40〜50代の経営者や管理職に向けて、RPGを題材にセキュリティについて理解を深めてもらう連載。今回は、RPGによくある「職業」や「転職」を例に、セキュリティエンジニアに必要なスキルセットについて説明したい。
40〜50代の経営者や管理職に向けて、ロールプレイングゲーム(RPG)を題材にセキュリティについて理解を深めてもらう連載「RPGに学ぶセキュリティ」。第1章は「レベルアップ」編、第2章は「自分の城にあった伝説の武器で倒された魔王編」そして第3章「ダンジョンに入った主人公」編として、セキュリティ人材育成の難しさやリスク管理の重要性、不正侵入した攻撃者の行動などについてお話しした。
今回は、RPGによくある「職業」や「転職」を例に、セキュリティエンジニアに必要なスキルセットについて説明したい。筆者は、インシデント発生時の緊急対応サービスや日本最大級のセキュリティ監視センター(SOC)などを持つセキュリティ企業に所属している。オフィスの自席の周辺には、セキュリティ技術者が当たり前のようにいる環境だ。しかしながら、これは非常に特殊で希少な環境だといえるだろう。非IT分野のビジネスに従事しているような一般の方はもちろん、システムエンジニアという肩書を持つ方でも、このような環境が身近であるわけではない。
そもそも、システムエンジニアとセキュリティエンジニアは、実は意外とそのスキルセットや考え方が異なるのだ。そのため、セキュリティエンジニアになるために必要なスキルセットはなかなか分かりにくい。この分かりにくさを解消するために、以下、RPGの職業や転職を例に解説していきたい。
IT業界において、以前はセキュリティ技術者を目指そうという人は現在ほど多くなかった。なぜなら、セキュリティ対策には、サイバー攻撃を実行する攻撃者の存在がなければならないからだ。また、サイバー攻撃を実行するためはインターネットなどのコンピュータへの常時接続ができる環境が大前提としてなくてはならないからだ。世界と常につながっているからこそ、世界から常にサイバー攻撃を受けるということだ。インターネットとそれがもたらす大きな利便性は世の中を一変させた。一定の年齢以下の層には、常に携帯しているスマートフォンなどの情報端末がなくてはならないものになっているのは、本稿を読んでいる読者の皆さんであればすでにご存じだろう。しかし、それと引き換えに、とても無視できないレベルの大きなリスクを保持することになったのだ。
そのリスクを低減させるためにはセキュリティ対策が必要だ。現在のように巧妙かつ活発になる前のサイバー攻撃の手法であれば、セキュリティ対策製品などを導入するだけでよい場合も多かった。昔のセキュリティエンジニアの仕事は、現在のそれとは異なり、セキュリティ製品を導入することそのものだったのだ。
しかし、時代は変わった。今では、攻撃者の実施する攻撃手法の知識を持ち、システム内部に攻撃者の痕跡を見逃さないようにセンサーを張り巡らせ、ネットワークなどに外部からの不正侵入の痕跡が残されていないか、重要機密情報への侵入を許していないかなど、セキュリティを保ち続けるための「マネジメント」という作業が重要となった。現在のセキュリティ製品は、このマネジメントを導入した側が実施することが大前提となっている。セキュリティ対策にマネジメントは必須となったのだ。
この作業には、システムの構造や仕組み、セキュリティ製品の機能はもちろん、サイバー攻撃者がどのような手法で攻撃してくるかなどの基礎知識がなければならない。これらを踏まえて、攻撃者の意図をくじき、目的を達成させないのがセキュリティエンジニアの最終的な目標だ。このように、想定した仕様通りにコンピュータを動かすことが目標のシステムエンジニアとセキュリティエンジニアは、その存在意義も目的も大きく異なる。
RPGにおける職業といえば、「戦士」「ナイト(騎士)」「魔法使い(魔導士)」「僧侶」「商人」「武闘家」「踊り子」「盗賊」「錬金術師」「召喚士」など、RPGの世界観やストーリーによって多種多様な職業がある。
その職業の中に、「賢者」「魔法戦士」「バトルマスター」などと呼ばれる職業もある。前出の職業(一般職)とは別に、これらの職業は「上級職」などと呼ばれることが多い。ゲーム開始当初はこれらの上級職になることはできず、一般職で経験値を積み一定レベルになると転職できるようになる。転職の後、複数の職業で規定のレベルを満たすことができれば、このような特殊能力を持つ上級職となれるのだ。
