ラック社が考える、これからの「セキュリティ・エンジニア」とは

Copyright ©LAC Co., Ltd. All Rights Reserved.
ラックが考える
これからのセキュリティエンジニアとは
グローバルナレッジネットワーク社セミナー
2016年2月26日(金)
株式会社ラック
セキュリティアカデミー

■主な担当講師業務
□(ISC)2 CISSPレビューセミナー認定主任講師
□CompTIA Security+講師
□東京電機大学国際化サイバーセキュリティ学特別コース(CySec) 講師
□岡山理科大学総合情報学部情報科学科特別講師
■最近の主な活動
□ 総務省高度ICT利活用人材育成会議委員（2011~2013年度）
□ 経済産業省情報セキュリティ人材の育成指標等の作成事業 WG委員（2012年度）
□ 文部科学省中核的専門人材養成の戦略的推進事業 WG委員（2012年度～）
■主な著書等
「情報セキュリティプロフェッショナル教科書」 (アスキーメディアワークス、共著）、
「SSCP認定資格公式ガイドブック」 (NTT出版、共著)、「ネットワークセキュリティ」
（オーム社、共著）等。
日経SYSTEMS連載「セキュリティ人材の育て方」(2016年4月号～)
長谷川長一（はせがわちょういち）
株式会社ラックサイバーセキュリティ本部理事
NPO 日本ネットワークセキュリティ協会(JNSA) 教育部会WGリーダー
■ソフトバンク、日本ユニシスを経て、現職。情報セキュリティコンサルティング、情報セ
キュリティ監査業務を経て、現在は主にセキュリティ教育業務を担当。
URL：http://www.lac.co.jp/education/index.html
E-mail：choichi.hasegawa@lac.co.jp http://www.facebook.com/choichi.hasegawa
2

セキュリティ人材育成の現状と課題
-これからのセキュリティエンジニアとは-

「情報セキュリティ 10大脅威」：2006年版
1 事件化するSQLインジェクション
2 Winnyを通じたウイルス感染による情報漏えいの多発
3 音楽CDに格納された「ルートキットに類似した機能」の事件化
4 悪質化するフィッシング詐欺
5 巧妙化するスパイウェア
6 流行が続くボット
7 ウェブサイトを狙うCSRFの流行
8 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
9 セキュリティ製品の持つ脆弱性
10 ゼロデイ攻撃
～「2006年版 10大脅威 -｢加速する経済事件化」と今後の対策-」
https://www.ipa.go.jp/files/000016951.pdf
4

「情報セキュリティ 10大脅威」：2016年版
1 インターネットバンキングやクレジットカード情報の不正利用
2 標的型攻撃による情報流出
3 ランサムウェアを使った詐欺・恐喝
4 ウェブサービスからの個人情報の窃取
5 ウェブサービスへの不正ログイン
6 ウェブサイトの改ざん
7 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ
8 内部不正による情報漏えい
9 巧妙・悪質化するワンクリック請求
10 対策情報の公開に伴い公知となる脆弱性の悪用増加
～「2016年版 10大脅威」
https://www.ipa.go.jp/security/vuln/10threats2016.html
5
脅威は、常に
変化している
新しい技術が
狙われる！

「水面下で侵攻するサイバースパイ活動急増に関する注意喚起」～ラック、2015年6月16日
http://www.lac.co.jp/security/alert/2015/06/16_alert_01.html
従来のウイルス感染の対応標的型サイバー攻撃への対応
ウイルス感染コ
ンピュータへの
対処
ウイルス感染のチェックは、
ウイルス対策ソフトで行い、
駆除を行う。
感染したコンピュータの内部
を詳細に分析するため、可能
な限り操作や駆除は行わない。
ネットワークの
稼動状況
そのまま運用を継続してよ
い。
外部との通信を遮断して閉鎖
環境にする。
データベースや
ファイルサー
バーなどのコン
テンツサーバー
ウイルスなどの実行ファイ
ルが保存されていないか、
サーバー上でウイルス
チェックする。
サーバーの稼動を停止し、情
報窃取や不正ソフトの設置が
行われていないかを確認する。
通信機器の動作
確認
特に詳細な分析は行わなく
てよい。
通信ログなどを分析し、接続
先や送信データの分析をする。
6
＜参考＞標的型サイバー攻撃への対応
従来の対策が通用し
なくなっている！

