SlideShare a Scribd company logo

~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?

グローバルセキュリティエキスパート株式会社(GSX)
グローバルセキュリティエキスパート株式会社(GSX)

2018年5月22日(火) 開催 ~2018年度 サイバーセキュリティ対策の潮流は『シフトレフト』へ~ 昨今のセキュリティインシデントを紐解くと見えてくる、脆弱性管理の重要性 せミナーより 企業がセキュリティ課題に取り組み、"自ら"解決する手法が何故必要なのだろうか…?昨今の市場背景を含め、 "自ら"解決する一つの手法として、セキュリティに必要な要素がすべて詰まっているCND(認定ネットワークディフェンダー)と攻撃者視点を応用し防御に役立てるCEH(認定ホワイトハッカー)コースウェアについてご紹介します。

Education
1 of 50
Download to read offline
グローバルセキュリティエキスパート株式会社 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. ~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれて いるのだろうか? 0
Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 1 ◼ セキュリティ人材不足の背景 ◼ セキュリティ人材不足って本当? ◼ セキュリティ人材とは? ◼ EC-Councilトレーニングコースの紹介 本日のアジェンダ
なぜ、今、 サイバーセキュリティが 注目されているのか Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 2 はじめに
Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 3 はじめに
Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 4 はじめに
セキュリティ人材不足の背景 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 5
環境の変化~セキュリティ人材不足の背景~ Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 6
多岐にわたる攻撃ターゲット Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 7 ネットワークにつながっているものすべて
多岐にわたる攻撃ターゲット Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 8
Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 9 不正侵入検知・防止 サーバ DMZ 公開Webサーバ SMTP,DNS等 その他公開サーバ Firewall 今まで サーバに対する攻撃、 社外から直接侵入を試みる攻撃 イントラネットイントラネット File Server 認証サーバ(Active Directoryなど) 開発サーバ 従業員PC 無線LAN AP プリンタースマート タブレット 現在 Firewallで許可されている通信 (メールなど)を使用して内部に 入り込む攻撃 社内DB 攻撃ターゲットの変化
日本を対象とした不審なアクセス件数の増加 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 10 ※ 出典元:NICTER 観測レポート 2017(NICT:情報通信研究機構。産学官で連携した情報通信技術の開発を目的とする独立行政法人) http://www.nict.go.jp/cyber/report/NICTER_report_2017.pdf 年 年間総件数 観測IP数 1IPあたり 1IP/1日 2010 約56.5億 約12万 50,128 約137件 2011 約45.4億 約12万 40,654 約111件 2012 約77.9億 約19万 53,085 約145件 2013 約128.8億 約21万 63,655 約174件 2014 約256.6億 約24万 106,916 約293件 2015 約545.1億 約28万 213,523 約585件 2016 約1,281億 約30万 469,104 約1,285件 2017 約1,504億 約30万 559,125 約1,532件 56.5 77.9 256.6 545.1 1281 1532 2010年 2012年 2014年 2015年 2016年 2017年 年間総件数 IoTデバイスに対する不審なアクセス数の増加 2015年26%→2016年、2017年は50%以上
セキュリティ人材不足の背景 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 11
Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 12 愉快犯 ハクティビズム サイバー クライム サイバー エスピオナージ サイバー ウォーフォー 世間を騒がせるため 多くのPCを感染することを目的にウィルスを作成し世間を騒がせて楽しむ 愉快犯の事例:Melissaワーム、I Love Youワーム 金銭目的の攻撃(詐欺犯等) 例:オンラインバンキングを悪用した不正送金、クーポン搾取のための不正ログ イン攻撃 等 思想犯。自らの主義主張のために攻撃を行う 例:Anonymousを名乗るグループによるSONYへの攻撃。 尖閣諸島に関する抗議活動としてJPドメインに対する攻撃 国家間のサイバー攻撃。いわゆるサイバー空間上の戦争 例:Stuxnetによるイラン原子力発電所の遠心分離器への攻撃 産業スパイ。特定の企業の機密情報を搾取するために行う 例:三菱重工が社内情報を搾取された事件、衆議院議員のパスワード漏洩事件 攻撃目的の多様化
セキュリティ人材不足の背景:まとめ Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 13 攻撃者の目的の変化:金儲け(ビジネス)、確固たる信 念で攻撃する 大前提:生活の変化 インターネットは人々のライフラインに! 攻撃先の変化:数少ないサーバではなくネットワークに つながるものすべて 攻撃件数の増加:ネットワークにつながるモノが増えた から、攻撃が儲かるから
セキュリティ人材不足って本当? Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 14
Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 15 順位 内容 昨年比 1 標的型攻撃による情報流出 - 2 ランサムウェアによる被害 - 3 ビジネスメール詐欺 NEW 4 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加 NEW 5 セキュリティ人材の不足 NEW 6 ウェブサービスからの個人情報の窃取(昨年3位) ↓ 7 IoT機器の脆弱性の顕在化(昨年8位) ↑ 8 内部不正による情報漏えい(昨年5位) ↓ 9 サービス妨害攻撃によるサービスの停止(昨年4位) ↓ 10 犯罪のビジネス化(アンダーグラウンドサービス:昨年9位) ↓ 出典元:情報セキュリティ10大脅威2018 https://www.ipa.go.jp/security/vuln/10threats2018.html セキュリティ人材不足って本当? 情報セキュリティ10大脅威 2018 by IPA(組織別)
8万人不足!?20万人不足? Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 16 必要なスキルを持っている 10.5万人 31% スキルが不十分 15.9万人 46% スキルなし 8.1万人 23% 必要なセキュリティ人材:34.5万人 出典元:情報セキュリティ人材に関する追加分析(情報セキュリティ人材の育成に関する基礎調査(平成24年4月)の追加分析)by IPA https://www.ipa.go.jp/files/000040646.pdf 情報セキュリティ人材に関する追加分析(2012年)
8万人不足!?20万人不足? Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 17 4.2 万人 23.9万人 13.2 万人 出典元:IT人材の最新動向と将来推計に関する調査結果(平成28年6月) by 経済産業省 http://www.meti.go.jp/policy/it_policy/jinzai/27FY/ITjinzai_report_summary.pdf 4.9 万人 27.3万人 16.1万人 5.6 万人 31.5万人 19.3万人 IT企業の セキュリティ人材 ユーザ企業の セキュリティ人材 不足している セキュリティ人材 2016年 41.3万人 2018年 (予測) 48.4万人 2020年 (予測) 56.4万人 IT人材の最新動向と将来推計に関する調査結果 (2016年)
8万人不足!?20万人不足? Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 18 4.2 万人 23.9万人 13.2 万人 出典元:IT人材の最新動向と将来推計に関する調査結果(平成28年6月) by 経済産業省 http://www.meti.go.jp/policy/it_policy/jinzai/27FY/ITjinzai_report_summary.pdf 4.9 万人 27.3万人 16.1万人 5.6 万人 31.5万人 19.3万人 IT企業の セキュリティ人材 ユーザ企業の セキュリティ人材 不足している セキュリティ人材 2016年 41.3万人 2018年 (予測) 48.4万人 2020年 (予測) 56.4万人 IT人材の最新動向と将来推計に関する調査結果 (2016年) ユーザ企業 ◼ 半数以上が自社向けの人材の量的不足を訴えている ◼ 大半が自社向けの情報セキュリティ人材のキャリアパスが考慮され ていない セキュリティベンダー ◼ 全体的に不足しているが、特に、検査・監査系業務とコンサ ル業務が量的に不足 ◼ 不足の原因はほしい人材が来ない(企業側ニーズと人材のミスマッチ)
1. スキルがない人材 2. スキルが不十分な人材 3. スキルが十分な人材 セキュリティ人材不足:まとめ Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 19 1. ユーザ企業のセキュリティ人材 2. IT企業のセキュリティ人材 3. セキュリティベンダーのセキュリティ人材 3つの企業体に分類 3つの段階に分類
セキュリティ人材とは? Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 20
Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 21 セキュリティ人材とは? 出典元:第4次産業革命に向けたIT人材育成とセキュリティ人材確保の重要性(経済産業省IT人材育成施策) 平成30年2月27日 経済産業省商務情報政策局 情報技術利用促進課 地域情報化人材育成推進室 ココ!
セキュリティ人材とは? Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 22 出典元:第4次産業革命に向けたIT人材育成とセキュリティ人材確保の重要性(経済産業省IT人材育成施策) 平成30年2月27日 経済産業省商務情報政策局 情報技術利用促進課 地域情報化人材育成推進室
セキュリティ人材とは? Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 23
Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 24 出典元:サイバーセキュリティ人材育成総合強化方針 http://www.nisc.go.jp/active/kihon/pdf/jinzai_kyoka_hoshin.pdf セキュリティ人材をまとめてみると
今後必要となるセキュリティ人材は 1. ホワイトハッカーのような高度セキュリティ技術者 2. 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 3. ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュリティ確保を管理する人材 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 25 出典元:経済産業省情報処理振興課 情報セキュリティ分野の人材ニーズについて 平成27年(2015年)3月 http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/it_jinzai_wg/pdf/002_03_00.pdf 必要な3つの情報セキュリティ人材像
必要な3つの情報セキュリティ人材像 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 26 出典元:経済産業省情報処理振興課 情報セキュリティ分野の人材ニーズについて 平成27年(2015年)3月 http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/it_jinzai_wg/pdf/002_03_00.pdf 今後必要となるセキュリティ人材は 1. ホワイトハッカーのような高度セキュリティ技術者 2. 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 3. ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュリティ確保を管理する人材
