通用するセキュリティエンジニアのスキルとは-
  5. 5. 「情報セキュリティ十大脅威」の比較(1) 2006年度 1 事件化するSQLインジェクション 2 Winnyを通じたウイルス感染による情報漏えいの多発 3 音楽CDに格納された「ルートキットに類似した機能」の事件化 4 悪質化するフィッシング詐欺 5 巧妙化するスパイウェア 6 流行が続くボット 7 ウェブサイトを狙うCSRFの流行 8 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性 9 セキュリティ製品の持つ脆弱性 10 ゼロデイ攻撃 ~「2006年版 10大脅威 -「加速する経済事件化」と今後の対策-」 https://www.ipa.go.jp/files/000016951.pdf 5 Copyright ©LAC Co., Ltd. All Rights Reserved
  6. 6. 1 オンラインバンキングやクレジットカード情報の不正利用 2 内部不正による情報漏えい 3 標的型攻撃による諜報活動 4 ウェブサービスへの不正ログイン 5 ウェブサービスからの顧客情報の窃取 6 ハッカー集団によるサイバーテロ 7 ウェブサイトの改ざん 8 インターネット基盤技術の悪用 9 脆弱性公表に伴う攻撃の発生 10 悪意のあるスマートフォンアプリ ~「2015年版 10大脅威 -複雑化する情報セキュリティ-」 http://www.ipa.go.jp/security/vuln/10threats2015.html 6 Copyright ©LAC Co., Ltd. All Rights Reserved 「情報セキュリティ十大脅威」の比較(2) 2015年度 脅威は、常に 変化している 新しい技術が 狙われる!
  7. 7. 7 Copyright ©LAC Co., Ltd. All Rights Reserved 「コンピュータウイルス」の比較(1) 2006年頃 コンピュータウイルス・不正アクセスの届出状況[2006年第1四半期]について~IPAセキュリティセンター https://www.ipa.go.jp/security/txt/2006/04outline.html 「Winny」などのファイ ル交換ソフトを使用して いる環境で 「暴露ウイルス」に感染 することで、情報流出。
  8. 8. 被害企業 指令サーバ メールによる 標的型サイバー攻撃 だまされて クリック! 感染! 情報保管場所 複数感染 攻撃者 貴重な情報 攻撃者が特定の組織や個人に、うっかり反応してしまう詐欺メールを 送る。実行して感染。極少数しか送らないため、ウイルスの検知は困難。 感染したパソコンに対して、あらかじめ攻撃者が用意しておいた指令サーバ (第三者の企業のコンピュータを乗っ取った攻撃拠点)経由で指示を出す。 1つのウイルスがウイルス対策ソフトに発見されても組織に潜伏できるよう、 複数種類のウイルスを送り込むなど、執拗で狡猾。 重要な情報の保管場所を発見すると、犯罪行為が発覚しないよう情報を 細かく分割したり少量ずつ送るなどの工夫をして、継続的に情報を窃取。 8 Copyright ©LAC Co., Ltd. All Rights Reserved 「コンピュータウイルス」の比較(2) 2015年
  9. 9. 「水面下で侵攻するサイバースパイ活動急増に関する注意喚起」~ラック、2015年6月16日 http://www.lac.co.jp/security/alert/2015/06/16_alert_01.html 従来のウイルス感染の対応 標的型サイバー攻撃への対応 ウイルス感染コ ンピュータへの 対処 ウイルス感染のチェックは、 ウイルス対策ソフトで行い、 駆除を行う。 感染したコンピュータの内部 を詳細に分析するため、可能 な限り操作や駆除は行わない。 ネットワークの 稼動状況 そのまま運用を継続してよ い。 外部との通信を遮断して閉鎖 環境にする。 データベースや ファイルサー バーなどのコン テンツサーバー ウイルスなどの実行ファイ ルが保存されていないか、 サーバー上でウイルス チェックする。 サーバーの稼動を停止し、情 報窃取や不正ソフトの設置が 行われていないかを確認する。 通信機器の動作 確認 特に詳細な分析は行わなく てよい。 通信ログなどを分析し、接続 先や送信データの分析をする。 9 <参考>サイバーセキュリティ攻撃への対応 Copyright ©LAC Co., Ltd. All Rights Reserved
  10. 10. 将来も通用するスキルとその育成 -将来も通用するセキュリティエンジニアのスキルとは-
  11. 11. 11 Copyright ©LAC Co., Ltd. All Rights Reserved 2020年、ITはどうなるか? 「金融リテラシー2020 ~進化するITと深化するITリテラシー~」~NTTデータ経営研究所 http://www.keieiken.co.jp/pub/infofuture/backnumbers/42/no42_report09.html さらに、モバイルや クラウド化が進む。 そして、IoT化・・・ 業務や生活の環境も 大きく変化。