7
そして、セキュリティ人材が不足する？
「安全な国」担うサイバー人材の育成急げ」～日本経済新聞電子版
http://www.nikkei.com/article/DGXKZO89919800Q5A730C1EA1000/
セキュリティ人材不足
（量？、質？）
「伊勢志摩サミット」
「マイナンバー」「ラグ
ビーW杯」「東京
オリンピック」等で攻撃
は増加するとの予測。

「サイバーセキュリティ基本法」の改正
「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改
正する法律案の概要」2016年2月
http://www.cas.go.jp/jp/houan/160202/siryou1.pdf
8
今回の範囲の拡大により
多くのセキュリティ人材
が必要とされている。

「サイバーセキュリティ戦略」の概要
「サイバーセキュリティ戦略」2015年9月
http://www.nisc.go.jp/active/kihon/pdf/cs-senryaku.pdf
9
・ハイブリッド型人材
・実践的演習
・突出人材
・キャリアパス
経営課題であり、
社会基盤でもある。

～IPA「情報セキュリティ人材の育成に関する基礎調査」2012年4月
＜参考＞人材不足解消に向けた取組状況
10

「米英IT担当者の64％が脅威を経営陣に報告しないとの調査結果」
http://internet.watch.impress.co.jp/docs/column/security/20131004_61
8137.html
11
・セキュリティリスクについて経営
陣とのコミュニケーションはない、
または深刻なセキュリティリスクが
明らかになったときのみ行なってい
る ―64％
・セキュリティリスクの管理と経営
との間の連携は乏しいか、全くない、
または敵対している ―47％
・関連のあるセキュリティリスクを
経営陣に報告・相談しても意味がな
い ―51％
＜参考＞経営者とのコミュニケーション

将来も通用する人材になるために
-これからのセキュリティエンジニアとは-

13
高度な知識や技術だけでいいのか？
•必要なのは「外部でも通用する実践的スキルを
持った人材」
–高い倫理観を持ち、実際に業務が行える人材
–役割に応じた期待されるアウトプットを出せる人材
–持っている知識や技術・経験などを生かし、状況に応
じて、合理的な判断や行動ができる人材
–現在において通用するスキルを使える人材

これからは、こうあって欲しい・・・
・経営陣に、情報セキュリティ活動のビジネスメリットを
説明できる。
・やるべきことを、実現可能性を考慮したうえで優先順位
をつけ、計画・実行できる。
・ICTの利活用と、情報セキュリティを自ら実践できる。
・組織の利益や利用者の利便性を優先する。
14
情報セキュリ
ティ対策の経営
における効果
サイバーリスク
の企業経営に与
える影響

スキルの構成要素
情報セキュリティ人材
としてのスキル
知識
技術
情報セキュリティ
業務を実施するた
めに必要な知識
品質の高い情報セ
キュリティ業務を
実施できる技術
役割に合った当分
野における業務の
経験
ヒューマンスキル
コンピテンシー
「知識」と「技術」だけでは、「スキル」にならない。
「成果」にならない。「成果」にならなければ･･･
経験
15

＜参考＞セキュリティの知識分野
分野名分野名
1 情報セキュリティマネジメント 12 PKI(Public Key Infrastructure)
2 ネットワークインフラセキュリティ 13 暗号
3 アプリケーションセキュリティ 14 電子署名
4 OSセキュリティ 15 攻撃手法
5 ファイアウォール 16 コンプライアンス
6 侵入検知（IDS/IPS） 17 セキュリティプロトコル
7 不正プログラム 18 事業継続・災害復旧計画
8 セキュアプログラミング技法 19 情報セキュリティ監査
9 セキュリティ運用 20 デジタル・フォレンジック
10 コンテンツセキュリティ 21 物理セキュリティ
11 認証 - -
～JNSA教育部会「セキュリティ知識分野(SecBoK)」
16

「ITヒューマンスキル」の構成
～IPA「iコンピテンシ・ディクショナリ ITヒューマンスキル概念図」
17

～デビット・C・マクレランド
「コンピテンシー」とは、「高い業績をコンスタントに示
している人の行動の仕方などに見られる行動特性」
1 情報指向性 12 徹底性
2 分析的思考 13 チームワーク力
3 概念的思考 14 リーダーシップ
4 人間関係構築力 15 人材育成力
5 対人感受性 16 組織への献身
6 組織感覚力 17 柔軟性
7 対人影響力 18 自制力
8 強制的指導力 19 自信
9 先見性 20 自発性
10 達成指向性 21 専門性
11 顧客指向性 - -
「コンピテンシー」
18

