ITmedia Security Week 2022夏の「"高度セキュリティ人材”と“セキュリティアウェアネス」ゾーンでは、(ISC)2とNECのサイバーセキュリティ戦略統括部のCISSP有資格者が登壇した。ビジネスを守り、拡大するための高度セキュリティ人材とその育成、情報漏えいやウイルス感染などの被害を出さない組織になるための“気付ける力”「セキュリティアウェアネス」について解説した。
セキュリティ人材の育成には何が必要なのだろうか。基調講演は「グローバルでのサイバーセキュリティ人材育成と資格の関係」と題して、「CISSP」(Certified Information Systems Security Professional)などのサイバーセキュリティ資格を提供する(ISC)2のDirector of Business Development, Japanを務める小熊慶一郎氏が登壇した。
(ISC)2が毎年実施しているグローバルサイバーセキュリティ人材調査「(ISC)2 Cybersecurity Workforce Study 2021」の結果と、企業におけるCISSPなどの資格の活用方法が、講演の目玉だ。
(ISC)2は1989年に米国で設立された世界最大規模のセキュリティ専門家資格を提供するNPO(民間非営利団体)だ。専門的なセキュリティ教育も提供しており、セキュリティ専門家の成長と成功をグローバルでサポートしている。有資格者は175カ国で約16万8000人、日本では約3500人に上る。
「セキュリティ人材の国際需要は410万人と推定され、今後65%の増加が期待されています。それに対し、2020年時点でのセキュリティ人材不足数は312万人に達します。日本では需要が大きく増えていないこともあり人材不足は解消されつつありますが、それでも4万人不足しています」(小熊氏)
セキュリティ人材不足はさまざまな問題を引き起こしている。調査結果によると、人材不足がなければ防げた問題として、「システムの設定誤り」「不十分なリスク評価やリスク管理」「重要システムへのパッチ適用の遅れ」「手順やルールが守られない」などが挙がっている。
「企業はこうした問題に対し、現人員の育成と離職防止、外部人材の新規採用、従業員から新たな人材を育成することなどで対応しています。トレーニングへの投資やクラウドの利用、業務の自動化などにも取り組んでいます。その結果、5年前から『セキュリティが多様化した』と回答した企業は半分を超えています。多様化の背景には、メンタリングプログラムの全職域への導入、柔軟な労働条件の提示、経営と雇用への多様な人材の採用などがあります。サイバーセキュリティはトレーニングが充実していることもあり、技術スキル以外の適性で採用し、その後、育成できるのです」(小熊氏)
調査ではセキュリティ人材に求められる適性についても聞いている。それによると「高い問題解決力」「好奇心と学習意欲」「高いコミュニケーションスキル」「高い戦略的思考能力」が挙がった。また、若年層の間ではキャリアパスとして「IT業界からサイバーセキュリティに」の他にも、「IT以外からサイバーセキュリティに」「サイバーセキュリティ系の教育を受けて」「独学でサイバーセキュリティを学んで」など、最初からセキュリティを志望したり、学んだりする傾向が見て取れた。
「セキュリティ専門家になった後も学ぶことは重要です。今後2年間で身に付けたいスキルとしては、クラウドセキュリティ、リスク評価と管理、AI(人工知能)、GRC(Governance Risk Compliance)、脅威インテリジェンス、DevSecOpsなど挙がりました。また今後取得したい資格としては、CCSP(Certified Cloud Security Professional)、ISO 27001 Lead Implementer、BS(British Standard)7799、Securing Cisco Networks with Threat Detection and Analysis(Cisco SCYBER)、AWS Certified Security - Specialtyなどが上位を占めました」(小熊氏)
CISSPもこうした資格の一つとして有用だ。(ISC)2はセキュリティ専門家が身に付けるべきセキュリティに対する考え方や知識を「CISSP CBK」(CISSP共通知識体系)としてまとめている。CISSP CBKを学ぶことで、グローバルスタンダードの考え方に基づいた網羅的でバランスの取れたセキュリティ対策が可能になる。例えば、CISSPは「セキュリティによって組織のビジョン、ミッション、事業目標をサポートし、実現することを目的とする」という考え方に基づく。
「自動車レースに例えると、単なるブレーキマニアを育てるのではなく、レースで勝つためのブレーキを考えることがCISSPの視点です。勝つためのセキュリティ、すなわち、組織の目標達成をサポートするセキュリティを考えるのがCISSPの狙いです」(小熊氏)
最後に小熊氏は「資格はツールです。資格を維持し、活用することで体系的なセキュリティ知識に肉付けし、専門性を高めることができます。CISSP CBKに基づいた対策で、抜け漏れや偏りを排除し、網羅的なバランスの取れたセキュリティを実現できます」と訴えて講演を締めくくった。
続いて、NEC サイバーセキュリティ戦略統括部 ディレクター、CISSP 宇都田 賢一氏が登壇。「ビジネスの現場で活躍するセキュリティ人材の育成」と題して、ビジネスの各段階で必要になるスキルや考え方をどのように身に付けるのか、NECの事例を交えて解説した。