この上級職でも有名なのは賢者だろう。この賢者はそのものずばり「賢き者」という名であり、冒険を始めたばかりの駆け出しの魔法使いや僧侶ではとても名乗ることのできない高度な職業である。一般の職業で名を挙げた者や努力した者で選ばれた者だけが、この賢者に代表される上級職になれるということになるだろう。
セキュリティエンジニアの全てが賢き者や選ばれた者であるということではないものの、セキュリティエンジニアも、最初からいきなりなることが難しい職業だ。もちろん、学生時代からセキュリティの分野が大好きで、攻撃手法やセキュリティ対策の勉強をして社会人1年目からセキュリティエンジニアになる状況もそれほど珍しくはない。しかしながら、セキュリティ分野だけに詳しいエンジニアは、将来必ず壁にぶち当たるだろう。
なぜなら、セキュリティエンジニアは守るべきものが何かを理解しなくてはならないからだ。セキュリティエンジニアが守るべきものは、個人、機密、(デジタル化された)貨幣などだが、それらは詰まるところ“情報”だ。情報をどのように管理するかを理解するためには、その情報がどのように扱われるかを知ることであり、それはその組織における業務そのものといっても言い過ぎではないはずだ。
そして、その情報を記録しているのは幾つものコンピュータで構成された複雑なシステムだ。実は、このシステム(具体的にはシステムプラットフォーム)理解がセキュリティエンジニアにとって重要な部分となる。数十年前のシステムであれば、コンピュータ自体が単体で動作し完結しているものも多かった。また、複数のシステムが連携されていたとしても、その構造は現在ほど複雑なものではなかった。
しかし、現在のシステムは技術の進歩によって非常に複雑な構成になっていることが多い。用途も定型的な数値を計算するだけのシステムではなくなっている。そして、利用者もビジネス以外の用途で高度なシステムの利用に慣れてしまっていることも見逃せず、システムは複雑で高度なものにならざるを得ない。これらの要因が複合的に絡み合い、現在のシステムは、インターネットおよびインターネット技術の普及によって、ビジネスのプラットフォームそのものになってしまった。その結果、それらのシステムのほとんど全てがサイバー攻撃から守るべき対象になった。
だからこそ、サイバー攻撃の手法などだけに詳しいセキュリティエンジニアでは、セキュリティ対策の本質を見失ってしまう場合がある。そのため、セキュリティエンジニアは少なくとも、システムプラットフォームや最低限のアプリケーションの動作などに関する知識と理解を必要としており、その意味で一般的なシステムエンジニアとは異なる上級職的なスキルセットが必要になる。
もちろん、現在のセキュリティエンジニアの全員がそのような複数分野のエキスパートであるわけがない。また、全てがそろわなければセキュリティ対策が何も機能しないということもないが、高度なサイバー攻撃手法を駆使する攻撃者から、重要な情報やシステムを守るセキュリティエンジニアには、業務、システムなどの分野におけるさまざまな知見が重要になるのだ。
ただし、このようにほとんどスーパーマンのような上級職の人材は、そう簡単に育つものではない。そのため、守るべき価値のあるものを多く持つ企業などはセキュリティ対策の実績のある企業と連携して、組織的に補完しているのである。具体的には、それらの企業に存在するCSIRTやCISO(情報セキュリティ責任者)と密接に連携したSOCサービス、CISOを支援するセキュリティコンサルティングのような依頼が、セキュリティベンダーに数多く寄せられているのである。
今回、賢者などに代表されるRPGの上級職を例に、セキュリティエンジニアに要求されるスキルセットについて述べた。次回は、このRPGに学ぶセキュリティシリーズの最終回。「ラスボスを倒した後の主人公編」と題し、セキュリティエンジニアの活躍によって平和が訪れた(あくまで仮想の)未来を題材として締めくくりたい。
Copyright © ITmedia, Inc. All Rights Reserved.