なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?

グローバルセキュリティエキスパート株式会社
なぜ今、セキュリティ人材の育成が
こんなにも叫ばれているのだろうか？
Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved.
セキュリティ人材育成の必要性
0

Copyright (c) GLOBAL SECURITY EXPERTS
Inc., All Rights Reserved.
1

利便性を損なわずに
便利で安心・安全に
ITを活用するための手段
• 後から付け足す
• 気力と根性で頑張る
• とりあえずツールを入れる
2

3
必要以上に恐れる→Too Muchな対策をして無駄遣い
軽く見る→対策不足で攻撃される
Copyright (c) GLOBAL SECURITY EXPERTS
Inc., All Rights Reserved.
大事なことは

本日のアジェンダ
Copyright (c) GLOBAL SECURITY EXPERTS, All Rights Reserved. 4
◼ 今、サイバーの世界では何が起きて
いるのか
◼ セキュリティ人材とは
◼ セキュリティ人材が知っておくべき
こと

サイバーの世界で起きていること
攻撃の増加
◼ 攻撃の増加
◼ 攻撃者
◼ 攻撃ターゲット
◼ 最近のサイバー犯罪の動向

現状認識
日本を対象とした不審なアクセス件数の増加
※ 出典元：NICTER 観測レポート 2018（NICT：情報通信研究機構。産学官で連携した情報通信技術の開発を目的とする独立行政法人）
https://www.nict.go.jp/cyber/report/NICTER_report_2018.pdf
年年間総件数観測IP数 1IPあたり 1IP/1日
2010 約56.5億約12万 50,128 約137件
2011 約45.4億約12万 40,654 約111件
2012 約77.9億約19万 53,085 約145件
2013 約128.8億約21万 63,655 約174件
2014 約256.6億約24万 106,916 約293件
2015 約545.1億約28万 213,523 約585件
2016 約1,281億約30万 469,104 約1,285件
2017 約1,504億約30万 559,125 約1,532件
2018 約2,121億約30万 789,876 約2,164件
56.5 77.9
256.6
545.1
1281
1532
2164
1 2 3 4 5 6 7

系列1, 6066 系列2, 6741
系列1, 4785 系列2, 19551
系列1, 3235 系列2, 1348 系列3, 21571
系列1, 6336 系列2, 4041
平成30年におけるサイバー空間をめぐる脅威の情勢等について
2019年3月7 日警察庁発表
2018年の国内状況（警察庁発表）

Copyright (c) 2019 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 8
ネットバンキングの
不正送金の被害は減少
不正送金は322件、被害額4億6,100万円
2018年の国内状況（警察庁発表）
ランサムウェア被害の
減少とともに仮想通貨
を狙ったものが増加
不正アクセスは169件、被害額
677億3,820万円
平成30年におけるサイバー空間をめぐる脅威の情勢等について
2019年3月7 日警察庁発表

攻撃者
◼ 攻撃の増加
◼ 攻撃者

愉快犯
ハクティビスト
サイバー
クライム
サイバー
エスピオナージ
サイバー
ウォーフォー
世間を騒がせるため
多くのPCを感染することを目的にウィルスを作成し世間を騒がせて楽しむ
愉快犯の事例：Melissaワーム、I Love Youワーム
金銭目的の攻撃（詐欺犯等）
例：オンラインバンキングを悪用した不正送金、クーポン搾取のための不正ログ
イン攻撃等
思想犯。自らの主義主張のために攻撃を行う
例：Anonymousを名乗るグループによるSONYへの攻撃。
尖閣諸島に関する抗議活動としてJPドメインに対する攻撃
国家間のサイバー攻撃。いわゆるサイバー空間上の戦争
例：Stuxnetによるイラン原子力発電所の遠心分離器への攻撃
産業スパイ。特定の企業の機密情報を搾取するために行う
例：三菱重工が社内情報を搾取された事件、衆議院議員のパスワード漏洩事件
さまざまな目的を持つ攻撃者