必要な3つの情報セキュリティ人材像 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 27 出典元:経済産業省情報処理振興課 情報セキュリティ分野の人材ニーズについて 平成27年(2015年)3月 http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/it_jinzai_wg/pdf/002_03_00.pdf 典型的な人材像 業務部門セキュリティ管理者 業務部門において、 普段は総務や企画を担当しつつ、 情報セキュリティトラブルの発生時に は部門長やセキュリティ技術者と連携 して被害の最小化を図る 典型的な人材像: セキュリティ技術者 情報セキュリティ分野を専門とするIT技 術者であり、 情報システムのセキュリティ機能を実 装し、 また、情報セキュリティ技術の専門家 として情報セキュリティ管理を支援す る 今後必要となるセキュリティ人材は 1. ホワイトハッカーのような高度セキュリティ技術者 2. 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 3. ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュリティ確保を管理する人材
必要な3つの情報セキュリティ人材像 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 28 出典元:経済産業省情報処理振興課 情報セキュリティ分野の人材ニーズについて 平成27年(2015年)3月 http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/it_jinzai_wg/pdf/002_03_00.pdf
Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 29 セキュリティ人材をまとめてみると 1. ホワイトハッカーのような高度セキュリティ技術者 セキュリティベンダ 高度セキュリティ技術者(ホワイトハッカー) 2. 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 セキュリティベンダ セキュリティ製品・ツールの開発者 セキュリティ監視・運用サービス提供者 ITベンダ(SIer等) 製品・サービスにセキュリティを実装する技術者 ユーザ企業 自社の製品・サービスにセキュリティを実装する技術者 3. ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュ リティ確保を管理する人材 ユーザ企業 全社の情報セキュリティ管理者 部門の情報セキュリティ管理者
Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 30 セキュリティ人材をまとめてみると セキュリティベンダ ◼ ホワイトハッカーのような高度セキュリティ技術者 ◼ 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 ✓ セキュリティ製品・ツール開発者、セキュリティ監視・運用サービス提供者 ITベンダ(SIer等) ◼ 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 ✓ 製品・サービスにセキュリティを実装する技術者 ユーザ企業 ◼ 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 ✓ 自社の製品・サービスにセキュリティを実装する技術者 ◼ ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュリ ティ確保を管理する人材 ✓ 全社の情報セキュリティ管理者、部門の情報セキュリティ管理者
EC-Councilトレーニングコースの紹介 Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 31
今後必要な3つの情報セキュリティ人材像 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 32 出典元:経済産業省情報処理振興課 情報セキュリティ分野の人材ニーズについて 平成27年(2015年)3月 http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/it_jinzai_wg/pdf/002_03_00.pdf 典型的な人材像 業務部門セキュリティ管理者 業務部門において、 普段は総務や企画を担当しつつ、 情報セキュリティトラブルの発生時に は部門長やセキュリティ技術者と連携 して被害の最小化を図る 典型的な人材像: セキュリティ技術者 情報セキュリティ分野を専門とするIT技 術者であり、 情報システムのセキュリティ機能を実 装し、 また、情報セキュリティ技術の専門家 として情報セキュリティ管理を支援す る 今後必要となるセキュリティ人材は 1. ホワイトハッカーのような高度セキュリティ技術者 2. 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 3. ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュリティ確保を管理する人材
今後必要な3つの情報セキュリティ人材像 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 33 出典元:経済産業省情報処理振興課 情報セキュリティ分野の人材ニーズについて 平成27年(2015年)3月 http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/it_jinzai_wg/pdf/002_03_00.pdf
EC-Councilのトレーニングコースは Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 34 むしろ
座学ONLYの限界 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 35 ⚫ 1度聞いた・読んだだけでは記憶に定着しない (すぐ忘れる) ⚫ 再度、記憶するために必要な時間は初めて記憶してから時間の経過とと もにかかるようになる 出典元:忘却曲線 (エビングハウスの忘却曲線) https://ja.wikipedia.org/wiki/%E5%BF%98%E5%8D%B4%E6%9B%B2%E7%B7%9A 初めて記憶してからの 経過時間 再記憶に必要な労力 (初めて記憶するために必要だった労力を100とした場合) 20分経過後 58%の労力が必要 1時間経過後 44% 1日経過後 26% 1か月経過後 21% つまり ほとんど変わらない
EC-Council社のトレーニングの特徴 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 36
コース紹介 Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 37 - Certified Network Defender -
CNDコース一覧 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 38 1. コンピュータネットワークと防衛の基礎 2. ネットワークセキュリティの脅威、脆弱性、攻撃 3. ネットワークセキュリティのコントロール、プロトコル、デ バイス 4. ネットワークセキュリティーポリシーのデザインと実装 5. 物理セキュリティ 6. ホストセキュリティ 7. ファイアウォールの安全な構成と管理 8. IDSの安全な構成と管理 9. VPNの安全な構成と管理 10. 無線ネットワークの防御 11. ネットワークトラフィックのモニタリングと分析 12. ネットワークリスクと脆弱性の管理 13. データのバックアップとリカバリ 14. ネットワークインシデント対応と管理 イントロ 防御 検出と分析 対応
CNDコース一覧 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 39 1. コンピュータネットワークと防衛の基礎 2. ネットワークセキュリティの脅威、脆弱性、攻撃 3. ネットワークセキュリティのコントロール、プロトコル、デ バイス 4. ネットワークセキュリティーポリシーのデザインと実装 5. 物理セキュリティ 6. ホストセキュリティ 7. ファイアウォールの安全な構成と管理 8. IDSの安全な構成と管理 9. VPNの安全な構成と管理 10. 無線ネットワークの防御 11. ネットワークトラフィックのモニタリングと分析 12. ネットワークリスクと脆弱性の管理 13. データのバックアップとリカバリ 14. ネットワークインシデント対応と管理 イントロ 防御 検出と分析 対応 実習:ネットワークコマンドの復習 実習:ディスクの暗号化、SSLサーバ構築 実習:ポリシー設定 実習:セキュリティチェック、ログ収集・監視・分析 実習: Firewallの構築 実習: IDS,ハニーポットの構築 実習:トラフィックキャプチャ、フィルタリング、監視、検出 実習:ネットワーク監査、脆弱性スキャン 実習:バックアップ&リカバリ
CNDで得られるスキル Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 40 ◼ セキュリティ機能の実装および管理を支援 ◼ セキュリティ侵害を検知し、適切なインシデントレスポン スを技術的な面から支援 防御 検出 対応 ◼ 脅威、脆弱性を分析・評価でき、リスクを適切に回避する 機能の企画、要件定義、開発を推進・支援 ✓ セキュリティポリシー、ルール作り ✓ 調達時、必要な情報セキュリティ要件をまとめられる ✓ 様々な重要リソースを各重要度やリスクを踏まえて管理できる ✓ 人員の業務に合わせたセキュリティの重要性を教育できる ✓ 業務を委託する際、委託先における情報セキュリティ対策の実施状況を確 認し指導できる
こんな方は受講をおすすめします Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 41 CSIRT担当になった/なりたい セキュリティ対策、何をすればよいのかわか らない どこまで対策すればよいのかわからない • 適正な予算・技術がわからない 体系的にネットワークセキュリティを学びた い
なぜEC-Councilのトレーニングコースが必要なのか? Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 42 - Certified Ethical Hacker -
敵を知り、己を知れば百戦危うからず Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 43 Know yourself as well as your enemy.
10.セッションハイ ジャック CEHコース&実習 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 44 2.フット プリンティング 3.ネットワークの スキャン 4.列挙 5.システムの ハッキング 6.マルウェアの脅威 7.スニッフィング 8.ソーシャル エンジニアリング 9.DoS攻撃 1.ホワイトハッキング の紹介 11.Webサーバの ハッキング 12.Webアプリケーショ ンのハッキング 13.SQL インジェクション 14.ワイヤレスネット ワークのハッキング 15.モバイルプラット フォームのハッキング 16.IDS・FW・ハニー ポットの回避 17.クラウド コンピューティング 18.暗号技術
10.セッションハイ ジャック CEHコース&実習 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 45 2.フット プリンティング 3.ネットワークの スキャン 4.列挙 5.システムの ハッキング 6.マルウェアの脅威 7.スニッフィング 8.ソーシャル エンジニアリング 9.DoS攻撃 1.ホワイトハッキング の紹介 11.Webサーバの ハッキング 12.Webアプリケーショ ンのハッキング 13.SQL インジェクション 14.ワイヤレスネット ワークのハッキング 15.モバイルプラット フォームのハッキング 16.IDS・FW・ハニー ポットの回避 17.クラウド コンピューティング 18.暗号技術 Webサイト の解析・ミラーリング パケット作成、 ネットワークスキャン SuperScan,Hynaを 使用したスキャン 権限昇格、 ステガノグラフィ 感染・遠隔操作 スニッフィング&中間 者攻撃(Wireshark, Cain&Abel) フィッシングサイト作 成と認証情報搾取(SET) ツールを使ったDoS攻 撃の実行と検知 セッション ハイジャック ShellShockの悪用、 パスワード辞書攻撃 XSS、WordPress/DVWA 脆弱性の悪用 ノーマルSQL/ブライン ドSQLインジェクション Aircrak-ngを 使ったハッキング ペイロードの作成、 モバイルDoS攻撃 HTTP/FTPトンネリング でFirewallのバイパス Owncloudを使った クラウド環境の構築 Heartbleedの 脆弱性の悪用
CEHで得られるスキル Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 46 • ネットワークの仕組み・OSの仕組み・アプリケーションの 仕組みなど基盤の広い知識と経験 • ひとつひとつのツールの動作原理:攻撃原理を理解 • 防御側のテクニックを理解 • 攻撃ツールや手法を組みわせて、防御側の想定範囲を超え た攻撃の学習 • 運用の穴を狙う知識(システムに隙がない場合) • ソーシャルエンジニアリングの活用術
こんな方は受講をおすすめします Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 47 実攻撃を受けた場合、証拠保全をしながら 初動対応をする方法がわからない ファイアウォールやアンチウィルスなどの製品には 詳しい&防御のHow Toは知っているが・・・・・ 攻撃者の具体的な手口はわからない 自分で攻撃するスキルは無い (手動ペネトレーションテストはできない)
まとめ Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 48 今後必要な3つの情報セキュリティ人材 敵を知り己を知れば百選危うからず 攻撃側の手口を知るホワイトハッ カーを企業内に配置し、攻撃側の手 口を知ることで、より速く正確な判 断が可能 1.ホワイトハッカーのような高度セキュリティ技術者 2. 安全な情報システムを作るために必要なセキュリティ技術を身に着 けた人材 3. ユーザ企業において社内セキュリティ技術者と連携して企業の情報 セキュリティ確保を管理する人材 自組織に合った対策手法を導入し、 費用対効果を高めることが可能。 自組織に合ったインシデントレスポ ンスを導入し、被害を最小限に抑え ることが可能。
Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved.