  12. 12. 12 Copyright ©LAC Co., Ltd. All Rights Reserved そして、セキュリティ人材が不足する? 「安全な国」担うサイバー人材の育成急げ 」~日本経済新聞 電子版 http://www.nikkei.com/article/DGXKZO89919800Q5A730C1EA1000/ セキュリティ人材不足 「マイナンバー」「東京 オリンピック」等で攻撃 は増加するとの予測。
  13. 13. 13 Copyright ©LAC Co., Ltd. All Rights Reserved 情報セキュリティ人材の育成と確保 ~「サイバーセキュリティ戦略について」(平成27年9月4日 閣議決定)~内閣サイバーセキュリティセンター http://www.nisc.go.jp/active/kihon/pdf/cs-senryaku-kakugikettei.pdf ※「サイバーセキュリティ戦略」から抜粋。 情報通信技術が広く国民全体に拡大・浸透し、社会の基盤となってお り、連接融合情報社会においては、サイバーセキュリティは、同分野の 専門家はもちろん、一般的な情報通信技術者、ひいてはIoTシステムの 利用者に至るまで、程度に差はあるものの様々な層の人材に必須の素養 である。(中略)なお、こうした人材においては、技術的な能力のみな らず、高い倫理観も同時に身に付ける必要がある。 (1)高等教育段階や職業能力開発における社会ニーズに合った人材 (2)初等中等教育段階における教育の充実 (3)突出した能力を有しグローバルに活躍できる人材の発掘・育成・確保 (4)人材が将来にわたって活躍し続けるための環境整備 (5)組織力を高めるための人材育成
  14. 14. 14 Copyright ©LAC Co., Ltd. All Rights Reserved 「社会的ニーズに合った人材」 ~「サイバーセキュリティ戦略について」(平成27年9月4日 閣議決定)~内閣サイバーセキュリティセンター http://www.nisc.go.jp/active/kihon/pdf/cs-senryaku-kakugikettei.pdf 企業等の組織経営にとってサイバーセキュリティが不可欠の課題とな りつつある現状を踏まえると、経営戦略と技術的な観点の両面から思考 でき、経営層と実務者層との間の橋渡しをすることで、セキュリティへ の適切な経営資源配分を促すことができる橋渡し人材層が強く求められ る。そのためにも、高等教育段階から、サイバーセキュリティや情報通 信に関する技術的な能力とともに、法律や経営学等の社会科学を含めた 様々な専門分野の知見、組織経営等に必要な知識を併せ持つハイブリッ ド型人材の育成を進める。 さらに、安全な製品・サービスの提供に当たっては、セキュリティの 知識を備えつつ、製品・サービスの生産に関わることが必要不可欠であ る。
  15. 15. 15 Copyright ©LAC Co., Ltd. All Rights Reserved 「突出した能力のグローバル人材」 ~「サイバーセキュリティ戦略について」(平成27年9月4日 閣議決定)~内閣サイバーセキュリティセンター http://www.nisc.go.jp/active/kihon/pdf/cs-senryaku-kakugikettei.pdf サイバーセキュリティ人材については、サイバーセキュリティに特化 して高度な研究協力をする大学院等の機関による教育だけでなく、突出 した能力を有する人材の発掘・確保も引き続き行っていく。また、例え ばサイバー攻撃に対する対処法(防御手法、攻撃手法も含む。)の研究 を通じ、自ら考え、対策を検討できる能力の育成を推進する。 さらに、サイバーセキュリティがグローバルな課題となっていること に鑑みれば、こうした突出した能力を有する人材はグローバル水準の能 力を備える必要がある。つまり、国境を意識することなく十分に活躍で きる人材の育成が不可欠である。
  16. 16. 16 Copyright ©LAC Co., Ltd. All Rights Reserved 「人材が活躍し続けるための環境整備」 ~「サイバーセキュリティ戦略について」(平成27年9月4日 閣議決定)~内閣サイバーセキュリティセンター http://www.nisc.go.jp/active/kihon/pdf/cs-senryaku-kakugikettei.pdf 多くの一般的な組織は、その事業目的を実現するために情報通信技術 を利活用しているが、このことは組織の経営課題として、サイバーセ キュリティに取り組む必要性があることを意味する。これらの組織は実 務の現場から経営までの各層において、それぞれのニーズに応じたサイ バーセキュリティの知見を有する又は理解し判断できる人材が必要とな る。また、サイバーセキュリティ関連産業においては、サイバーセキュ リティに特化して突出した能力のある人材に加え、こうした人材をリー ドしていく人材も必要となる。さらに、それぞれの組織のニーズに応じ た人材のキャリアパスを明確にすることが、組織の経営層、育成された セキュリティ人材、人材育成者のそれぞれにとって有益である。