攻撃者の行動
準備
攻撃準備
事後処理
情報収集（偵察）
• ターゲット選定、攻撃情報収集
• スキャン、ソーシャルエンジニアリング、C&C構築、マル
ウェア作成
侵入
• 脆弱性の悪用、マルウェアの配布
• アクセス権の維持、特権昇格、パスワード攻撃、遠隔
操作
痕跡の消去
• ログ、ツール等消去
攻撃目的の達成
• 盗む、壊す、改ざんする

攻撃ターゲット
◼ サイバー攻撃とは
◼ 攻撃の増加
◼ 攻撃者とは

攻撃するモノ

不正侵入検知・防止
サーバ
DMZ
公開Webサーバ
SMTP,DNS等
その他公開サーバ
Firewall
今まで
サーバに対する攻撃、
社外から直接侵入を試
みる攻撃
イントラネットイントラネット
File Server
認証サーバ（Active Directoryなど）
開発サーバ従業員PC
無線LAN AP
プリンタースマート
タブレット
現在
Firewallで許可されて
いる通信（メールな
ど）を使用して内部に
入り込む攻撃
社内DB
攻撃するモノの変化

最近のサイバー犯罪の動向
◼ 攻撃の増加
◼ 攻撃者

世界経済フォーラム（ダボス会議）
※ ジュネーヴに本部を置きスイスの非営利財団の形態を有している独立した国際機関。
2019年の年次総会がスイスのダボスで開催
健康や環境等を含めた世界が直面する重大な問題について議論
2019年は安倍首相はじめ60か国・地域の首脳が参加。
そこで発表されたグローバルリスクレポート2019では・・・
サイバー攻撃に対する世界の目

グローバルリスクレポート2019のリスクトップ10
サイバー攻撃に対する世界の目
可能性が高いTop10
1 異常気象
2 気候変動の緩和や適応の失敗
3 自然災害
4 データの不正利用
5 サイバー攻撃
影響が大きいTop10
1 大量破壊兵器
2 気候変動の緩和や適応の失敗
3 異常気象
4 水の危機
5 自然災害
6
生物多様性の喪失と
生態系の崩壊
7 サイバー攻撃

最近の攻撃の傾向
ダークウェブと仮想通貨の台頭により、
誰でもいつでも攻撃可能な世の中に
タイプ
◼ 脅迫：ランサム、脅迫型DoS
◼ 窃盗：認証情報、知的財産、プライベートなデータ
◼ 踏み台：遠隔操作を行ったり、攻撃者が悪用
◼ その他：データ改ざん、誤操作の誘発、破壊
経由
◼ メール：標的型メール
◼ Webサイト：フィッシングサイト、マルウェア埋め込み
◼ 脆弱性の悪用：古いバージョンを使用することにより悪用
◼ 日常生活：ソーシャルエンジニアリング、物理アクセス
攻撃者
の動機
◼ 好奇心：若年層に多い
◼ 金儲け：ランサムウェアからマイニングに
◼ 思想：現実世界とリンク
◼ 業務：産業スパイ、サイバー戦争

サイバーの世界で起きていること：まとめ
金儲け（ビジネス）、確固たる信念で攻撃
大前提：生活の変化
インターネットは人々のライフラインに！
ダークウェブと仮想通貨により攻撃のハードルが下がった
数少ないサーバではなくネットワークにつながるものすべて
攻撃者の目的は多様化
攻撃ターゲットもさまざま
攻撃手法の変化
ネットワークにつながるモノの増加、攻撃のビジネス化
攻撃件数の増加

セキュリティ人材とは
セキュリティ人材不足って本当ですか？
誰が言っているんですか？
◼ セキュリティ人材不足って本当ですか？
◼ セキュリティ人材って何する人？
◼ 組織内部で必要なセキュリティエンジニアとは？

人が足りない
サイバーセキュリティに関する金融機関の取り組みと改善に向けたポイント
ーアンケート（2017年4月）調査結果－
by 日本銀行金融機構局 2017年10月
https://www.boj.or.jp/research/brp/fsr/data/fsrb171016.pdf
12.4 22.4 65.2
0 10 20 30 40 50 60 70 80 90 100
サイバー攻撃対策にかかる人員計画の策定状況
系列1 系列2 系列3