Recommended

110518_本気で考える! I T人財育成研究部会 討議資料
110518_本気で考える! I T人財育成研究部会 討議資料110518_本気で考える! I T人財育成研究部会 討議資料
110518_本気で考える! I T人財育成研究部会 討議資料kashima yasuyuki
 
あなたはPO?PM?PdM?PjM?
あなたはPO?PM?PdM?PjM?あなたはPO?PM?PdM?PjM?
あなたはPO?PM?PdM?PjM?
大貴 蜂須賀
 
世界一わかりやすいClean Architecture
世界一わかりやすいClean Architecture世界一わかりやすいClean Architecture
世界一わかりやすいClean Architecture
Atsushi Nakamura
 
[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功
[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功
[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功
CODE BLUE
 
Iocコンテナについて
IocコンテナについてIocコンテナについて
Iocコンテナについて
Akio Terayama
 
サイボウズのフロントエンド開発 現在とこれからの挑戦
サイボウズのフロントエンド開発 現在とこれからの挑戦サイボウズのフロントエンド開発 現在とこれからの挑戦
サイボウズのフロントエンド開発 現在とこれからの挑戦
Teppei Sato
 
MongoDBが遅いときの切り分け方法
MongoDBが遅いときの切り分け方法MongoDBが遅いときの切り分け方法
MongoDBが遅いときの切り分け方法
Tetsutaro Watanabe
 
PHPとシグナル、その裏側
PHPとシグナル、その裏側PHPとシグナル、その裏側
PHPとシグナル、その裏側
do_aki
 

Recommended

110518_本気で考える! I T人財育成研究部会 討議資料
110518_本気で考える! I T人財育成研究部会 討議資料110518_本気で考える! I T人財育成研究部会 討議資料
110518_本気で考える! I T人財育成研究部会 討議資料kashima yasuyuki
 
