CompTIAが提案する「本当の人材育成」とは:CSIRTを担う「セキュリティ人材」は本当に足りないのか?
人材不足の問題は、単に「足りない」とアバウトに議論されがちではないだろうか──。CompTIAがラックと共催で「セキュリティ人材戦略セミナー 〜できるCSIRTを作る! これからの人材が持つべきスキルとは〜」を開催。人材不足に悩む企業に向けて「どんなスキルを持った技術者を、どのように育成していくか」についての具体的なヒントが示された。
ランサムウェア「WannaCry」の世界的まん延、Apache Struts 2の脆弱(ぜいじゃく)性を突いた不正アクセスによる情報漏えい……。人ごとではないサイバー脅威を目の当たりにし、事前対策を強化しつつ、いざというときに迅速に対応に当たれるようにする企業内組織体、「CSIRT(Computer Security Incident Response Team)」の整備に取り組む企業が増えてきた。
しかし、そこで必ずと言っていいほど浮上するのが「人材が足りない」という課題だ。そもそも、本当に人材は足りないのだろうか。足りないとすれば、具体的にどんなスキルを持った人材が足りず、どのように補うべきなのだろうか。
非営利のIT業界団体として、長年にわたってIT関連認定資格制度を展開してきたCompTIAと、セキュリティ企業のラックが、この「根本」となる課題にフォーカスし、解決策の指針を示すセミナー「セキュリティ人材戦略セミナー〜できるCSIRTを作る! これからの人材が持つべきスキルとは〜」を2017年6月21日に開催した。
冒頭のあいさつに立ったラック 常務執行役員の山中茂生氏は、「昨今、同社が展開するセキュリティ教育事業に対するニーズが多様化しています。つまり、求められる人材も多岐にわたるようになったことになります」と述べ、「どこまでを自分たちで実施し、どれをアウトソースするか。自分たちでやるならば、どんなスキルや資格を持つ人員が必要かを“整理するヒント”をつかんでいただきたい」と来場者に呼び掛けた。
これを踏まえて各セッションでは、CSIRTを構築・運用していく上での課題や、人材・スキル育成のヒントを講師陣が体験を交えながら紹介。資格取得やキャリアパスの在り方などにも踏み込んで、CSIRTを支える人材をどのように見いだし、育てていくかについての指針なども解説された。
「セキュリティ人材が足りない」から、「この役割が足りない」を意識すべき
最初のセッションでは、ANAシステムズ 品質・セキュリティ監理室で、ANAグループ情報セキュリティセンター ASY-CSIRTエグゼクティブマネージャを務める阿部恭一氏が、「日本シーサート協議会『人材の定義と確保』を読み解く」と題して講演を行った。この文書は、CSIRTに求められる役割と実現に必要な人材のスキル、キャリアパスを整理し、解説したもの。2017年3月に改訂版のVer 1.5が公開されている。
阿部氏は「CSIRTを構築するときには、必ず『人材をどうしましょう』という話になります。しかし、これは非常にアバウトな問いかけで、適切ではないと思っています。セキュリティ人材とは何かを整理し、本当に必要な役割、足りない役割を分けて考えなければ、いつまでたっても『人が足りない』と悩む負のループから抜けられません」と指摘した。
『人材の定義と確保』では、「どんな人」ではなく、「どんな役割」が足りないのかを明確にして、企業で人の発掘や育成を具体的に進めていくための対策例がまとまっている。CSIRTに求められる「機能」を大きく4つに分け、それぞれを担う「役割」を16種類に細分化した上で、任用の前提となるスキルを説明している。「これだけの膨大な役割を1人でカバーできるスーパーマンはいません。だから、“役割ごと”に適したスキルを持つ人を任命するのが現実的です」(阿部氏)
例えば、脅威情報や脆弱性情報、攻撃者のプロファイル情報などを収集してキュレーターに引き渡す「リサーチャー(*1)」の役割は、非常に専門的で、経験も問われるスキルが要求される。そのため、一般の企業が内部で育成したり、配置したりするのは難しい。
