意外と知らない“サイバーセキュリティの業務定義”を再整理 自社にとって何が必要かを定義するには?:セキュリティ人材育成を考える(3)
サイバーセキュリティ人材不足をどう解決すればいいのか、セキュリティ人材の育成などについて解説する本連載。第3回は、企業、組織においてサイバーセキュリティについてどのような業務を行う必要があるのかについて。
第1回、第2回では、「サイバーセキュリティ人材の不足」「必要なサイバーセキュリティ人材」を見てきました。第3回は「サイバーセキュリティの業務定義」と題して、企業、組織においてサイバーセキュリティでどのような業務を行う必要があるのかについてお話しします。
前回は、どのようなサイバーセキュリティ人材が必要で、大まかにどのようなことをやらないといけないのか、そのための人材確保はどう進めるのか、その方向性を中心に紹介してきました。それを踏まえ今回は、組織の事情に合わせた、もう一歩踏み込んだ対応のサイバーセキュリティ業務について考えていきます。
一般的にサイバーセキュリティに関わる業務は多岐にわたります。例えば、ラックが職業をまとめた「サイバーセキュリティ仕事ファイル」を見ると、サイバー犯罪捜査官、セキュリティインストラクター、大学教授、弁護士、研究者から、インシデントハンドラー、テスター、フィッシングハンターなど、幅広く多様であることが分かります。
ただ、一般企業においては、世の中に存在するサイバーセキュリティ職種の業務を全てやる必要性はなく、第2回でもお伝えしているように業務機能を企画、管理、運用の3つに分類して、それぞれに特化した形で業務に携わることを提案します。本稿ではこの企画、管理、運用に絞った形で職種、業務を紹介していきます。
業務の洗い出しと次に向けた対応
まず、自組織に不足しているサイバーセキュリティ業務内容を洗い出しましょう。やり方は大きく2つ考えられます。
1つは政府や研究機関などが策定したガイドラインなどと自組織の状況を照らし合わせ、項目ごとにできている、できていない、を評価した上で、できていないもののうちから優先度、緊急度の高いものから着手し、それを担う人材を育成、確保していくというやり方です。
もう1つは自分たちが実践しているサイバーセキュリティ業務を洗い出し、次に目指す状態を定義した上で、ギャップとなる部分、業務を洗い出して、そこから取り組み始めるやり方です。
前者はバックキャスティング(理想から逆算するやり方)、後者はフォーキャスティング(現在から次の一手をどうするかを考えるやり方)といえますが、どちらにもメリット、デメリットがあります。
改善の考え方 | 概要 | メリット | デメリット |
---|---|---|---|
バックキャスティング(Backcasting) | 理想とのギャップを確認して、優先度の高いものから対応する | ・求められるレベルを意識できる ・業務を網羅的にカバーできる ・スピード感ある改善ができる |
・ある程度、サイバーセキュリティ業務が成熟してないと、難易度が高くなる |
フォーキャスティング(Forecasting) | 現在から次の一手に向かうためのギャップを対応する | ・自社、自組織の事情に合った、現実的な対応が取れる | ・対応の妥当性、網羅性を判断することが難しい ・改善のスピード感に劣る |
改善に当たってのアプローチ |
バックキャスティングはサイバーセキュリティ対応が成熟してきている大企業向けといえそうですし、中小企業などのスリムな組織にはフォーキャスティングの方がやりやすいと考えられます。ただし、フォーキャスティングでやる場合には、進む方向が正しいのかが分かりにくく、世の中の変化についていけなくなる心配もあります。
そのため、どちらかのみを採用するよりは、両方の良い点を取り入れるハイブリッド型で進めていくことをお勧めします。例えば、PDCAサイクルに落とし込むと以下のようになります。
- (1)P:活用実績のあるフレームワークやセキュリティガイドラインを活用して、業務内容や必要な機能を洗い出す
- (2)P:いつまでに、どうなりたいのかの「次の状態」を定義する
- (3)P:「次の状態」に到達するために必要な対応(現在とのギャップを解消するもの)を洗い出す
- (4)P:改めて、期間や費用、人的リソースなどの観点で、必要な対応が現実的かどうかを検証する
- (5)P:RACIや5W1Hなどの観点から、必要な対応を具体化、具現化して計画に落とし込む
- (6)D:計画されたアクションを進める
- (7)C:週次、月次などで進捗(しんちょく)を確認する
- (8)A:計画と実態との乖離(かいり)が大きくなる場合は計画を見直すなど、微調整する