あなたはPO?PM?PdM?PjM?
あなたはPO?PM?PdM?PjM?あなたはPO?PM?PdM?PjM?
あなたはPO?PM?PdM?PjM?
大貴 蜂須賀
 
世界一わかりやすいClean Architecture
世界一わかりやすいClean Architecture世界一わかりやすいClean Architecture
世界一わかりやすいClean Architecture
Atsushi Nakamura
 
[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功
[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功
[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功
CODE BLUE
 
Iocコンテナについて
IocコンテナについてIocコンテナについて
Iocコンテナについて
Akio Terayama
 
サイボウズのフロントエンド開発 現在とこれからの挑戦
サイボウズのフロントエンド開発 現在とこれからの挑戦サイボウズのフロントエンド開発 現在とこれからの挑戦
サイボウズのフロントエンド開発 現在とこれからの挑戦
Teppei Sato
 
MongoDBが遅いときの切り分け方法
MongoDBが遅いときの切り分け方法MongoDBが遅いときの切り分け方法
MongoDBが遅いときの切り分け方法
Tetsutaro Watanabe
 
PHPとシグナル、その裏側
PHPとシグナル、その裏側PHPとシグナル、その裏側
PHPとシグナル、その裏側
do_aki
 
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptxネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
Shota Shinogi
 
ドキュメントを作りたくなってしまう魔法のツールSphinx
ドキュメントを作りたくなってしまう魔法のツールSphinxドキュメントを作りたくなってしまう魔法のツールSphinx
ドキュメントを作りたくなってしまう魔法のツールSphinx
Takayuki Shimizukawa
 
エンジニアのプレゼン資料作成/入門
エンジニアのプレゼン資料作成/入門エンジニアのプレゼン資料作成/入門
エンジニアのプレゼン資料作成/入門
iKenji
 
ドメイン駆動設計サンプルコードの徹底解説
ドメイン駆動設計サンプルコードの徹底解説ドメイン駆動設計サンプルコードの徹底解説
ドメイン駆動設計サンプルコードの徹底解説
増田 亨
 
ソースコードの品質向上のための効果的で効率的なコードレビュー
ソースコードの品質向上のための効果的で効率的なコードレビューソースコードの品質向上のための効果的で効率的なコードレビュー
ソースコードの品質向上のための効果的で効率的なコードレビューMoriharu Ohzu
 
コンセプトから理解するGitコマンド
コンセプトから理解するGitコマンドコンセプトから理解するGitコマンド
コンセプトから理解するGitコマンド
ktateish
 
Raspberry Pi + Go で IoT した話
Raspberry Pi + Go で IoT した話Raspberry Pi + Go で IoT した話
Raspberry Pi + Go で IoT した話
yaegashi
 
いまさら聞けないパスワードの取り扱い方
いまさら聞けないパスワードの取り扱い方いまさら聞けないパスワードの取り扱い方
いまさら聞けないパスワードの取り扱い方
Hiroshi Tokumaru
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
 
データサイエンティスト養成読本の解説+書き忘れたこと
データサイエンティスト養成読本の解説+書き忘れたことデータサイエンティスト養成読本の解説+書き忘れたこと
データサイエンティスト養成読本の解説+書き忘れたこと
Tokoroten Nakayama
 
レベルを上げて物理で殴れ、Fuzzing入門 #pyfes
レベルを上げて物理で殴れ、Fuzzing入門 #pyfesレベルを上げて物理で殴れ、Fuzzing入門 #pyfes
レベルを上げて物理で殴れ、Fuzzing入門 #pyfesTokoroten Nakayama
 
Goのサーバサイド実装におけるレイヤ設計とレイヤ内実装について考える
Goのサーバサイド実装におけるレイヤ設計とレイヤ内実装について考えるGoのサーバサイド実装におけるレイヤ設計とレイヤ内実装について考える
Goのサーバサイド実装におけるレイヤ設計とレイヤ内実装について考える
pospome
 
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
Hiroshi Tokumaru
 
System.Drawing 周りの話
System.Drawing 周りの話System.Drawing 周りの話
System.Drawing 周りの話
Satoru Fujimori
 
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
mosa siru
 
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Foundation Japan
 
オブジェクト指向できていますか?
オブジェクト指向できていますか?オブジェクト指向できていますか?
オブジェクト指向できていますか?Moriharu Ohzu
 
サーバーが完膚なきまでに死んでもMySQLのデータを失わないための表技
サーバーが完膚なきまでに死んでもMySQLのデータを失わないための表技サーバーが完膚なきまでに死んでもMySQLのデータを失わないための表技
サーバーが完膚なきまでに死んでもMySQLのデータを失わないための表技
yoku0825
 
オブジェクト指向エクササイズのススメ
オブジェクト指向エクササイズのススメオブジェクト指向エクササイズのススメ
オブジェクト指向エクササイズのススメYoji Kanno
 
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
 
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
グローバルセキュリティエキスパート株式会社(GSX)
 

More Related Content

What's hot

ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptxネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
Shota Shinogi
 
ドキュメントを作りたくなってしまう魔法のツールSphinx
ドキュメントを作りたくなってしまう魔法のツールSphinxドキュメントを作りたくなってしまう魔法のツールSphinx
ドキュメントを作りたくなってしまう魔法のツールSphinx
Takayuki Shimizukawa
 
エンジニアのプレゼン資料作成/入門
エンジニアのプレゼン資料作成/入門エンジニアのプレゼン資料作成/入門
エンジニアのプレゼン資料作成/入門
iKenji
 
ドメイン駆動設計サンプルコードの徹底解説
ドメイン駆動設計サンプルコードの徹底解説ドメイン駆動設計サンプルコードの徹底解説
ドメイン駆動設計サンプルコードの徹底解説
増田 亨
 
ソースコードの品質向上のための効果的で効率的なコードレビュー
ソースコードの品質向上のための効果的で効率的なコードレビューソースコードの品質向上のための効果的で効率的なコードレビュー
ソースコードの品質向上のための効果的で効率的なコードレビューMoriharu Ohzu
 
コンセプトから理解するGitコマンド
コンセプトから理解するGitコマンドコンセプトから理解するGitコマンド
コンセプトから理解するGitコマンド
ktateish
 
Raspberry Pi + Go で IoT した話
Raspberry Pi + Go で IoT した話Raspberry Pi + Go で IoT した話
Raspberry Pi + Go で IoT した話
yaegashi
 
いまさら聞けないパスワードの取り扱い方
いまさら聞けないパスワードの取り扱い方いまさら聞けないパスワードの取り扱い方
いまさら聞けないパスワードの取り扱い方
Hiroshi Tokumaru
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
 
データサイエンティスト養成読本の解説+書き忘れたこと
データサイエンティスト養成読本の解説+書き忘れたことデータサイエンティスト養成読本の解説+書き忘れたこと
データサイエンティスト養成読本の解説+書き忘れたこと
Tokoroten Nakayama
 
レベルを上げて物理で殴れ、Fuzzing入門 #pyfes
レベルを上げて物理で殴れ、Fuzzing入門 #pyfesレベルを上げて物理で殴れ、Fuzzing入門 #pyfes
レベルを上げて物理で殴れ、Fuzzing入門 #pyfesTokoroten Nakayama
 