その一方で、インシデント対応時に全体状況を把握し、履歴を管理する「インシデントマネージャー」や、その処理を担う「インシデントハンドラー」の役割ならば、「インフラなどの障害対応の経験者を訓練すれば、すぐできるようになるはずです」(阿部氏)。このように役割を明確にした上で考えれば、社内で適正な人材を発掘することも可能である。何も「セキュリティの専門家」である必要はない。アウトソーシングする場合にも、具体的に役割を要望することで、役割に合った適切なスキルのある人材を提供してもらえる可能性は高いだろう。
最後に同氏は、「セキュリティ人材は本当に足りないのでしょうか。私は、本当に足りないのはセキュリティ人材ではなく“IT人材”だと思っています。クラウドの普及などで、システム設計や障害対応といった基礎的なITスキルを持たないIT担当者も増えています。そこを危惧しています」と指摘。その上であらためて、「セキュリティ人材が足りないというならば、スキルを細分化して、本当にどんな役割が足りないのか、足りないならばそれを自分のところで持つのか、あるいはアウトソースするのかをしっかり考えるべきです」と述べ、講演を締めくくった。
アシックスの好例に学ぶ社内CSIRT運用:「Security+」取得で業務への理解を深め、自信を持って運用する下地を整えた
続く事例紹介セッションとして、アシックス グローバルIT統括部 グローバル基盤チーム セキュリティ リードの谷本重和氏が登壇。「インシデントに対応できるセキュリティチームメンバーの育成とCSIRT業務の必須知識として資格の利活用とその効用とは」と題して、世界的なスポーツ用品メーカーである同社のセキュリティ強化の取り組みを紹介した。
同社がセキュリティオペレーション体制の整備を本格化させたのは、実は比較的最近のことだ。2015年にセキュリティポリシーを定め、翌2016年に、社長/CEOの直下に置くリスクマネジメント委員会の下に「情報セキュリティ委員会」を組織し、併せて情報システム部門にセキュリティチームを編成した。以来、ISO 27001やISMSによるセキュリティガバナンスモデルの構築やソリューションの導入、人材・チームの強化に取り組んできた。
このセキュリティオペレーション体制を整えた直後、海外の事業所でインシデントが発生。アシックスの組織内CSIRT「ASICS-CSIRT」は、「現場が納得する体制が必須だ」と感じたこの経験を踏まえて発足した。「作った後、どうするのか」などの消極的な意見は全く出なかったという。目的と役割が明確だったためだ。
ASICS-CSIRTは、経営層の意思決定支援、システム設計・構築、インシデントレスポンスおよび調査・診断・改善といった役割を担っている。これらの業務を進める上で、セキュリティエンジニアには「技術的知識だけでなく、管理に関する知識や規格・法令に関する知識」も求めている。
「知識以外のスキルも多くの役割で必要です。具体的には、『ほう・れん・そう』のためのコミュニケーションスキル、セキュリティに関するモラル、洞察力や想像力、観察力などです」(谷本氏)
こうした背景から、ASICS-CSIRTは専門性と基礎知識の底上げを目的に、メンバー3人がCompTIAの「Security+」を率先して取得した。「資格取得によって、メンバーは経験が浅い中でも自信をつけました。何より、これからやっていくことの明確な指針が定まりました。ここが大きいと思います」と谷本氏は振り返る。先日、国内でも大きな影響を受けたWannaCry騒動時にも、ASICS-CSIRTは「脆弱性情報を基に検証」と「社内でどの程度影響が広がるか」の確認を迅速に行い、経営層に対応策を提言。「速攻でパッチを適用せよ」と的確な決断が下されたことから事なきを得たという。