宇都田氏はまず、コロナ禍によるテレワーク対応やBCP(事業継続計画)、自組織に閉じないセキュリティ対策など近年の動向に触れながら、「多岐にわたる経営課題としてのセキュリティに的確に対応できる人材とその育成が求められています」と指摘。その上で、セキュリティに対応する人材が活躍するためのキーワードとして次の3つを挙げた。
それは「セキュリティスキルを十分に生かすビジネス環境があること(スキルを生かす環境)」「適切なセキュリティスキルを習得し、維持できること(スキルの獲得、維持)」「セキュリティ人材の価値が裏付けされていること(価値の裏付け)」だ。
1つ目の「スキルを生かす環境」については、予算編成から企画、設計と開発、運用と評価までの各段階で担当部門、担当者が異なること、これに注意が必要だ。「ビジネスプロセスが進むほど制約条件が多くなるため『Security By Design』の考え方に沿って、ビジネスプロセスの早期から適切にセキュリティを組み込むことが不可欠」(宇都田氏)となる。
2つ目の「スキルの獲得、維持」については、NECのセキュリティ人材育成の取り組みを紹介した上で、「NEC Cyber Security Analyst」(NCSA)と「Security By Designスペシャリスト」を育成するプログラムにフォーカスを当てた。
NCSAの修了者はトップセキュリティ人材であり、高度なリスク検査や対策の立案、高度なインシデントレスポンス、セキュリティの脅威情報の分析と活用を担う。半年間のプログラムでCEH(Certified Ethical Hacker)やCISSPを取得する。
一方、Security By Designスペシャリストは、企画段階や設計、開発段階を担う人材だ。企画段階では、セキュリティインシデントによるセキュリティ対策の重要性を理解し、セキュリティに関わる仕事を適切に組み込むためのタスクを理解し、実践する。設計、開発段階では、セキュアな開発と運用の実施基準を理解し、プロジェクトをリードして、適切なセキュリティ実装をチェック、修正する。いずれの段階でも資格としてはCISSP取得を目指す。
3つ目の「価値の裏付け」は、「セキュリティスキル」「第三者からの認定」「セキュリティに関する考え方」の3つによって、セキュリティ人材の価値を高める取り組みだ。
「ビジネス現場で活躍する人材の育成には、CISSPの8つのCBKが役立ちます。NECでもCISSPのセミナー受講者の合格率は75%以上といったように、高いモチベーションを持って取り組んでいます。セキュリティを実装する適切なスキルがあること、セキュリティに関する考え方を持つこと、第三者からの認定を有することがキーになります」(宇都田氏)
続いて、NEC サイバーセキュリティ戦略統括部 シニアディレクター、CISSP 淵上真一氏が登壇。「セキュリティ人材の両輪でビジネスに勝つ」と題して、デジタルトランスフォーメーション(DX)を推進する中で、自組織にとって最適な対策やビジネスを阻害しないセキュリティを実践する方法を解説した。
淵上氏はまず、フィッシング詐欺の急増やマルウェア「Emotet」の感染拡大、経済目的のサイバー犯罪者の増加、犯罪組織におけるRaaS(Ransomware as a Service)エコシステムの広がりといった今日の脅威を解説。「業種や業界、国籍に関係なく、フィッシングメールなどを通じてランサムウェアの被害に遭っています。『自分たちは大丈夫』ということはないと認識することが重要です」と強調した。
DXを中心とした取り組みが加速する中で、「安全なサイバー空間をどう構築していくか」についての考え方は変わってきている。淵上氏によると、これまでは境界線(ペリメーター)で防御するペリメーターモデルだったが、DXのセキュリティのベースになる考え方は「ゼロトラストとサイバーハイジーン(公衆衛生)」になる。
「脅威はあらゆる場所にあるので、ゼロトラストによる信頼の積み重ねが重要です。また、サイバーハイジーンによって全てのITの衛生管理を徹底し、日常の運用で予防することが重要です。NECはそれぞれSecurity By Design、『Security Awareness』の視点で人材育成に取り組んでいます」(淵上氏)
日常におけるセキュリティ対策として、サイバーハイジーンを実践する上では、エンドポイントや環境の衛生状態を維持することが重要になる。
例えば管理者には、情報持ち出しルールの徹底、社内ネットワークへの機器接続ルールの徹底、修正プログラムの適用、セキュリティソフトウェアの導入や定義ファイルの最新化、定期的なバックアップの実施などが求められる。
ユーザーは修正プログラムの適用、セキュリティソフトウェアの導入や最新化、パスワードの適切な設定と管理、不審なメールへの注意、USBメモリなどの取り扱いを注意することが求められる。
オフィスだけでなく家庭内でも、修正プログラムの適用やセキュリティソフトウェアの最新化、定期的なバックアップ、メールやSNSでの不審なURLへの注意、スマートフォンの画面ロックなどが重要だ。
「サイバーハイジーンを実現する上でのポイントがセキュリティアウェアネスです。アウェアネスはリテラシーではありません。単に知識や技術を知っているだけではなく、セキュリティに対する意識向上(気付き)や、各自がITセキュリティの問題を認識し、適切に対応することを目指します」(淵上氏)
その上で淵上氏は「ゼロトラストを設計し、リードしていく高度人材を育成すること、組織の中で働いている全ての従業員がアウェアネスを持っている状態を維持すること。この両輪を回すことでビジネスに勝つことができます」と訴え、講演を締めくくった。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:日本電気株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2022年7月18日