Goのサーバサイド実装におけるレイヤ設計とレイヤ内実装について考える
Goのサーバサイド実装におけるレイヤ設計とレイヤ内実装について考えるGoのサーバサイド実装におけるレイヤ設計とレイヤ内実装について考える
Goのサーバサイド実装におけるレイヤ設計とレイヤ内実装について考える
pospome
 
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
Hiroshi Tokumaru
 
System.Drawing 周りの話
System.Drawing 周りの話System.Drawing 周りの話
System.Drawing 周りの話
Satoru Fujimori
 
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
mosa siru
 
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Foundation Japan
 
オブジェクト指向できていますか?
オブジェクト指向できていますか?オブジェクト指向できていますか?
オブジェクト指向できていますか?Moriharu Ohzu
 
サーバーが完膚なきまでに死んでもMySQLのデータを失わないための表技
サーバーが完膚なきまでに死んでもMySQLのデータを失わないための表技サーバーが完膚なきまでに死んでもMySQLのデータを失わないための表技
サーバーが完膚なきまでに死んでもMySQLのデータを失わないための表技
yoku0825
 
オブジェクト指向エクササイズのススメ
オブジェクト指向エクササイズのススメオブジェクト指向エクササイズのススメ
オブジェクト指向エクササイズのススメYoji Kanno
 
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
 

What's hot (20)

ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptxネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
 
ドキュメントを作りたくなってしまう魔法のツールSphinx
ドキュメントを作りたくなってしまう魔法のツールSphinxドキュメントを作りたくなってしまう魔法のツールSphinx
ドキュメントを作りたくなってしまう魔法のツールSphinx
 
エンジニアのプレゼン資料作成/入門
エンジニアのプレゼン資料作成/入門エンジニアのプレゼン資料作成/入門
エンジニアのプレゼン資料作成/入門
 
ドメイン駆動設計サンプルコードの徹底解説
ドメイン駆動設計サンプルコードの徹底解説ドメイン駆動設計サンプルコードの徹底解説
ドメイン駆動設計サンプルコードの徹底解説
 
ソースコードの品質向上のための効果的で効率的なコードレビュー
ソースコードの品質向上のための効果的で効率的なコードレビューソースコードの品質向上のための効果的で効率的なコードレビュー
ソースコードの品質向上のための効果的で効率的なコードレビュー
 
コンセプトから理解するGitコマンド
コンセプトから理解するGitコマンドコンセプトから理解するGitコマンド
コンセプトから理解するGitコマンド
 
Raspberry Pi + Go で IoT した話
Raspberry Pi + Go で IoT した話Raspberry Pi + Go で IoT した話
Raspberry Pi + Go で IoT した話
 
いまさら聞けないパスワードの取り扱い方
いまさら聞けないパスワードの取り扱い方いまさら聞けないパスワードの取り扱い方
いまさら聞けないパスワードの取り扱い方
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
 
データサイエンティスト養成読本の解説+書き忘れたこと
データサイエンティスト養成読本の解説+書き忘れたことデータサイエンティスト養成読本の解説+書き忘れたこと
データサイエンティスト養成読本の解説+書き忘れたこと
 
レベルを上げて物理で殴れ、Fuzzing入門 #pyfes
レベルを上げて物理で殴れ、Fuzzing入門 #pyfesレベルを上げて物理で殴れ、Fuzzing入門 #pyfes
レベルを上げて物理で殴れ、Fuzzing入門 #pyfes
 
Goのサーバサイド実装におけるレイヤ設計とレイヤ内実装について考える
Goのサーバサイド実装におけるレイヤ設計とレイヤ内実装について考えるGoのサーバサイド実装におけるレイヤ設計とレイヤ内実装について考える
Goのサーバサイド実装におけるレイヤ設計とレイヤ内実装について考える
 
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
 
System.Drawing 周りの話
System.Drawing 周りの話System.Drawing 周りの話
System.Drawing 周りの話
 
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
 
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
 
オブジェクト指向できていますか?
オブジェクト指向できていますか?オブジェクト指向できていますか?
オブジェクト指向できていますか?
 
サーバーが完膚なきまでに死んでもMySQLのデータを失わないための表技
サーバーが完膚なきまでに死んでもMySQLのデータを失わないための表技サーバーが完膚なきまでに死んでもMySQLのデータを失わないための表技
サーバーが完膚なきまでに死んでもMySQLのデータを失わないための表技
 
オブジェクト指向エクササイズのススメ
オブジェクト指向エクササイズのススメオブジェクト指向エクササイズのススメ
オブジェクト指向エクササイズのススメ
 
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
 

Similar to ~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?

なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
 
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
グローバルセキュリティエキスパート株式会社(GSX)
 
20200925 iret tech labo #2
20200925 iret tech labo #220200925 iret tech labo #2
20200925 iret tech labo #2
Toshiaki Aoike
 
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15) セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
Nobukazu Yoshioka
 
IoTセキュリティの課題
IoTセキュリティの課題IoTセキュリティの課題
IoTセキュリティの課題
Trainocate Japan, Ltd.
 
Security measures
Security measuresSecurity measures
Security measures
shusuke-ichikawa
 
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料][G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
Trainocate Japan, Ltd.
 
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
Trainocate Japan, Ltd.
 
【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件
【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件
【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件
Hibino Hisashi
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenter
Masakazu Kishima
 
(ISC)2 secure japan 2021 自動車のサイバーセキュリティアプローチ
(ISC)2 secure japan 2021 自動車のサイバーセキュリティアプローチ(ISC)2 secure japan 2021 自動車のサイバーセキュリティアプローチ
(ISC)2 secure japan 2021 自動車のサイバーセキュリティアプローチ
trmr
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
Tatsuo Kudo
 
見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威
Shiojiri Ohhara
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
Riotaro OKADA
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
Tomohiro Nakashima
 
セキュリティ業務の内製とチームメンバー育成
セキュリティ業務の内製とチームメンバー育成セキュリティ業務の内製とチームメンバー育成
セキュリティ業務の内製とチームメンバー育成
Toshiharu Sugiyama
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
 
"フルスタック"セキュリティ
"フルスタック"セキュリティ"フルスタック"セキュリティ
"フルスタック"セキュリティ
gree_tech
 
IoTセキュリティ概観 (供養)
IoTセキュリティ概観 (供養)IoTセキュリティ概観 (供養)
IoTセキュリティ概観 (供養)
trmr
 

Similar to ~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか? (20)

なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
 
20200925 iret tech labo #2
20200925 iret tech labo #220200925 iret tech labo #2
20200925 iret tech labo #2
 
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15) セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
 
IoTセキュリティの課題
IoTセキュリティの課題IoTセキュリティの課題
IoTセキュリティの課題
 
Security measures
Security measuresSecurity measures
Security measures
 
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料][G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
 
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
 
【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件
【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件
【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenter
 
(ISC)2 secure japan 2021 自動車のサイバーセキュリティアプローチ
(ISC)2 secure japan 2021 自動車のサイバーセキュリティアプローチ(ISC)2 secure japan 2021 自動車のサイバーセキュリティアプローチ
(ISC)2 secure japan 2021 自動車のサイバーセキュリティアプローチ
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
 
見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
 
セキュリティ業務の内製とチームメンバー育成
セキュリティ業務の内製とチームメンバー育成セキュリティ業務の内製とチームメンバー育成
セキュリティ業務の内製とチームメンバー育成
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
 
