昨今のサイバー脅威の多発を背景に、企業はその対策を、真剣かつ早期に取り組まなければ自社のビジネス成長はおろか、その存続まで脅かしかねないとそのリスクが声高に叫ばれている。その中で漏れ聞こえてくるのは、「セキュリティ人材が足りない」という嘆きの声だ。だが、本当に人材が足りないだけが原因なのだろうか。セキュリティ対策とセキュリティ人材育成にまつわる「本当の課題」を理解し、「今後、企業が対策を見誤らず」に「成長していく」ための正しい道へ導こう。
標的型攻撃やWebサイトの脆弱(ぜいじゃく)性を突いた不正アクセスなど、サイバー脅威は数、威力、手口ともに増加の一途をたどっている。しかし同時に、「組織として、セキュリティ対策とその強化は絶対に必要だ。でも、その対策を任せられる人員がいない……」。そんな「セキュリティ人材不足」の悩みを抱える企業も増えている。
しかし、本当に「人材不足」だけが原因なのだろうか? IT関連資格の認定制度を展開するCompTIAの板見谷剛史氏と、ラックでIT/セキュリティ人材育成などのアドバイスに携わる長谷川長一氏、2人の専門家が、セキュリティ人材育成にまつわる「本当の課題」と、企業が「目的を見誤らない」ためのポイントを語り合った。
CompTIA 板見谷氏(以下、板見谷氏) 今回は、企業が抱えているとされる「セキュリティ人材不足」の課題について、企業が誤解していること、そして、本当に取るべき/すべき対策は何なのか。「真の原因」を探ろうと思います。
まずCompTIAとしての立場で言うと、日本におけるセキュリティ関連資格の受験者は全体的に伸びています。特に「CompTIA Security+」に関しては、2016年は前年比197%で受験者が増加しました。このことだけでも、セキュリティ意識、そしてセキュリティ人材育成の意識の高まりを示しているといえます。
ラック 長谷川氏(以下、長谷川氏) 2015年に発生した、日本年金機構に対する標的型攻撃の事案は記憶に残っていることでしょう。しかしその後も、例えば複数の大学を狙った大規模な標的型攻撃が展開されたりと、サイバー攻撃自体はずっと続いています。確実に弾は飛んできている。でも、その弾に当たっても気付かない。それは自覚症状が出ていないからなのでしょう。実際、ラックへ相談された内容を振り返ると、「いざ被害が発生してから、事後対応の相談で駆け込んでくるケース」が増加しているようです。
企業のセキュリティに関する意識自体は向上しています。しかし残念ながら、対症療法的に現状の問題をどう解決するかの部分ばかりに目がいっており、この先のこと、「“未来をどうするのか”という戦略につながっていない」ように思います。そもそも教育とは、将来的な企業の課題に適用できるように今日するべきものなのですが……。
板見谷氏 近年日本では、セキュリティインシデントの防止や検知、対応に取り組むCSIRT(Computer Security Incident Response Team)の構築と整備に取り組む企業が増加しています。情報処理推進機構(IPA)が2016年10月〜11月、企業のCISO(Chief Information Security Officer:最高情報セキュリティ責任者)や情報システム/セキュリティ担当部門の責任者などに聞いた調査結果(*)によると、日本企業のCSIRT設置率は66.8%でした。しかし、「CSIRTやCISOが期待したレベルを満たしている」と回答した企業は2割にも満たない18.4%にすぎず、米国の約60%に比べると大幅に少ない結果でした。つまり「せっかくCSIRTを設置したのに、期待したほど機能していない」と感じている企業が多いようです。また、その原因として「人材不足、スキル不足」を挙げる回答が目立ちました。
でも、本当に人材不足やスキル不足だけが原因なのでしょうか。本来CSIRTを設置するならば、企業としての「課題は何か、ゴールはどこか」とする戦略や計画を洗い出した上で、必要な体制や人材をそろえて進めなければなりません。ところが現状は、「CSIRTを設置すること」自体が目的になっているケースを多く見受けます。「管轄省庁からCSIRTを作るように言われたから」「ガイドラインに設置が明記されたから」という理由で、取りあえず担当をアサインするケースもあるようです。「ゴールの意識」が希薄なまま進んでしまったので、設置して終了──となってしまったと推測されます。