谷本氏は最後に、「SOC(Security Operation Center)的業務は外部へ委託できるとしても、CSIRTは企業文化やビジネス上で重要な方針を即時に判断する必要があります。全てを外部委託する、つまり“人任せ”にはできないのです」と提言し、「“役割”を的確に把握した上で、キモになる部分から内製化していくと良いでしょう」と、これからCSIRTを組織する企業の担当者へアドバイスした。また、それを担うメンバーは、自身の持つ技術を裏付ける資格を取得することによって、大きな自信が付くと付け加えた。
CompTIAのセキュリティ認定資格は、「企業が求める理想と現実のギャップ」を埋める手助けになる
後半のセッションでは、CompTIA プロダクト担当シニアディレクターのジェームス・スタンガー氏が「実践的人材育成のケーススタディー『実践的セキュリティ人材は、こう作られている!』、サイバーセキュリティ人材のキャリアパスが果たす役割」というタイトルで、CompTIAが認定資格を通してどのようなセキュリティ人材を育成し、キャリアパス形成を支援しているかを説明した。
ランサムウェア、DDoS攻撃、顧客情報の漏えい、標的型攻撃、さらにIoTデバイスに感染するMiraiボットネットによるDDoS攻撃……。中には会社の存続を揺るがす規模のセキュリティ事故も発生している。
「かつてセキュリティは技術的な問題でした。しかし今や、CEOこそが関与すべき経営に直結する問題になっています。従って、インシデントレスポンスもビジネスへの影響を考慮する必要があるのです」(スタンガー氏)
こうしたインシデントは「サイバーと現実」「メールとWeb」「SQLサーバとWebサーバ」といった具合に、テクノロジーの接点で起こることが多い。問題の解決に当たるCSIRTは、まずこれらの接点を意識しつつ「自社では“どのようにビジネスが動いているかを理解”した上でレスポンスチームとして計画を立てて、実行していくことが大事です」とアドバイスした。
CSIRT担当者には同時に、テクノロジースキルだけでなく、ソフトスキルも必要である。具体的には、技術的な課題をビジネス視点の言葉に置き換えて、経営層が理解できるように説明できる能力が求められる。ハードウェアやソフトウェアだけではなく、スタンガー氏の言葉を借りると「ウェットウェア(人間の頭脳)が必要」である。
これらを踏まえるとCSIRTには、「問題を解き明かす探偵」のような役割から、「チームを先導していく登山ガイド」のような役割までが求められている。
「チームとして、手順に従いつつ共同作業を分担して進めていくことになる。それには、経営層、法務や広報、管理部門など、技術者以外のメンバーの協力も必要なことを忘れてはいけません。そして、これを有事に正しく機能させるには、座学や教育だけでなく、経験を積むための“演習”と“訓練”も必要になります」(スタンガー氏)
企業のセキュリティ管理者やエンジニア、セキュリティアーキテクトを目指す技術者に必要なスキルを備えていることを示し、既に世界中で30万人以上が取得しているCompTIAの認定資格「Security+」や、2017年6月20日に日本語試験がスタートしたセキュリティアナリスト向けの上位資格「Cyber Security Analyst+」(CSA+)は、こうしたニーズへの対応を目指して提供されている。
特にCSA+は、Security+の取得で基礎的スキルを得ていることを前提に、「脅威の管理」「脆弱性管理」「サイバーインシデント対応」「セキュリティ設計とツールの設計」の4分野に渡ってその知識が問われる。より具体的な「応用力」「実践での対応力」の強化にフォーカスしているのがキモだ。
「CSA+は、コンプライアンスや脅威・脆弱性についての理解といった技術的な理解に加え、その決断によって“ビジネスがどのような影響を受けるかを理解”した上で“有効な対策を実施できるスキル”を持っていることを評価します。つまりこれが、“CSIRTによる、適切な対応を考える能力の強化”につながるわけです」(スタンガー氏)
さらにCSA+の上位には、プロフェッショナル向け資格「CompTIA Advanced Security Practitioner(CASP)」もある。CASPは、全体的なリスク管理能力、適切な手順選定力、経営層や外部調整といったコミュニケーション能力などを求めるスキルをカバーしている。