"フルスタック"セキュリティ
"フルスタック"セキュリティ"フルスタック"セキュリティ
"フルスタック"セキュリティ
 
IoTセキュリティ概観 (供養)
IoTセキュリティ概観 (供養)IoTセキュリティ概観 (供養)
IoTセキュリティ概観 (供養)
 

More from グローバルセキュリティエキスパート株式会社(GSX)

CEH(認定ホワイトハッカー)公式トレーニングのご紹介
CEH(認定ホワイトハッカー)公式トレーニングのご紹介CEH(認定ホワイトハッカー)公式トレーニングのご紹介
CEH(認定ホワイトハッカー)公式トレーニングのご紹介
グローバルセキュリティエキスパート株式会社(GSX)
 
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
グローバルセキュリティエキスパート株式会社(GSX)
 
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
グローバルセキュリティエキスパート株式会社(GSX)
 
Micro Hardening:Enterprise Edition® のご紹介
Micro Hardening:Enterprise Edition® のご紹介Micro Hardening:Enterprise Edition® のご紹介
Micro Hardening:Enterprise Edition® のご紹介
グローバルセキュリティエキスパート株式会社(GSX)
 
CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介
CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介
CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介
グローバルセキュリティエキスパート株式会社(GSX)
 
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
グローバルセキュリティエキスパート株式会社(GSX)
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
グローバルセキュリティエキスパート株式会社(GSX)
 
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
グローバルセキュリティエキスパート株式会社(GSX)
 
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
グローバルセキュリティエキスパート株式会社(GSX)
 

More from グローバルセキュリティエキスパート株式会社(GSX) (9)

CEH(認定ホワイトハッカー)公式トレーニングのご紹介
CEH(認定ホワイトハッカー)公式トレーニングのご紹介CEH(認定ホワイトハッカー)公式トレーニングのご紹介
CEH(認定ホワイトハッカー)公式トレーニングのご紹介
 
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
 
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
 
Micro Hardening:Enterprise Edition® のご紹介
Micro Hardening:Enterprise Edition® のご紹介Micro Hardening:Enterprise Edition® のご紹介
Micro Hardening:Enterprise Edition® のご紹介
 
CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介
CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介
CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介
 
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
 
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
 
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
 

~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?