実践的なスキルの例
・事実を尺度にした思考と判断（特に、緊急時）
・シナリオ思考（多くの不確実性要素のある中でも、予
測し、対応する能力）
・非対称性（不正／攻撃をする側との見え方の違い）へ
の適応
・新たな技術や環境に対する継続的適応力
インシデント
（結果）
兆候
（原因）
インシデント
インシデント
インシデント
インシデント
インシデント
被
害
・
影
響
(
短
期
／
中
長
期
／
イ
メ
ー
ジ
)
よく見えている
ほとんど見えていない
シナリオ思考
非対称性
19

「セキュリティ業務」の例
「CSIRT人材の定義と確保(Ver.1.0)」～日本CSIRT協議会
http://www.nca.gr.jp/activity/imgs/recruit-hr20151116.pdf
20

★CSIRTの組織モデル（例）
CSO/CISO補佐（室長）
オペレーター
セキュリティアナリスト
フォレンジックアナリスト
インシデントハンドラー
CSIRTチーム
CSO/CISO補佐（室長）
経営企画
オペレーター
セキュリティアナリスト
フォレンジックアナリスト
インシデントハンドラー
CSIRTチーム
＜参考＞組織モデルのイメージ例
21
組織における
「役割」は何？

経済産業省「情報セキュリティ人材の育成指標等の策定事業」2013年7月
http://www.meti.go.jp/policy/it_policy/jinzai/24freport5.pdf
「キャリアパスモデル」
22
5年後、10年後
のキャリアプラ
ンは？
オリンピック
(2020)が
ゴール?!

従来の学習方法でいいの？
•独学？社内でOJT？
–「独学」とは、『孤独』な学習であり、『独善的』な学習でもあ
る。OJTトレーナーは、ふさわしい人なのか？
•実践的な知識と技術を学び、それを実際に使ってみて磨い
ていくしかない！
– 実際に考えてみるしかない
– 実際にやってみるしかない
– 実際に失敗してみるしかない
23
そんな学習
できてますか？

経験学習のためのモデル
省察
実践（試行）
経験
概念化
行動にむすびつける
実体験し、
身に着ける
振り返る
考える
「経験学習モデル」～デビット・コルブ
24

LAC社内実施の実践的シナリオ演習。
本人の自由意思による参加。
最新のサイバー攻撃を体感し、現状のスキル
を、実業務に生かせるスキルにする目的。
緊急時において、今までの知識や技術を生か
して適切かつ迅速に判断・対応できるのか。
チャレンジできる場を与え、スキル維持・向
上を支援する。
～日経ITpro
http://itpro.nikkeibp.co.jp/article/NE
WS/20140602/560762/
＜事例＞「LACサバイバルチャレンジ」
25
社外のイベントや
コミュニティも
活用しよう！

教育やスキルの効果測定
26
レベル名称概要効果対象
1 反応受講者の反応受講者
2 学習学習到達度
3 行動変容実務での活用度
4 ビジネスインパク
ト
組織貢献度組織
5 ROI 投資収益率
～「人材開発マネジメントブック」福澤英弘、日本経済新聞出版
「ROIモデル」～ジャック・フィリップス
評価や効果測定の例。
「反応」「学
習」で、終
わっていませ
んか？
「わかる」ではなく
「できる」が必要。

まとめ
•将来も通用するのは、情報セキュリティの最新の
「知識」や「技術」を持ち、さらに市場のニーズと
環境の変化に自律的に適応し続けることができる人
材。
•育成のため、生かすための体制や環境整備も必要。
– 「強い者が生き残ったわけではない。賢い者が生き
残ったわけでもない。変化に対応した者が生き残った
のだ」
～「進化論」、チャールズ・ダーウィン
– 「現状維持では、後退するばかりである」
～ウォルト・ディズニー
27
27

Thank you. Any Questions ?
株式会社ラック
〒102-0093 東京都千代田区平河町2-16-1
平河町森タワー
Tel 03-6757-0113 Fax 03-6757-0193
www.lac.co.jp
※ この講演における発言、及び資料の内
容は、個人の見解であり、所属する企業や
団体を代表するものではありません。

ラック社が考える、これからの「セキュリティ・エンジニア」とは

More Related Content

What's hot

Viewers also liked

Similar to ラック社が考える、これからの「セキュリティ・エンジニア」とは

More from Trainocate Japan, Ltd.

ラック社が考える、これからの「セキュリティ・エンジニア」とは