必要な人材の規模が分からない
サイバーセキュリティに関する金融機関の取り組みと改善に向けたポイント
ーアンケート（2017年4月）調査結果－
by 日本銀行金融機構局 2017年10月
https://www.boj.or.jp/research/brp/fsr/data/fsrb171016.pdf
5.8 11.4 7.3 75.4
0 10 20 30 40 50 60 70 80 90 100
サイバー攻撃対策にかかる人員計画の策定状況
系列1 系列2 系列3 系列4

8万人不足！？20万人不足？
必要なスキルを持って
いる
10.5万人
31%
スキルが不十分
15.9万人
46%
スキルなし
8.1万人
23%
必要なセキュリティ人材：34.5万人
出典元：情報セキュリティ人材に関する追加分析（情報セキュリティ人材の育成に関する基礎調査（平成24年4月）の追加分析）by IPA
https://www.ipa.go.jp/files/000040646.pdf
情報セキュリティ人材に関する追加分析
(2012年)

8万人不足！？20万人不足？
4.2
万人
23.9万人 13.2
万人
出典元：IT人材の最新動向と将来推計に関する調査結果（平成28年6月） by 経済産業省
http://www.meti.go.jp/policy/it_policy/jinzai/27FY/ITjinzai_report_summary.pdf
4.9
万人
27.3万人 16.1万人
5.6
万人
31.5万人 19.3万人
IT企業の
セキュリティ人材
ユーザ企業の
不足している
2016年
41.3万人
2018年
（予測）
48.4万人
2020年
（予測）
56.4万人
IT人材の最新動向と将来推計に関する調査結果
（2016年）

本当は不足していない？？
事件がないから
セキュリティ人材は不要
AIで自動化できたから
セキュリティ人材は不要
外部に委託しているから
内部にセキュリティ人材は不要

本当は不足していない？？
事件が
ないから
AIで
自動化
外部に
委託

結局セキュリティ人材って何？
専門人材とは何か？
外部に委託
できること、
できないことは？

セキュリティ人材不足：まとめ
1. 何をする人なのか、どのようなスキルが必要なのかわから
ない
2. わからないから必要な人材の育成・演習プランが作れない
3. わからないから人材の適応（評価基準、待遇改善）ができ
ない
必要なセキュリティ人材がわからない
1. 外部委託できること・できないことが分からない
2. 自動化できること・できないことがわからない
3. 必要な人材が分からないからセキュリティ人材に投資する
適正なコストがわからない
必要なセキュリティ人材が確保できない

セキュリティ人材って何する人？

セキュリティ人材とは？
出典元：第4次産業革命に向けたIT人材育成とセキュリティ人材確保の重要性（経済産業省IT人材育成施策）
平成30年2月27日経済産業省商務情報政策局情報技術利用促進課地域情報化人材育成推進室
http://www.jnsa.org/seminar/2018/0227/data/1_fujioka.pdf
ココ！

今後必要となるセキュリティ人材は
1. ホワイトハッカーのような高度セキュリティ技術者
2. 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材
3. ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュリティ確保を
管理する人材
出典元：経済産業省情報処理振興課情報セキュリティ分野の人材ニーズについて平成27年（2015年）3月
http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/it_jinzai_wg/pdf/002_03_00.pdf
必要な3つの情報セキュリティ人材像
ココ
ココ
ココ
ココ
ココ
ココ
ココ

セキュリティ人材をまとめてみると

セキュリティベンダ
◼ ホワイトハッカーのような高度セキュリティ技術者
◼ 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材
✓ セキュリティ製品・ツール開発者、セキュリティ監視・運用サービス提供者
ITベンダ（SIer等）
✓ 製品・サービスにセキュリティを実装する技術者
ユーザ企業
✓ 自社の製品・サービスにセキュリティを実装する技術者
◼ ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュリ
ティ確保を管理する人材
✓ 全社の情報セキュリティ管理者、部門の情報セキュリティ管理者

1. ホワイトハッカーのような高度セキュリティ技術者
セキュリティベンダ高度セキュリティ技術者（ホワイトハッカー）
2. 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材
セキュリティベンダ
セキュリティ製品・ツールの開発者
セキュリティ監視・運用サービス提供者
ITベンダ（SIer等）製品・サービスにセキュリティを実装する技術者
ユーザ企業自社の製品・サービスにセキュリティを実装する技術者
3. ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュ
リティ確保を管理する人材
ユーザ企業
（すべての企業）
全社の情報セキュリティ管理者
部門の情報セキュリティ管理者

組織内部で必要な
セキュリティエンジニアとは？

組織内部で必要なセキュリティエンジニア
2018年5月31日サイバーセキュリティ人材育成取組方針の決定について
サイバーセキュリティ戦略本部普及啓発・人材育成専門調査会
https://www.nisc.go.jp/conference/cs/pdf/jinzai-hoshin2018.pdf
経営層
役割事業継続と価値創出のためのリスクマネジメントの一環として対策を推進
課題 • リスクマネジメントに向けた経営層の理解と意識改革の推進
• サイバーセキュリティの位置づけの明確化とリスクマネジメントの浸透
• 取り組みに対する経営上のインセンティブ付与
戦略マネジメント層
役割 • 事業継続と価値創出に係るリスクマネジメントを中心となって支える
• 経営層の方針を踏まえた対策立案、実務者、技術者の指導
課題 • マネジメント機能の中でサイバーセキュリティリスクを考慮する必要
• 戦略マネジメント層向けの適切な教材やプログラムが存在しない
実務者層・技術者層
役割 • 方針を踏まえたセキュリティ対策の企画・構想・実施
課題 • 経営層・戦略マネジメント層を支え、他の専門人材とチームの一員とし
て対処できる人材の育成
• 新たな技術やシステム開発手法の知識・スキルの育成

組織内部でのセキュリティ人材の役割と責任
経営層
戦略
マネジメント
層
実務者層
技術者層
事業継続と価値創出のための
リスクマネジメントの一環として対策を推進
• 事業継続と価値創出に係るリスクマネジ
メントを中心となって支える
• 経営層の方針を踏まえた対策立案、実務
者、技術者の指導
方針を踏まえたセキュリティ対
策の企画・構想・実施

内部 or 外部？
Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 38
利点欠点
社内のメンバーで
対応
コストが抑えられる
社内で人材が育つ
知識、経験は十分あるか？
十分な情報が得られている
か？
セキュリティ
ベンダーに
丸投げ
専門知識・情報を入手でき
る
コストがかかる
社内の人材は育たない
判断できない
何もしないコストがかからない
インシデント発生時、事業
継続に影響を与える（損害
賠償、株価下落等）

セキュリティ人材の種類
出典元：第4次産業革命に向けたIT人材育成とセキュリティ人材確保の重要性（経済産業省IT人材育成施策）
平成30年2月27日経済産業省商務情報政策局情報技術利用促進課地域情報化人材育成推進室

内製で必要なセキュリティ人材
情報セキュリティ
デザイン
インベスティ
ゲーション
情報
リスクストラテジ
脆弱性診断
セキュア開発管理
アドミニストレーション
アナリシス
CSIRTリエゾン
CSIRTコマンド
CSIRTキュレーション
インシデント
ハンドリング
デジタル
フォレンジクス
監査
内製外注

組織内部で必要なセキュリティ人材：まとめ
適正な
セキュリティ
予算
必要な
セキュリティ
対策
インシデント
レスポンス
事業継続を
阻害する
要因
守るべき
モノは何か

自組織で必要なセキュリティ人材：まとめ
適正な
セキュリティ
予算
必要な
セキュリティ
対策
インシデント
レスポンス
事業継続を
阻害する
要因
守るべき
モノは何か
判断・決定は内部！
判断するために必要なスキルが必要
ピンポイントの専門技術は外部に依頼

セキュリティ人材が知っておくべきこと
防御側の考え方
◼ 防御側の考え方
◼ 己を知る

防御・検知・対応
100%未然に防ぐことは不可能！
第1次予防：病気の発生を未然に防ぐ
第二次予防：病気を早期に発見・処置
第3次予防：社会復帰
予防接種
生活習慣の改善
定期健診・人間ドック
早期発見、初期治療
治療困難・コスト増を防ぐ
機能低下防止、治療、
リハビリ
機能回復と再発防止
攻撃の発生を
未然に防ぐ
攻撃発生を
いち早く検知
攻撃後の事後対策
健康に生きていく、通常の運用を継続させる！
予防策
インシデントレスポンス
検知策