「CompTIAではこうした資格を通して、セキュリティ人材のキャリアパスを設計できるようにしています。このキャリアパスは、現時点の自身の状況に応じて好きな段階から始めることもできます。またCompTIA認定資格によって、企業は理想とのギャップを埋め、備えを固めることもできるのです。CompTIAはこうした取り組みを通じて、企業のCSIRTチームを作り上げていく活動をこれからも支援していきます」(スタンガー氏)
シナリオベースの「演習」と「振り返り学習」を──“実践的”な人材育成教育の方法とは
最後に、ラック 事業戦略推進室理事で、かつSecurity+の講師をはじめ、さまざまな形でセキュリティ人材育成に携わっている長谷川長一氏が、「実践的人材の育成方法『実践的セキュリティ人材は、こう作れ!』」というタイトルで講演を行った。
まず長谷川氏は、「実践的なセキュリティ人材を育てるには、シナリオベースの演習や訓練形式の教育が必要です」と呼び掛けた。
「教育とは、今日・明日のために教えるものではなく、5年や10年といった長いスパンで考えていかなくてはならないものです。ですから学習や資格取得においても、5年後、10年後のキャリアプランを考えた中で、実際に業務に役立つものかどうかを踏まえて取り組まなければなりません。やみくもに資格を取りさえすれば大丈夫だ、というものではないのです」(長谷川氏)
さまざまな「人」を相手にする情報セキュリティの性質上、偽の情報が入り交じることもある。時間的猶予がない中でも、その事実を見極め、判断を下す能力なども望まれる。さらにインシデントは必ず連鎖関係で起こる。今後の予測を立てたり、さかのぼって事実を見極めたりするために、そんな連鎖のシナリオを思考できる能力も望まれる。
「そのために、実践的人材を作っていくには、知識の詰め込みではなく、シナリオベースの経験が必要です。ずばり、“演習”や“訓練”と呼ばれるものがそれに当たります」(長谷川氏)
もちろん、ツールやコマンドを身に付けるための座学や実機演習は必須だ。しかし座学だけでは、実践的なスキルを身に付けるのは難しい。サッカーのルールはご存じだろうか。ファンならば、戦略もある程度知っている人は多いだろう。しかし、いきなりスペインリーグの試合に出ろと言われたらどうか。演習や訓練を行うのは、これに備えるためである。
そのためにラックや、日本ネットワークセキュリティ協会(JNSA)といった業界団体は、「CTF(Capture The Flag)」と呼ばれるセキュリティ競技会をはじめ、シナリオベースのグループ演習、シミュレーション、ゲーム学習など、多彩な取り組みを積極的に進めている。必ずしも正解にたどり着くわけではない。しかし、本番に近い環境でチームとして課題に取り組めば、経験は確実に積める。成果を振り返り、一緒に学んだ仲間や講師からフィードバックを受けることで得られることは多いはずだ。
経験学習や振り返り学習によって、行動変容が起きる。これまで分からなかったことが分かるようになる。そして、分かったことが「できる」ようになる。人材育成は、分かったではなく、できるというメンバーが集まった組織を作るために必要、ということになるだろう。
長谷川氏は最後に、「育てる人間がいなければ、人材は育ちません。それには、座学だけではなく、経験学習や振り返り学習ができる講師やコンテンツが必要になってきます。でも日本では、“欠点を見つけて評価し、その修正に重点を置く場合が多い”ように思います。これこそが、思うように人材を作れない最大の原因かもしれません。欠点を修正するだけではなく、その人の長所を見つけ、伸ばしていくようにする。会社にとって必要な、高度な人材に育っていくはずです」と訴え、セミナーを締めくくった。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:CompTIA
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年8月7日