  • 1. グローバルセキュリティエキスパート株式会社 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. ~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれて いるのだろうか? 0
  • 2. Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 1 ◼ セキュリティ人材不足の背景 ◼ セキュリティ人材不足って本当? ◼ セキュリティ人材とは? ◼ EC-Councilトレーニングコースの紹介 本日のアジェンダ
  • 4. Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 3 はじめに
  • 5. Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 4 はじめに
  • 6. セキュリティ人材不足の背景 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 5
  • 8. 多岐にわたる攻撃ターゲット Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 7 ネットワークにつながっているものすべて
  • 9. 多岐にわたる攻撃ターゲット Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 8
  • 10. Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 9 不正侵入検知・防止 サーバ DMZ 公開Webサーバ SMTP,DNS等 その他公開サーバ Firewall 今まで サーバに対する攻撃、 社外から直接侵入を試みる攻撃 イントラネットイントラネット File Server 認証サーバ(Active Directoryなど) 開発サーバ 従業員PC 無線LAN AP プリンタースマート タブレット 現在 Firewallで許可されている通信 (メールなど)を使用して内部に 入り込む攻撃 社内DB 攻撃ターゲットの変化
  • 11. 日本を対象とした不審なアクセス件数の増加 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 10 ※ 出典元:NICTER 観測レポート 2017(NICT:情報通信研究機構。産学官で連携した情報通信技術の開発を目的とする独立行政法人) http://www.nict.go.jp/cyber/report/NICTER_report_2017.pdf 年 年間総件数 観測IP数 1IPあたり 1IP/1日 2010 約56.5億 約12万 50,128 約137件 2011 約45.4億 約12万 40,654 約111件 2012 約77.9億 約19万 53,085 約145件 2013 約128.8億 約21万 63,655 約174件 2014 約256.6億 約24万 106,916 約293件 2015 約545.1億 約28万 213,523 約585件 2016 約1,281億 約30万 469,104 約1,285件 2017 約1,504億 約30万 559,125 約1,532件 56.5 77.9 256.6 545.1 1281 1532 2010年 2012年 2014年 2015年 2016年 2017年 年間総件数 IoTデバイスに対する不審なアクセス数の増加 2015年26%→2016年、2017年は50%以上
  • 12. セキュリティ人材不足の背景 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 11
  • 13. Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 12 愉快犯 ハクティビズム サイバー クライム サイバー エスピオナージ サイバー ウォーフォー 世間を騒がせるため 多くのPCを感染することを目的にウィルスを作成し世間を騒がせて楽しむ 愉快犯の事例:Melissaワーム、I Love Youワーム 金銭目的の攻撃(詐欺犯等) 例:オンラインバンキングを悪用した不正送金、クーポン搾取のための不正ログ イン攻撃 等 思想犯。自らの主義主張のために攻撃を行う 例:Anonymousを名乗るグループによるSONYへの攻撃。 尖閣諸島に関する抗議活動としてJPドメインに対する攻撃 国家間のサイバー攻撃。いわゆるサイバー空間上の戦争 例:Stuxnetによるイラン原子力発電所の遠心分離器への攻撃 産業スパイ。特定の企業の機密情報を搾取するために行う 例:三菱重工が社内情報を搾取された事件、衆議院議員のパスワード漏洩事件 攻撃目的の多様化
  • 14. セキュリティ人材不足の背景:まとめ Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 13 攻撃者の目的の変化:金儲け(ビジネス)、確固たる信 念で攻撃する 大前提:生活の変化 インターネットは人々のライフラインに! 攻撃先の変化:数少ないサーバではなくネットワークに つながるものすべて 攻撃件数の増加:ネットワークにつながるモノが増えた から、攻撃が儲かるから
  • 15. セキュリティ人材不足って本当? Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 14
  • 16. Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 15 順位 内容 昨年比 1 標的型攻撃による情報流出 - 2 ランサムウェアによる被害 - 3 ビジネスメール詐欺 NEW 4 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加 NEW 5 セキュリティ人材の不足 NEW 6 ウェブサービスからの個人情報の窃取(昨年3位) ↓ 7 IoT機器の脆弱性の顕在化(昨年8位) ↑ 8 内部不正による情報漏えい(昨年5位) ↓ 9 サービス妨害攻撃によるサービスの停止(昨年4位) ↓ 10 犯罪のビジネス化(アンダーグラウンドサービス:昨年9位) ↓ 出典元:情報セキュリティ10大脅威2018 https://www.ipa.go.jp/security/vuln/10threats2018.html セキュリティ人材不足って本当? 情報セキュリティ10大脅威 2018 by IPA(組織別)
  • 17. 8万人不足!?20万人不足? Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 16 必要なスキルを持っている 10.5万人 31% スキルが不十分 15.9万人 46% スキルなし 8.1万人 23% 必要なセキュリティ人材:34.5万人 出典元:情報セキュリティ人材に関する追加分析(情報セキュリティ人材の育成に関する基礎調査(平成24年4月)の追加分析)by IPA https://www.ipa.go.jp/files/000040646.pdf 情報セキュリティ人材に関する追加分析(2012年)
  • 18. 8万人不足!?20万人不足? Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 17 4.2 万人 23.9万人 13.2 万人 出典元:IT人材の最新動向と将来推計に関する調査結果(平成28年6月) by 経済産業省 http://www.meti.go.jp/policy/it_policy/jinzai/27FY/ITjinzai_report_summary.pdf 4.9 万人 27.3万人 16.1万人 5.6 万人 31.5万人 19.3万人 IT企業の セキュリティ人材 ユーザ企業の セキュリティ人材 不足している セキュリティ人材 2016年 41.3万人 2018年 (予測) 48.4万人 2020年 (予測) 56.4万人 IT人材の最新動向と将来推計に関する調査結果 (2016年)
  • 19. 8万人不足!?20万人不足? Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 18 4.2 万人 23.9万人 13.2 万人 出典元:IT人材の最新動向と将来推計に関する調査結果(平成28年6月) by 経済産業省 http://www.meti.go.jp/policy/it_policy/jinzai/27FY/ITjinzai_report_summary.pdf 4.9 万人 27.3万人 16.1万人 5.6 万人 31.5万人 19.3万人 IT企業の セキュリティ人材 ユーザ企業の セキュリティ人材 不足している セキュリティ人材 2016年 41.3万人 2018年 (予測) 48.4万人 2020年 (予測) 56.4万人 IT人材の最新動向と将来推計に関する調査結果 (2016年) ユーザ企業 ◼ 半数以上が自社向けの人材の量的不足を訴えている ◼ 大半が自社向けの情報セキュリティ人材のキャリアパスが考慮され ていない セキュリティベンダー ◼ 全体的に不足しているが、特に、検査・監査系業務とコンサ ル業務が量的に不足 ◼ 不足の原因はほしい人材が来ない(企業側ニーズと人材のミスマッチ)
  • 20. 1. スキルがない人材 2. スキルが不十分な人材 3. スキルが十分な人材 セキュリティ人材不足:まとめ Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 19 1. ユーザ企業のセキュリティ人材 2. IT企業のセキュリティ人材 3. セキュリティベンダーのセキュリティ人材 3つの企業体に分類 3つの段階に分類
  • 21. セキュリティ人材とは? Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 20
  • 22. Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 21 セキュリティ人材とは? 出典元:第4次産業革命に向けたIT人材育成とセキュリティ人材確保の重要性(経済産業省IT人材育成施策) 平成30年2月27日 経済産業省商務情報政策局 情報技術利用促進課 地域情報化人材育成推進室 ココ!
  • 23. セキュリティ人材とは? Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 22 出典元:第4次産業革命に向けたIT人材育成とセキュリティ人材確保の重要性(経済産業省IT人材育成施策) 平成30年2月27日 経済産業省商務情報政策局 情報技術利用促進課 地域情報化人材育成推進室
  • 24. セキュリティ人材とは? Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 23
  • 25. Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 24 出典元:サイバーセキュリティ人材育成総合強化方針 http://www.nisc.go.jp/active/kihon/pdf/jinzai_kyoka_hoshin.pdf セキュリティ人材をまとめてみると
  • 26. 今後必要となるセキュリティ人材は 1. ホワイトハッカーのような高度セキュリティ技術者 2. 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 3. ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュリティ確保を管理する人材 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 25 出典元:経済産業省情報処理振興課 情報セキュリティ分野の人材ニーズについて 平成27年(2015年)3月 http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/it_jinzai_wg/pdf/002_03_00.pdf 必要な3つの情報セキュリティ人材像
  • 27. 必要な3つの情報セキュリティ人材像 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 26 出典元:経済産業省情報処理振興課 情報セキュリティ分野の人材ニーズについて 平成27年(2015年)3月 http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/it_jinzai_wg/pdf/002_03_00.pdf 今後必要となるセキュリティ人材は 1. ホワイトハッカーのような高度セキュリティ技術者 2. 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 3. ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュリティ確保を管理する人材
  • 28. 必要な3つの情報セキュリティ人材像 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 27 出典元:経済産業省情報処理振興課 情報セキュリティ分野の人材ニーズについて 平成27年(2015年)3月 http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/it_jinzai_wg/pdf/002_03_00.pdf 典型的な人材像 業務部門セキュリティ管理者 業務部門において、 普段は総務や企画を担当しつつ、 情報セキュリティトラブルの発生時に は部門長やセキュリティ技術者と連携 して被害の最小化を図る 典型的な人材像: セキュリティ技術者 情報セキュリティ分野を専門とするIT技 術者であり、 情報システムのセキュリティ機能を実 装し、 また、情報セキュリティ技術の専門家 として情報セキュリティ管理を支援す る 今後必要となるセキュリティ人材は 1. ホワイトハッカーのような高度セキュリティ技術者 2. 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 3. ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュリティ確保を管理する人材