正しく怖がるために
持っている資産の棚卸はできていますか？
ポリシーは適正ですか？
きちんと対策していますか？
運用は適正に行われていますか？
インシデント対応計画はできていますか？
従業員教育を行っていますか？

多層防御で対策を
ポリシー
物理
境界線
内部ネットワーク
端末
アプリ
データ

セキュリティ人材が知っておくべきこと
己を知る
◼ 防御側の考え方
◼ 己を知る

資産価値
（Asset Value）
資産の
ライフサイクル
◼ いくらの価値があるのか？
◼ 【変更された・盗まれた・壊された】
場合、事業継続にどれくらい影響を与
えるのか
◼ データが作成されるとき
◼ データが保管されているとき
◼ データを送っているとき（通信）
◼ データを廃棄するとき
資産の棚卸

リスクの洗い出し
リスクの評価
◼ 脅威はどこにあるのか？
◼ その脅威に紐づく脆弱性は何か
◼ そのリスクの度合いはどれくらいなの
か
◼ リスクが現実化した場合に受ける影響
度合いはどれくらいなのか
◼ そのリスクはどう対応すべきなのか
リスクの洗い出し＆評価

ポリシーの策定
ポリシー作成
◼ 全体を網羅していますか？
◼ 非現実的ではありませんか？
◼ 文書化していますか？
◼ 会社の公的文書となっていますか？
◼ 役割と責任は明確になっていますか？
ポリシー運用
◼ 定期的に見直していますか？
◼ 従業員に周知徹底させるための教育を
していますか？
◼ ポリシー違反が検知できるような仕組
みはありますか？

対策の選定
対策の実装
◼ 対策費用は適正ですか？
◼ その対策を実装することにより、どの
リスクが軽減されるのか理解していま
すか？
◼ 対策できないものは何ですか？
◼ どのような設定値が最大の効果を得ら
れますか？
◼ その対策は現状に見合っていますか？
時代遅れになっていませんか？
◼ 新しい対策の検討はしていますか？
対策

社内LAN
（重要サーバ）
File Server
DMZ
公開サーバ
Firewall
認証サーバ
（Active Directoryなど）
Proxy 従業員PC
無線LAN AP プリンタータブレット
社内DB
社内LAN
対策の漏れをなくす
境界線対策
内部ネットワーク対策
端末の対策
アプリ・データの対策
多層防御、できていますか？

日常
インシデント
発生時
◼ 導入した対策は想定した効果を得られ
ているか可視化できていますか？
◼ 状況が把握できていますか？
◼ 新しい脆弱性が存在するシステムに
なっていませんか？
◼ パッチ管理はできていますか？
◼ 可能な限り自動化していますか？
◼ 役割と責任は明確ですか？更新されて
いますか？（エスカレーションルー
ト）
◼ 定期的に訓練していますか？
◼ 相談する外部窓口は決まっています
か？
運用

教育計画
教育実施
◼ 教育コンテンツは更新していますか？
◼ 教育計画は見直していますか？
◼ 業務別に計画していますか？
◼ 定期的に実施していますか？
◼ 業務別、役割別に実施していますか？
◼ 効果測定は出来ていますか？
教育・育成・演習

正しく育成しよう
スキル
なし
スキルが
不十分
必要な
スキルを
持っている

セキュリティ人材が知っておくべきこと：まとめ
大事なことは
そのためには
組織の状況を把握し、
適正なセキュリティコストを算出し、
適正な対策を実装することができる

セキュリティエンジニアが必要
独学でがんばる
どこから手を付けていいのかわからない
どこまで学べばいいのかわからない
学んだあとにどうすればいいかわからない

セキュリティエンジニアが必要
トレーニングで体系的に学ぶ
体系立てて勉強できる
自分がどこまで学んだのかがわかる
学んだあとにさらなる学習方法がわかる

なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?

More Related Content

What's hot

Similar to なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?

なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?