  17. 17. 17 Copyright ©LAC Co., Ltd. All Rights Reserved 「組織力を高めるための人材育成」 ~「サイバーセキュリティ戦略について」(平成27年9月4日 閣議決定)~内閣サイバーセキュリティセンター http://www.nisc.go.jp/active/kihon/pdf/cs-senryaku-kakugikettei.pdf 政府機関や重要インフラ事業者など組織全体をターゲットとしたサイ バー攻撃が急増・深刻化する中、サイバー攻撃に的確・迅速に対応して いくためには、個々人のサイバー攻撃対処能力の向上のみならず、これ ら個々人の能力を有機的に連携させ、組織全体としての能力の向上に結 び付けていくことが極めて重要である。また、組織全体としての能力を 効果的・効率的に向上させていくためには、異なる組織同士で切磋琢磨 する環境を整備するとともに、個々の組織についてその実践的な能力や 課題について具体的に把握できるようにしていくことが重要となる。 このため、組織のサイバー攻撃対処に必要な能力を体系化するととも に、それらの能力を向上させるための実践的演習の取組を充実させる。 加えて、深刻なサイバー攻撃等が発生した際、その被害拡大と再発抑 止・低減等に向け、官民が一体的に連携して活動する体制の強化に取り 組む
  18. 18. 18 Copyright ©LAC Co., Ltd. All Rights Reserved 高度な知識や技術だけでいいのか? •必要なのは「外部でも通用する実践的スキルを 持った人材」 –実際に業務が行える人材 –期待されるアウトプットを出せる人材 –持っている知識や技術・経験などを生かし、状況に応 じて、合理的な判断や行動ができる人材 –現在において通用する知識と技術を使える人材
  19. 19. 実践的なスキルの例 ・事実を尺度にした思考と判断(特に、緊急時) ・シナリオ思考(多くの不確実性要素のある中でも、予 測し、対応する能力) ・非対称性(不正/攻撃をする側との見え方の違い)へ の適応 ・新たな技術や環境に対する継続的適応力 インシデント (結果) 兆候 (原因) インシデント インシデント インシデント インシデント インシデント 被 害 ・ 影 響 ( 短 期 / 中 長 期 / イ メ ー ジ ) よく見えている ほとんど見えていない シナリオ思考 非対称性 19 Copyright ©LAC Co., Ltd. All Rights Reserved
  20. 20. 「米英IT担当者の64%が脅威を経営陣に報告しないとの調査結果 」 http://internet.watch.impress.co.jp/docs/column/security/20131004_61 8137.html 20 ・セキュリティリスクについて経営 陣とのコミュニケーションはない、 または深刻なセキュリティリスクが 明らかになったときのみ行なってい る ―64% ・セキュリティリスクの管理と経営 との間の連携は乏しいか、全くない、 または敵対している ―47% ・関連のあるセキュリティリスクを 経営陣に報告・相談しても意味がな い ―51% <参考>経営者とのコミュニケーション Copyright ©LAC Co., Ltd. All Rights Reserved
  21. 21. これからは、こうあって欲しい・・・ ・経営陣に、情報セキュリティ活動のビジネスメリットを 説明できる。 ・やるべきことを、実現可能性を考慮したうえで優先順位 をつけ、計画・実行できる。 ・ICTの利活用と、情報セキュリティを自ら実践できる。 ・組織の利益や利用者の利便性を優先する。 21 情報セキュリ ティ対策の経営 における効果 Copyright ©LAC Co., Ltd. All Rights Reserved
  22. 22. セキュリティ監視と不正通信の洗い出し 事件・事故前提の組織体制構築、 社員や職員の意識改革と教育 事故対応チームの組織化 事件発生を見越した演習 22 <参考>サイバー攻撃対策の実施順序の例 Copyright ©LAC Co., Ltd. All Rights Reserved 「日本年金機構の情報漏えい事件から得られる教訓」~ラック、2015年6月9日 http://www.lac.co.jp/security/report/pdf/20150609_apt_j001t.pdf
  23. 23. 経済産業省「情報セキュリティ人材の育成指標等の策定事業」2013年7月 http://www.meti.go.jp/policy/it_policy/jinzai/24freport5.pdf ITSS/ETSS/UTSSの 情報セキュリティに関す る11の専門分野/職種で 求められる能力・知識・ 経験、キャリアパスモデ ル、役立つ認定資格、育 成のポイントを紹介。 23 Copyright ©LAC Co., Ltd. All Rights Reserved 5年後、10年後 のキャリアプラ ンは? <参考>「情報セキュリティ人材のモデルキャリア」 将来を読み、キャリアプランを立てる
  24. 24. CIO/CISO CIO/CISO補佐 セキュリティアーキテクト セキュリティコンサルタント セキュリティストラジテスト セキュリティ監査人 セキュリティオペレーター プログラマー リーダー メンバー 品質管理者 セキュリティアナリスト チーム 24 24 Copyright ©LAC Co., Ltd. All Rights Reserved. <参考>キャリアパスモデルのイメージ例 どんなキャリア パスがあるの か?
