国産のセキュリティ資格「SecuriST」が登場 DX時代を担うセキュリティ人材の育成を支援上野宣氏、辻伸弘氏、徳丸浩氏も参画

いま、企業では高度化するサイバー脅威への対応とIT人材不足が大きな課題となっている。特に経済産業省が指摘したように、セキュリティ分野の人材不足は深刻だ。こうした状況に打開策はあるのだろうか。サイバーセキュリティ教育サービスを提供しているグローバルセキュリティエキスパート(GSX)に、セキュリティ人材不足の現状と打開策を聞いた。

» 2021年03月16日 10時00分 公開
[PR/@IT]

サイバー脅威が経営に直結する時代、どう対応するか

ALT グローバルセキュリティエキスパート
常務取締役
与儀大輔氏
 

 「知り合いの会社がランサムウェアに感染し、納期に遅れが生じると連絡がきた」「Emotet感染が判明して、取引先である自社も念のためのチェックに追われた」――数年前までは対岸の火事だったさまざまなサイバー脅威がいよいよ身近に迫ってきている。

 「新型コロナウイルス感染症(COVID-19)の感染拡大以降、テレワークへの移行や事業のオンライン化需要が非常に高まっています。企業間のコミュニケーションに当たり前のようにWeb会議やクラウドサービスが使われるようになり、これまで物理的な店舗で対面販売をしていた企業では、生き残りをかけてオンラインビジネスへの移行を模索しています。サイバー犯罪者はこうした状況を理解し、盛んに攻撃を仕掛けてきています」と、グローバルセキュリティエキスパート(以下、GSX)の常務取締役、与儀大輔氏は説明する。

 その上、サイバー脅威が事業に与えるインパクトもますます大きくなっている。例えば、2020年以降は、ランサムウェアの被害が急増している。重要なデータやシステムが暗号化され、工場が停止したり、従業員への給与支払いシステムが停止してしまったりする深刻な事態が国内で発生した。

 また、新規サービスの立ち上げ直後に情報漏えいにつながる脆弱(ぜいじゃく)性が明らかになり、事業ごと中止に追い込まれたり、ビジネスメール詐欺(BEC)でその年の利益が吹き飛ぶほどの金銭をだまし取られたりといった事件も発生し、経営陣が真剣にサイバーセキュリティのリスクに向き合い、何らかの対策を打たねばと危機感を抱くようになった。

 GSXの取締役兼中部・西日本支社支社長を務める三木剛氏は、「サイバー脅威が本当に経営に直結する問題となってきたことから、首都圏以外の企業でも経営者が深刻に問題を捉えるようになっています」と指摘する。

以前からの課題である人材不足、ギャップはますます深まるばかり?

ALT グローバルセキュリティエキスパート
取締役兼中部・西日本支社支社長
三木剛氏

 こうした背景からセキュリティ対策の重要性はますます高まっているが、問題は「誰がそれを実行するか」だ。サイバー脅威に備えた対策やインシデント対応に必要な知識とスキルを持った人材が社内にいればよいのだが、現実はそうはいかない。むしろ、「うちにはセキュリティが分かる人がいなくて……」という嘆きの声が聞こえるばかりである。

 そもそも、経済産業省が「2020年にはセキュリティ人材は約19万人不足する」と指摘した通り、セキュリティ人材不足は以前からの課題だった。

 GSXによると、企業は人材にも投資して対策を進めてはいるものの、まだまだというところもある上、大手企業と中堅中小企業、首都圏の企業と地方の企業とではギャップが生じているという。

 「セキュリティ専任の部門や担当者がいる企業は良い方で、そうした担当者がいない企業が大半です。PCにちょっと詳しい若手社員が、満足な教育も受けないままセキュリティ担当を兼任で任されるケースもあります。普段から世話になっているインテグレーターやベンダーに聞いてもやっぱりよく分からず、結局、われわれのようなセキュリティ専門ベンダーが相談を受けている状態です」(与儀氏)

 しかし、そのGSXでも手いっぱいで、泣く泣く断らざるを得ないケースもしばしばだという。

 これはGSXに限らず、現在のセキュリティベンダー共通の問題だという。「企業の年度末となる3月末にかけては、どの会社も脆弱性診断の予定がいっぱいで、もう受けきれない状態です。『デジタルトランスフォーメーション(DX)の一環で新たにWebサービスをリリースするのでセキュリティをチェックしてください』といわれても、どこも断らざるを得ないといった状況です。リリースを先延ばしするか、診断なしでリリースするかという決断を迫られる企業が、潜在的に多数あるのではないでしょうか」(与儀氏)