  • 29. 必要な3つの情報セキュリティ人材像 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 28 出典元:経済産業省情報処理振興課 情報セキュリティ分野の人材ニーズについて 平成27年(2015年)3月 http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/it_jinzai_wg/pdf/002_03_00.pdf
  • 30. Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 29 セキュリティ人材をまとめてみると 1. ホワイトハッカーのような高度セキュリティ技術者 セキュリティベンダ 高度セキュリティ技術者(ホワイトハッカー) 2. 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 セキュリティベンダ セキュリティ製品・ツールの開発者 セキュリティ監視・運用サービス提供者 ITベンダ(SIer等) 製品・サービスにセキュリティを実装する技術者 ユーザ企業 自社の製品・サービスにセキュリティを実装する技術者 3. ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュ リティ確保を管理する人材 ユーザ企業 全社の情報セキュリティ管理者 部門の情報セキュリティ管理者
  • 31. Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 30 セキュリティ人材をまとめてみると セキュリティベンダ ◼ ホワイトハッカーのような高度セキュリティ技術者 ◼ 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 ✓ セキュリティ製品・ツール開発者、セキュリティ監視・運用サービス提供者 ITベンダ(SIer等) ◼ 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 ✓ 製品・サービスにセキュリティを実装する技術者 ユーザ企業 ◼ 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 ✓ 自社の製品・サービスにセキュリティを実装する技術者 ◼ ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュリ ティ確保を管理する人材 ✓ 全社の情報セキュリティ管理者、部門の情報セキュリティ管理者
  • 32. EC-Councilトレーニングコースの紹介 Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 31
  • 33. 今後必要な3つの情報セキュリティ人材像 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 32 出典元:経済産業省情報処理振興課 情報セキュリティ分野の人材ニーズについて 平成27年(2015年)3月 http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/it_jinzai_wg/pdf/002_03_00.pdf 典型的な人材像 業務部門セキュリティ管理者 業務部門において、 普段は総務や企画を担当しつつ、 情報セキュリティトラブルの発生時に は部門長やセキュリティ技術者と連携 して被害の最小化を図る 典型的な人材像: セキュリティ技術者 情報セキュリティ分野を専門とするIT技 術者であり、 情報システムのセキュリティ機能を実 装し、 また、情報セキュリティ技術の専門家 として情報セキュリティ管理を支援す る 今後必要となるセキュリティ人材は 1. ホワイトハッカーのような高度セキュリティ技術者 2. 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 3. ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュリティ確保を管理する人材
  • 34. 今後必要な3つの情報セキュリティ人材像 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 33 出典元:経済産業省情報処理振興課 情報セキュリティ分野の人材ニーズについて 平成27年(2015年)3月 http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/it_jinzai_wg/pdf/002_03_00.pdf
  • 35. EC-Councilのトレーニングコースは Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 34 むしろ
  • 36. 座学ONLYの限界 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 35 ⚫ 1度聞いた・読んだだけでは記憶に定着しない (すぐ忘れる) ⚫ 再度、記憶するために必要な時間は初めて記憶してから時間の経過とと もにかかるようになる 出典元:忘却曲線 (エビングハウスの忘却曲線) https://ja.wikipedia.org/wiki/%E5%BF%98%E5%8D%B4%E6%9B%B2%E7%B7%9A 初めて記憶してからの 経過時間 再記憶に必要な労力 (初めて記憶するために必要だった労力を100とした場合) 20分経過後 58%の労力が必要 1時間経過後 44% 1日経過後 26% 1か月経過後 21% つまり ほとんど変わらない
  • 37. EC-Council社のトレーニングの特徴 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 36
  • 38. コース紹介 Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 37 - Certified Network Defender -
  • 39. CNDコース一覧 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 38 1. コンピュータネットワークと防衛の基礎 2. ネットワークセキュリティの脅威、脆弱性、攻撃 3. ネットワークセキュリティのコントロール、プロトコル、デ バイス 4. ネットワークセキュリティーポリシーのデザインと実装 5. 物理セキュリティ 6. ホストセキュリティ 7. ファイアウォールの安全な構成と管理 8. IDSの安全な構成と管理 9. VPNの安全な構成と管理 10. 無線ネットワークの防御 11. ネットワークトラフィックのモニタリングと分析 12. ネットワークリスクと脆弱性の管理 13. データのバックアップとリカバリ 14. ネットワークインシデント対応と管理 イントロ 防御 検出と分析 対応
  • 40. CNDコース一覧 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 39 1. コンピュータネットワークと防衛の基礎 2. ネットワークセキュリティの脅威、脆弱性、攻撃 3. ネットワークセキュリティのコントロール、プロトコル、デ バイス 4. ネットワークセキュリティーポリシーのデザインと実装 5. 物理セキュリティ 6. ホストセキュリティ 7. ファイアウォールの安全な構成と管理 8. IDSの安全な構成と管理 9. VPNの安全な構成と管理 10. 無線ネットワークの防御 11. ネットワークトラフィックのモニタリングと分析 12. ネットワークリスクと脆弱性の管理 13. データのバックアップとリカバリ 14. ネットワークインシデント対応と管理 イントロ 防御 検出と分析 対応 実習:ネットワークコマンドの復習 実習:ディスクの暗号化、SSLサーバ構築 実習:ポリシー設定 実習:セキュリティチェック、ログ収集・監視・分析 実習: Firewallの構築 実習: IDS,ハニーポットの構築 実習:トラフィックキャプチャ、フィルタリング、監視、検出 実習:ネットワーク監査、脆弱性スキャン 実習:バックアップ&リカバリ
  • 41. CNDで得られるスキル Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 40 ◼ セキュリティ機能の実装および管理を支援 ◼ セキュリティ侵害を検知し、適切なインシデントレスポン スを技術的な面から支援 防御 検出 対応 ◼ 脅威、脆弱性を分析・評価でき、リスクを適切に回避する 機能の企画、要件定義、開発を推進・支援 ✓ セキュリティポリシー、ルール作り ✓ 調達時、必要な情報セキュリティ要件をまとめられる ✓ 様々な重要リソースを各重要度やリスクを踏まえて管理できる ✓ 人員の業務に合わせたセキュリティの重要性を教育できる ✓ 業務を委託する際、委託先における情報セキュリティ対策の実施状況を確 認し指導できる
  • 42. こんな方は受講をおすすめします Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 41 CSIRT担当になった/なりたい セキュリティ対策、何をすればよいのかわか らない どこまで対策すればよいのかわからない • 適正な予算・技術がわからない 体系的にネットワークセキュリティを学びた い
  • 43. なぜEC-Councilのトレーニングコースが必要なのか? Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 42 - Certified Ethical Hacker -
  • 44. 敵を知り、己を知れば百戦危うからず Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 43 Know yourself as well as your enemy.
  • 45. 10.セッションハイ ジャック CEHコース&実習 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 44 2.フット プリンティング 3.ネットワークの スキャン 4.列挙 5.システムの ハッキング 6.マルウェアの脅威 7.スニッフィング 8.ソーシャル エンジニアリング 9.DoS攻撃 1.ホワイトハッキング の紹介 11.Webサーバの ハッキング 12.Webアプリケーショ ンのハッキング 13.SQL インジェクション 14.ワイヤレスネット ワークのハッキング 15.モバイルプラット フォームのハッキング 16.IDS・FW・ハニー ポットの回避 17.クラウド コンピューティング 18.暗号技術
  • 46. 10.セッションハイ ジャック CEHコース&実習 Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 45 2.フット プリンティング 3.ネットワークの スキャン 4.列挙 5.システムの ハッキング 6.マルウェアの脅威 7.スニッフィング 8.ソーシャル エンジニアリング 9.DoS攻撃 1.ホワイトハッキング の紹介 11.Webサーバの ハッキング 12.Webアプリケーショ ンのハッキング 13.SQL インジェクション 14.ワイヤレスネット ワークのハッキング 15.モバイルプラット フォームのハッキング 16.IDS・FW・ハニー ポットの回避 17.クラウド コンピューティング 18.暗号技術 Webサイト の解析・ミラーリング パケット作成、 ネットワークスキャン SuperScan,Hynaを 使用したスキャン 権限昇格、 ステガノグラフィ 感染・遠隔操作 スニッフィング&中間 者攻撃(Wireshark, Cain&Abel) フィッシングサイト作 成と認証情報搾取(SET) ツールを使ったDoS攻 撃の実行と検知 セッション ハイジャック ShellShockの悪用、 パスワード辞書攻撃 XSS、WordPress/DVWA 脆弱性の悪用 ノーマルSQL/ブライン ドSQLインジェクション Aircrak-ngを 使ったハッキング ペイロードの作成、 モバイルDoS攻撃 HTTP/FTPトンネリング でFirewallのバイパス Owncloudを使った クラウド環境の構築 Heartbleedの 脆弱性の悪用
  • 47. CEHで得られるスキル Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 46 • ネットワークの仕組み・OSの仕組み・アプリケーションの 仕組みなど基盤の広い知識と経験 • ひとつひとつのツールの動作原理:攻撃原理を理解 • 防御側のテクニックを理解 • 攻撃ツールや手法を組みわせて、防御側の想定範囲を超え た攻撃の学習 • 運用の穴を狙う知識(システムに隙がない場合) • ソーシャルエンジニアリングの活用術
  • 48. こんな方は受講をおすすめします Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 47 実攻撃を受けた場合、証拠保全をしながら 初動対応をする方法がわからない ファイアウォールやアンチウィルスなどの製品には 詳しい&防御のHow Toは知っているが・・・・・ 攻撃者の具体的な手口はわからない 自分で攻撃するスキルは無い (手動ペネトレーションテストはできない)
  • 49. まとめ Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 48 今後必要な3つの情報セキュリティ人材 敵を知り己を知れば百選危うからず 攻撃側の手口を知るホワイトハッ カーを企業内に配置し、攻撃側の手 口を知ることで、より速く正確な判 断が可能 1.ホワイトハッカーのような高度セキュリティ技術者 2. 安全な情報システムを作るために必要なセキュリティ技術を身に着 けた人材 3. ユーザ企業において社内セキュリティ技術者と連携して企業の情報 セキュリティ確保を管理する人材 自組織に合った対策手法を導入し、 費用対効果を高めることが可能。 自組織に合ったインシデントレスポ ンスを導入し、被害を最小限に抑え ることが可能。
  • 50. Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved.