情報セキュリティ人材に不可欠な「3つの素養」：セキュリティ教育現場便り（8）

セキュリティ教育に携わる筆者が、本当に必要なセキュリティ教育を解説する本連載。最終回では、筆者が考える「セキュリティ人材に必要な3ポイント」を紹介します。

[富田一成（ラック），＠IT]

　昨年のことになりますが、2016年9月に「ITmedia Virtual EXPO 2016 秋（IT）」が開催されました。皆さまご覧いただけましたでしょうか？　筆者も、Hackademy 蔵本雄一氏との対談という形で出演させていただきました。

　この対談のテーマの1つが「情報セキュリティ技術者の育成」でした。短い時間でしたが、「情報セキュリティに携わる人が知っておくべきことは何か」「技術を身に付ける上で大切なことは何か」といった問題について議論を行いました。

　そこで最終回となる今回は、この対談で扱った内容をあらためて整理して筆者からのメッセージとし、連載を締めくくりたいと思います。

情報セキュティ人材育成の3つのポイント

　セキュリティ教育に携わる中で、「情報セキュリティに関わる人材の育成には何が必要か？」という質問を、しばしば受けます。筆者は以下の3点が必要であると考えています。

1. 攻撃手法の知識
2. 継続性
3. 客観性

　「攻撃手法の知識」は、サイバー攻撃の種類や仕組み、攻撃が成功する原因などについての知識です。情報セキュリティ上、どのような事故が起こり得るのかを考えるには必須となります。

　「継続性」は、文字通り「続けること」です。情報セキュリティに関わる人材には、継続的に情報セキュリティの情報を集め、その情報に基づいて自らの意見をまとめてみたり、自組織の状況に当てはめてみたりしながら、リスクを考え続けることが求められます。

　「客観性」は、それまでに行ってきた対策と自らの考え・知識を定期的に見直すことです。リスクの変化に合わせて対策状況を見直さなければ、適切なセキュリティ対策を維持することはできません。

　今回はこれらの3点について解説します。

1．攻撃手法の知識

　情報セキュリティでは、事故が起きる可能性（＝リスク）に対して、さまざまな対策を施します。従って費用対効果に優れた適切な対策を実施するには、「自組織で起こり得る事故を想定できていること」が大前提になります。

　情報セキュリティ事故にはシステム障害などと違って「攻撃者」が存在しますから、自組織で起こり得る事故を考えるには、「どんな攻撃手法があるのか？」「その攻撃によってどのような被害が出るのか？」といった攻撃手法に関する知識が不可欠となります。

　また、仮に情報セキュリティベンダーに「リスク分析」（事故の可能性を洗い出し、セキュリティ対策の状況を見直す材料を得る）を依頼したとしても、その結果を理解するためには攻撃手法の知識が求められますし、対策コストの根拠を社内に説明する際にも、ある程度の攻撃手法の知識は必要となります。

　ただし、「情報セキュリティに関わる全ての攻撃手法」を1人の人間が習得するのは極めて困難です。サイバー攻撃の多くはネットワーク越しに行われるため、まずはネットワークの基礎知識を身に付けることから始めるとよいでしょう。その上で、例えばWebシステムの担当者であれば、特にWebサーバへの攻撃について学習するなど、業務内容ごとに学習内容を決めるのがおすすめです。

　攻撃手法を学習した上で事故の可能性や事故発生時の対応を考えるときには、ネットワークやシステムに詳しい他の担当者とともに、それぞれの知識をフルに活用して思考をめぐらせます。そのためには、本連載でも紹介してきた通り、組織内の連携が大切です。「対処に困ったとき、誰を呼べばいいのか？」「誰に聞けば糸口が見つかるのか？」を想定し、連絡先をまとめておくなどの準備をしておきましょう。

　なお、身に付けた攻撃手法を悪用することは絶対に避けてください。攻撃手法を悪用した場合、刑法により罰せられることがあります。社会人の場合は職を失うなど個人のリスクにつながるため意図して攻撃をしようとは思わないかもしれませんが、学生の方などは特に注意が必要です。ちょっとした思い付きの行動が、思わぬ被害を生むことを常に意識しておかなければなりません。仮に逮捕されなかったとしても、業務上の関係者や不特定多数のインターネット利用者に迷惑が掛かるような行為は避けるべきです。

2．継続性

　続いてのポイント「継続性」は、読んで字のごとく「続けること」であり、自らの考えや知識を向上し、更新し続けることです。セキュリティに関わる人は、新たな攻撃手法やマルウェアなどの脅威に関わる情報、脆弱（ぜいじゃく）性に関する情報などを収集し、自組織に関連があるかどうかを考え続けなければなりません。セキュリティ対策は、一度立ち止まってしまうとどんどん効果が薄れていきます。

　ここで注意すべきなのは、情報セキュリティへの取り組みを継続するには、組織として仕組みを作る必要があるということです。かつての情報セキュリティ技術者や専門家は、自ら率先して情報を集め、知識や技術を向上させていった人たちがほとんどでした。それは、個々人にモチベーションがあり、自然と取り組みを継続できていたからです。

　しかし、組織が人材を選出することも多い現在、担当者が情報セキュリティに興味があるとは限りません。そういう人にとって、自ら率先して情報を集めにいったり、イベントに参加したりするのはなかなか難しいものです。

　そこでポイントとなるのが、「情報収集などの活動を業務の一環とすること」「組織内の評価基準を明確にすること」です。まず、業務の一環として、ネット上の情報を集める時間を意図的に設けたり、外部で行われるイベントなどに積極的に参加させ、情報収集や発信をさせたりするなどの仕組みを作ります。その上でモチベーション維持のために、評価基準を整備します。例えば、情報収集や課外活動、情報発信に関わる回数や日数などをKPIとして決めておくとよいでしょう。

　攻撃手法は日々進化しており、キャッチアップするのは大変な作業ですが、最近ではWeb上にサイバー攻撃に関する解説記事などがたくさん公開されていますし、攻撃手法に特化した動画講座などもあります。また、セキュリティ専門家の方々がSNSやブログで公開する情報も参考になります。

　それ以外にも、社内勉強会などを定期的に開くのもよいでしょうし、技術的な観点からは、学習用のラボ環境などを準備するのもよいでしょう。ラボ環境があれば実地的な勉強会を社内で行うこともできます。

　資格を取ったり、何かのセミナーを受講するのも1つの方法ですが、これらはあくまでも学習を始めるきっかけや、通過点に過ぎません。組織としての継続性を出すのであれば、間を埋める自己学習や情報収集を促す仕組みが不可欠です。

3．客観性

　「客観性」は、これまでに行ってきた対策を客観的に見直すことです。リスクの変化に合わせて対策状況を見直さなければ、適切なセキュリティ対策を維持することはできません。ルールや対策を見直す時には「現在の対策は本当に適切なのか？」という疑問を持つことが大切です。「過去に決めた対策は全て正しいものだ」という前提に立つと、適切な見直しはできません。そのため「客観性」が求められます。

　特に注意すべきは、情報セキュリティ対策の本来の目的から外れていないかどうかを見直すことです。情報セキュリティ対策とは、「重要なデータを金庫に保管し、誰にも触らせないようにすること」ではありません。あくまでも、「情報やIT環境を安全に活用できるようにすること」が主目的です。

　保管したままで良い情報というのは、実はそれほど重要ではない可能性があります。逆に重要な情報ほど使う機会が多いものです。現在の状況が、情報セキュリティの本来の目的や方針に合致しているかどうかを客観的に分析し直す機会を定期的に設けましょう。そして、有効な対策は継続し、そうでない対策は変更したり、取りやめたりします。

　リスク変化の原因は、攻撃手法やマルウェアなどの変化や、IT環境の変化などさまざまです。こうした状況が起こると、実施してきた対策が有効に機能しなくなるため、効果の低い対策は見直さなければなりません。例えば、スマートフォンやタブレットなどのデバイス利用が進み、付属するクラウドストレージサービスの活用などが普及すれば、現状の対策やルールに適しているかどうかを見直します。また、かつてはコストの面から実施できなかった対策が、技術の変化により低価格あるいは無料で実施できるということもあるかもしれません。

　セキュリティ対策を見直すときのポイントとしては、以下のようなものが挙げられます。

• システムで行うべき対策が人任せになっていないか？
• 事故を防止する対策だけでなく、事故に気付くための「検知」とその後の「対応」の仕組みは適切か（検知と対応の仕組みがないケースも多い）。
• ルール策定や対策を行ってから、どのくらいで見直しをしたか（対策を変更するかどうかは別として、年に1回程度は見直す機会を設けるとよい）。

　ありがちな対策の誤りとして、システム側でリスクコントロールを行わず、人の行動を決めるルールだけでリスクコントロールを行おうとしているケースがあります。

　例えば、ウイルス感染を引き起こすメールには、「exeファイル」が添付されているものやセキュリティホールを利用したものなど、幾つかの種類があります。前者については「exeファイルを実行しないように注意する」と社員教育によって周知するのは1つの方法です。一方で、セキュリティホールを利用するウイルスに関しては、人が見分けるのではなく、そもそものセキュリティホールをふさぐことが必要です。

　社員に伝える順番としては、メールの見分け方よりも「OSやソフトウェアのアップデートを行うことの大切さとその方法」を優先すべきです。社内システムでアップデートを自動化できればなお良いでしょう。システム側での対策を行った上で、残ったリスクに関してルール化し、教育を行います。

　情報セキュリティの対策やルールを変更したり、やめたりすることには大きな労力を要します。社内の慣習上、ルールの変更を簡単には進められないことも多いでしょう。しかし、前述した通り情報セキュリティ対策は立ち止まってしまうと、見えないリスクが増え続け危険が増加します。今回取り上げた「攻撃手法の知識」「継続性」「客観性」の3点に基づいて、組織として立ち止まらないための体制や仕組み作りを検討してください。

　本連載は今回で一区切りとなりますが、ここでお伝えした情報が皆さまの組織にとって有益なものとなれば幸いです。また、何らかの形で情報をお伝えできることを楽しみにしています。