長谷川氏 確かに、「取りあえずCSIRTを作ったんですが、次は何をしたらいいのでしょうか」という質問をいただくこともあります(笑)。本当は順序が逆です。事業計画、戦略、目的があって、その実現に向けて、必要な人、予算、リソースを投入すべきなのですね。ここに引っ掛かってしまった企業は、社内的にまだ「セキュリティは大事なことだ」と浸透していないのかもしれません。それゆえにCSIRTも、何か起こったときの敗戦処理という「加点(=評価)されない仕事」になりがちで、社内的な発言権も持てないのかもしれません。それではいけません。
板見谷氏 セキュリティ人材に必要なスキルや能力は、「自社はこの先何をすべきか」が決まって初めて見えてきます。そして、企業はそれを正しく評価する体制も整えなければならないでしょう。
板見谷氏 IT/セキュリティ関連の資格についても同じことがいえます。往々にして、資格の取得それ自体が目的となってはいませんか? 本来は、将来のビジョンを定めた上で、どんな能力や人材が必要かに落とし込み、それに沿って教育と資格取得を行うべきです。しかし実際には、資格取得が目的化し、知名度や取りやすさだけで資格を選んでいたりします。
長谷川氏 セキュリティ教育に関して、私は「セキュリティ知識と技術の詰め込み」に力点が置かれがちなことも気になっています。もちろん知識と技術がなければCSIRTの運用はできません。しかし、座学だけで組織全体の演習もなしに運用に入るということは、スポーツで例えるとどうでしょう。ルールブックを覚えただけで、実技練習などもなく、いきなり本試合に投入されるようなものです。
しかもセキュリティの世界が怖いのは、試合はあらかじめ計画されるものではなく、「したくない時に限って」「前触れなく」やってくることです。米国やロシア、中国など、世界のトップレベルの選手で構成されたチームといきなり対戦する可能性があるわけです。自社のチームが、野球ならばメジャーリーグ、サッカーならばスペインリーグやセリエAなどの海外の一流チームといきなり対戦するだなんて……。しかも、試合を拒否したり、(無傷で)降参したりするわけにはいきません。
板見谷氏 体系的に知識を身に付けるのは大前提です。しかし、資格を取ったから大丈夫というものではありません。セキュリティ教育においては、いかに実践できる環境を用意し、有事に備えて準備するかも課題の1つと考えます。
長谷川氏 そのためには、私は「教育」「演習」「訓練」を分けて考える必要があると思っています。
まずは、全ての基本となる知識や技術を「教育」で学び、「演習」を通じてプロセス全体を理解します。その上で、敵を想定しながら定期的に「訓練」を実施して、試合感を養うことが大切です。スポーツと一緒ですよね。安全に失敗できる環境で「こうすればうまくいく」という練習だけでなく、「失敗が起こったときにどうしたらいいか」を学ぶことも重要でしょう。
実は、こういった「演習」「訓練」の教育ができる「ファシリテーター」の不足も問題だと思っているのですが、最近では「Hardening Project」や危機管理コンテストのように、業界団体や有志によってそれを補う取り組みも進められています。
板見谷氏 資格の在り方は、「陸上のトレーニング」に例えられます。
IT資格には、ベンダーが独自に定めているものも含めると、実にさまざまなものが存在します。しかしそれぞれの目的を正しく理解していなければ、ミスマッチが起こります。
単一のベンダーやテクノロジーに依存しない、中立的な視点を持ったCompTIAのスキル認定資格は、仮に雨が降っても、風が吹いても、レースを完走できるだけの「体幹を鍛える」役割を果たすと自負しています。この体幹を鍛えた上で、最新のウェアやシューズといった、目的に応じて提供されるベンダーの資格を取得することによって、「より速く」などを追求できるのではないでしょうか。基礎体力がなく、体幹がぶれたままでは、いくらよいシューズを履いても能力は発揮できません。
長谷川氏 最近、「○○の資格を持った人材を××人育成します」という触れ込みをよく耳にします。その目標そのものを否定するものではありませんが、資格取得者数だけがゴールではありませんよね。本当に必要なことは、企業や組織としてどのような戦略を立てて、その中でどのようなチームを構成するか。そして、それにはどんな役割が必要で、どのスキルを持った人をどれだけ投入するかを考えなくてはなりません。全員がピッチャーやフォワードではチームにはなりませんからね。
板見谷氏 その「戦略」は、会社や組織によって違います。スポーツでも、とにかく攻撃的なチームがあれば、守りから入ってカウンターで攻めるといった戦略を取るチームもあります。会社として今後どういう戦略を取り、どこを目指すのかを定めて、初めてどんなCSIRTを構築し、どんな人を当てるかが見えてきます。
長谷川氏 ただしITシステムの場合はスポーツチームと少し違い、多くの場合チームの機能を一部アウトソーシングします。具体的には、どこからどこまでがチームの範囲で、何を外部に委託するのかも含めて業務設計を考えていくことですね。
板見谷氏 ここまでセキュリティ人材問題や資格取得の真の課題を「スポーツ」に例えながら説明してきましたが、まさにこの例と同様の取り組みを効果的に実践されている、皆さんご存じの日本のスポーツメーカーがあります。
この企業は、会社としてのゴール、CSIRTとして何をすべきかのゴールを立てた上で、CSIRTのメンバーに必須とする“体幹的”な知識として「CompTIA Security+」を採用しました。同社のCSIRTにはいろいろな部門からメンバーがアサインされます。そうしたメンバーが体系的に必要な知識を学び、「体幹」を養った上で、有事への準備を整えているそうです。企業としての戦略を定めた上で、メンバーの力量を計る物差しの1つとしてCompTIA資格を的確に活用されている好例です。このスポーツメーカー様には、2017年6月21日に開催する「CompTIA×ラック セキュリティ人材戦略セミナー」で講演していただく予定です。「成功の秘訣」を知りたい方はぜひご来場ください。
またCompTIAでは、Security+の上位資格「CompTIA CSA+(日本語版)」の認定を2017年6月から開始する予定です。CSA+は、Security+で体幹を鍛えた次のステップという位置付けで、脆弱性分析やインシデントの実対応に必要な技術の習得を支援するものです。ITサービスを提供する企業の中で、「セキュリティエンジニアを育てる」上でも、体系立てて学び、訓練する役割を果たせると考えています。
長谷川氏 ラックでは併せて、インシデントレスポンスの「演習」や「訓練」に活用できるよう、さまざまなケースやシナリオを用意しています。Security+やCSA+といった資格を習得した上で、どのスキルがどんな場面で使えるかを体系的に整理し、結び付けていくことができるでしょう。そのために、実践に則した“エグい”仕掛けもいろいろ考えています(笑)。
板見谷氏 個人としては、Security+から次のステップを目指していくために、「体系立てて、スキルのゴールを描く」ことが大切です。そして、企業や組織としては、特定のスキルを属人化させることなく、「自社の目的達成のため」に計画していくことが何より重要となりますね。
概要:CompTIA日本支局/株式会社ラックの共催で、企業のセキュリティ担当者を対象とした「CompTIA/LAC セキュリティ人材戦略セミナー〜できるCSIRTを作る!これからの人材が持つべきスキルとは〜」を開催します。
本セミナーでは、IT企業/ユーザー企業のIT部門の皆さまを対象に、現在多くの企業で課題となっているCSIRTを構築していく上での組織上の課題や、必要となるスキルや人物像を中心にご案内いたします。
基調講演として、ANAシステムズ株式会社 品質・セキュリティ監理室 ANAグループ情報セキュリティセンター ASY-CSIRTエグゼクティブマネージャの阿部恭一様に『日本シーサート協議会「人材の定義と確保」を読み解く』のタイトルにて、企業におけるCSIRTの役割、課題、そして必要となる人材像についてご講演をいただきます。続いて事例紹介では、株式会社アシックス グローバルIT統括部 グローバル基盤チーム セキュリティ リードの谷本重和様より『インシデントに対応できるセキュリティチームメンバーの育成とCSIRT業務の必須知識として資格の利活用とその効用とは』のタイトルにて、具体的な課題や人材育成、そして、その中でのCompTIA認定資格の役割についてご講演をいただきます。
皆さまのご参加をお待ちしております。
開催日時:2017年6月21日(水) 13:30〜17:00
場所:TKPガーデン永田町 バンケットホール1C(東京都千代田区平河町2-13-12 東京平河町ビル)
参加費:無料
定員:100名
申込受付:→詳細はこちらから
Copyright © ITmedia, Inc. All Rights Reserved.
提供:CompTIA
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年6月11日