  25. 25. CSIRTの組織モデル(例) CSO/CISO補佐 (室長) オペレーター セキュリティアナリスト フォレンジックアナリスト インシデントハンドラー CSIRTチーム CSO/CISO補佐 (室長) 経営企画 オペレーター セキュリティアナリスト フォレンジックアナリスト インシデントハンドラー CSIRTチーム <参考>組織モデルのイメージ例 25 Copyright ©LAC Co., Ltd. All Rights Reserved 組織における 「役割」は何?
  26. 26. -将来も通用するセキュリティエンジニアのスキルとは- 将来も通用する人材になるために
  27. 27. 従来の学習方法でいいの? •独学?社内でOJT? –「独学」とは、『孤独』な学習であり、『独善的』な学習でもあ る。OJTトレーナーは、ふさわしい人なのか? •実践的な知識と技術を学び、それを実際に使ってみて磨い ていくしかない! – 実際に考えてみるしかない – 実際にやってみるしかない – 実際に失敗してみるしかない 27 そんな教育 できてますか? Copyright ©LAC Co., Ltd. All Rights Reserved
  28. 28. 本人の自由意思による参加。 最新のサイバー攻撃を体感し、現状のスキル を、実業務に生かせるスキルにする目的。 緊急時において、今までの知識や技術を生か して適切かつ迅速に判断・対応できるのか。 チャレンジできる場を与え、スキル維持・向 上を支援する。 ~日経ITpro http://itpro.nikkeibp.co.jp/article/NE WS/20140602/560762/ <事例>「LACサバイバルチャレンジ」 28 Copyright ©LAC Co., Ltd. All Rights Reserved
  29. 29. ・攻撃手 ・ECユーザ役 ・外部情報 サイト運用役 ・受講生への 技術支援 講師 全体進行 スタッフへの指示 チームへのアドバイス インシデント対応の相手先である 各ステークホルダの役割を演じる (社長や他社員、顧客、役所、 仕入先、取引先、一般市民等 いろいろ) スタッフ チームA チームB チームC チームD EC、物流、Web等 全システム・NW設備 報告、連絡、 相談、依頼、 指示、会見等々 <事例>「サバイバルチャレンジ」の演習イメージ http://www.lac.co.jp/corporate/citizen ship/lac_survival_challenge.html 29
  30. 30. <参考>教育の効果測定 30 レベル 名 称 概 要 効果対象 1 反応 受講者の反応 受講者 2 学習 学習到達度 3 行動変容 実務での活用度 4 ビジネスインパク ト 組織貢献度 組織 5 ROI 投資収益率 ~「人材開発マネジメントブック」福澤英弘、日本経済新聞出版 「ROIモデル」~ジャック・フィリップス 評価や効果測定の例。 「反応」「学 習」で、終 わっていませ んか? Copyright ©LAC Co., Ltd. All Rights Reserved 「わかる」ではなく 「できる」が必要。
  31. 31. まとめ •将来も通用するのは、情報セキュリティの最新の 「知識」や「技術」を持ち、さらに市場のニーズと 環境の変化に自律的に適応し続けることができる人 材。 •育成のため、生かすための体制や環境整備も必要。 – 「強い者が生き残ったわけではない。賢い者が生き 残ったわけでもない。変化に対応した者が生き残った のだ」 ~「進化論」、チャールズ・ダーウィン – 「現状維持では、後退するばかりである」 ~ ウォルト・ディズニー 31 31 Copyright ©LAC Co., Ltd. All Rights Reserved
  32. 32. Thank you. Any Questions ? 株式会社ラック 〒102-0093 東京都千代田区平河町2-16-1 平河町森タワー Tel 03-6757-0113 Fax 03-6757-0193 www.lac.co.jp ※ この講演における発言、及び資料の内 容は、個人の見解であり、所属する企業や 団体を代表するものではありません。

×