さまざまな側面からトレーニングを実施し、「仲間」を増やしてきたGSX

ALT グローバルセキュリティエキスパート
CCO兼コーポレートエバンジェリスト
武藤耕也氏

 問題を根本から解決するには、少しずつでも企業内にセキュリティに関する知識を持った人材を増やすしかない。

 「誰か一人でもよいので、企業の中にはセキュリティをざっくりとでも分かっている人がいなければいけないとわれわれは考えています。何も高度な解析ができる必要はありません。事業を進める上で安全に、安心してITを使うためには何が必要かという俯瞰(ふかん)した視点を持ち、IT全体のセキュリティを守る仕組みを考える人を増やしていかなければいけません」と、GSXのCCO(チーフコミュニケーションオフィサー)兼コーポレートエバンジェリスト、武藤耕也氏は述べる。

 「セキュリティ教育カンパニー」をうたうGSXではこうした背景から、「仲間」を増やすべくさまざまな教育サービスを展開している。

 「IT人材、セキュリティ人材はどうしても首都圏に集中しがちです。ですので、総務省の事業として沖縄でセキュリティ教育を実施して脆弱性診断ができるエンジニアを育成し、脆弱性診断の仕事も渡していくというモデルを作り始めています」(与儀氏)。この取り組みは既に2年目に入り、単年度黒字を達成しているという。

 さらにGSXでは、3種類のセキュリティトレーニングを展開し、セキュリティ業務を担える人材育成を進めている。

 1つは、実践的なセキュリティトレーニングコース「EC-Council」だ。EC-Councilは、攻撃者の視点でセキュリティを学び、対策に役立てる「CEH(認定ホワイトハッカー)」と、セキュリティに関する幅広い知識を体系的に身に付けて実践に役立てる「CND(認定ネットワークディフェンダー)」という2つのコースを中心に、セキュリティ人材の育成に寄与している。既に世界145カ国、20万人を超える有資格者が育成されており、GSXでは2016年から総代理店としてEC-Councilを提供している。

ALT 世界145カ国で20万人を超える有資格者が育成されている「EC-Council」

 2つ目は2020年12月に発表した「SecuriST(セキュリスト)」だ。その第1弾として「認定脆弱性診断士」のトレーニングを2020年12月から開始し、2021年3月15日から資格試験をスタートする。

 そして3つ目が、グローバルに約14万人の認定資格者を擁する「CISSP(情報セキュリティプロフェッショナル認定資格制度)」で、2021年3月から認定トレーニングと試験を開始する予定だ。

 「EC-CouncilとCISSPが高級外国車だとしたら、SecuriSTは高品質な国産車です。悲願だった国産のセキュリティ資格をようやく世に出せるときが来ました」(与儀氏)

ALT 2020年12月に発表したSecuriSTの第1弾「認定脆弱性診断士」

セキュリティ検査を内製化し、DX時代の品質管理部を社内に

 SecuriSTの第1弾となる認定脆弱性診断士は、Webアプリケーションの脆弱性診断に必要なスキルを学ぶ「認定Webアプリケーション脆弱性診断士」と、インフラ/ネットワーク周辺の脆弱性診断を行う「認定ネットワーク脆弱性診断士」の2つコースが用意されている。

 「海外のトレーニングや資格試験もいろいろありますが、セキュリティ検査や脆弱性診断に関するテクニックや理論を体系立てて1つのトレーニングコースにまとめ、なおかつスキルチェックまでできるものとなると、なかなかありませんでした。しかし、実際の開発現場やIT運用の現場で求められているのは、こうしたトレーニングコースです」と武藤氏は述べ、業界全体の課題にマッチした内容になっていることが認定脆弱性診断士のポイントだと強調する。

 もともと、脆弱性診断士というアイデアは、セキュリティ専門家の上野宣氏(トライコーダ)がリーダーを務めるISOG-JセキュリティオペレーションガイドラインWGとOWASP Japanとの共同ワーキンググループ「脆弱性診断士スキルマッププロジェクト」として立ち上がった。GSXではその志を受け継ぎ、上野氏がまとめた教育コンテンツをOEM提供を受ける形で展開する。また、公平性やスキルの明文化が必要となる資格試験問題は公開されているシラバス(※)に則り作成され、そのレビューには、SBテクノロジーの辻伸弘氏、EGセキュアソリューションズの徳丸浩氏といった著名なセキュリティ専門家が協力、監修している。
(※https://owasp.org/www-chapter-japan/#div-skillmap_project

 もちろん、徳丸氏の著書(通称、徳丸本)や上野氏、辻氏の著書を読んで独学で学ぶことも不可能ではない。だが、セキュリティエンジニアならともかく、開発や運用を主とするインフラエンジニアやアプリケーションエンジニアにとって独学のハードルは高い。

 「セキュリティテストをどのように実施すればよいのかを知りたくても、環境も用意できなければ、教えてくれる人もいない状態では学ぶのは困難です。果たして、自分が学んで試した内容が本当に正しいのかどうかも分かりません。SecuriSTのトレーニングコースでは、オンラインですがハンズオン形式で、先生が横に付いて教える形式です。空手などの武道と同じで、テキストだけではなかなか分かりにくいところでも、先生と一緒にやることで理解を深められるでしょう」(武藤氏)

 今、COVID-19の影響も相まって急速に企業のデジタル化、DXが進む中、最初からセキュリティを考慮して開発を進める「シフトレフト」や「セキュリティ・バイ・デザイン」といった考え方が広がり始めている。

ALT グローバルセキュリティエキスパート
教育事業本部 副本部長
教育事業部事業部長
伊藤昇氏

 「DXの実現を目指してWebシステムが広がる中、これまで他社に依頼していたセキュリティも含めた品質管理を、部門として社内に置かざるを得なくなっていくでしょう。そこでセキュリティ人材がより求められることになると思います」(三木氏)

 現時点では、脆弱性診断の内製化にはまだまだ高いハードルがあり、外部に依頼したくてもベンダーが手いっぱいという状況だ。だが、「SecuriSTの有資格者が増えることでセキュリティ検査の内製化を進め、自社でシフトレフトを進めていくという、開発とセキュリティの有機的な結合に期待しています」と、GSX教育事業本部 副本部長 教育事業部事業部長の伊藤昇氏は展望を語る。

 GSXでは今後、SecuriSTの第2弾、第3弾の提供も計画中だ。不足が顕著なインシデントハンドリングや緊急対応に当たる人材を育成するコースを検討しているとのこと。併せて、経営層に対してGSXの知見を共有し、CISO(最高情報セキュリティ責任者)やCSO(最高戦略責任者)に相当する立場の人々を増やしていく取り組みも進めたいとしている。

教育は投資、個人のキャリアアップにも大きな第一歩に

 情報処理推進機構(IPA)などの公的機関を除けば、初の国産セキュリティ資格であるSecuriST/脆弱性診断士の発表を受け、競合企業からも応援の声が届いているという。それだけ、セキュリティ人材の育成に課題を感じている人が多いことの証しだろう。「業界全体で盛り上げていこうという想いをいただき、本当にありがたく思っています」と武藤氏は述べる。

 発表から間もない認定脆弱性診断士コースだが、既に200人弱が受講済みとのこと。「アプリケーションエンジニアやインフラエンジニアも、セキュリティの知識がないと現場で活躍しにくい状況もあります」(伊藤氏)という背景から、システムインテグレーターやSES(System Engineering Service)事業者が申し込んでいる他、日本全国の大学組織においてサイバーセキュリティに関わる方々向けの講座としても展開している。

 こうした資格へのチャレンジは、企業、ひいては日本全体のセキュリティレベルの底上げだけでなく、エンジニア個々人のキャリアアップのきっかけにもなる。与儀氏は「私は日本体育大学出身でかつては営業マンでしたが、一念発起してISMS(情報セキュリティマネジメントシステム)審査員、そしてCISSPの取得に取り組みました。そうするとお客さまの目が『営業マンの与儀』から、『困ったことを相談できるセキュリティ専門家』に変わりました。これが自分にとって大きなキャリアアップだったと思っています」と自らのキャリアを振り返る。今では役員を務めるまでに至った与儀氏にとって、資格取得が大きな一歩となったわけだ。

 ただ、「経営層もセキュリティのプロに見合った報酬をきっちりと与え、評価していかなければいけないでしょう。技術者だからと一律の給与にとどめたり、何も起きなかったから去年と同じ評価をしたりしていては、プロは会社を出て行ってしまいます。見合った報酬を出すことも必要な投資と捉える必要があるでしょう」(与儀氏)。そこに経営層が気付けるかどうかがポイントになるが、三木氏によると、西日本では徐々にそうした企業が増えてきているという。

 デジタル化が進む中、高度化するサイバー脅威に対応して自社を守るには、ツールやシステムだけでなく人材の育成が必要だ。「人は城、人は石垣、人は掘」といわれるが、しっかりと体系的な知識を身に付けた人材は、自社を守る強い石垣や堀、城になってくれるだろう。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:グローバルセキュリティエキスパート株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2021年4月3日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。