この形で進める場合でも、「次の一手」はできれば中長期的な視点を持った3カ年計画などを立案し、「次の一手」→「その次の一手」→「さらに次の一手」まで視野に入れると、一貫性のある対応になるでしょう。
ビジネス環境は常に変化しています。計画の見直しは織り込み済みとして、見直しのきっかけとする指標を事前に設定する、目標設定に幅を持たせる(Target:達成したい最低限の目標、Aspire:ぜひ達成したい目標)などの調整幅を持たせておくこともPDCAサイクルを回し続けるためには必要です。
ガイドラインを活用して方向性を決める
では、先にも触れましたガイドラインについて、もう少し紹介しましょう。
サイバーセキュリティの人材育成に関連するガイドラインといえば、日本ではIPA(独立行政法人情報処理推進機構)が公表している「ITSS+」(ITスキル標準プラス)やJNSA(特定非営利活動法人日本ネットワークセキュリティ協会)が公表する「SecBok」(情報セキュリティ知識項目)が挙げられますし、海外においてはNIST(米国国立標準技術研究所)が公表している「SP800-181」(NICE NIST Cybersecurity Workforce Framework、以下NIST SP800-181)が挙がります。
また、経済産業省が発行している「サイバーセキュリティ体制構築・人材確保の手引き(第2版)」ではITSS+と、NIST Cybersecurity Framework(以下、NIST CSF)を紹介しています。
ガイドライン | 公表者 | 概要 | 想定される使い方 |
---|---|---|---|
ITSS+ | IPA | 必要な人材、タスクなどを言及しており、「サイバーセキュリティ体制構築・人材確保の手引き」と整合している | 今の時代に必要な人材像を意識できる |
SecBok | JNSA | サイバーセキュリティ人材に必要な知識、スキルなどをテクニカルスキルのみならず、汎用(はんよう)的なスキルも含めて記載している | 辞書的な使い方を想定する |
NIST SP800-181 | NIST | サイバーセキュリティにおけるさまざまな業務やそれに求められる能力などを共通化することを目的としている | かなり詳細なため、厳密な計画遂行時に有効か |
NIST CSF | NIST | 重要インフラをサイバーセキュリティの観点で守るために行いたい機能、事項が記載されており、世界で広く普及している | 機能、業務の洗い出しに活用しやすい |
サイバーセキュリティの主なガイドラインなど
では、4つ紹介した中で、NIST CSFとITSS+について、もう少し紹介していきます。
NIST CSFに記載されているサイバーセキュリティ機能
NIST CSFは広く普及している点やサイバーセキュリティ機能、業務を洗い出しやすいという特徴があります(NIST CSF 2.0版案が現在、公表されていますが、ここでは広く活用実績のある1.1版をベースにして解説します)。
これはサイバーセキュリティにおける機能ベースのリストであり、どの立場でそれをやるのかを整理する必要性がありますが、計画に関することは企画機能とし、進捗管理や改善活用は管理機能、技術的な対応は運用機能という分類にして、自組織の事情に合わせて微調整する形がよいでしょう。
また、ここに記載されている粒度ではまだ具体性に欠ける場合は、作業レベルにまでブレークダウンした具体的なキーワードに落とし込むと、より分かりやすくなります。例えば「組織の資産(データ、要員、設備など)管理」と書いてある部分でしたら、「情報資産の洗い出し」「情報資産の重要度設定」「定期的な情報資産の棚卸し」「追加、償却時の対応」のように具体化します。
ITSS+に記載されているタスク
ITSS+でもサイバーセキュリティ関連タスクという業務内容が記載されています。NIST CSFでは観点が「サイバーセキュリティの対応段階(平時、有事)で行う業務」でしたが、ITSS+では「どの立場がどのような業務を行うのか」となるため、業務にふさわしい人材を配置するのに活用しやすいガイドラインです。
階層 | 組織体など | サイバーセキュリティ関連タスク | 関連する職種など |
---|---|---|---|
経営層 | 取締役会、役員会議など | ・サイバーセキュリティ意識啓発 ・対策方針指示 ・ポリシー、予算、実施事項承認 |
取締役、CIO(最高情報責任者)、CDO(最高デジタル責任者)、CISO(最高情報セキュリティ責任者) |
戦略マネジメント層 | 内部監査部門 | ・システム監査 ・セキュリティ監査 |
システム監査、セキュリティ監査 |
管理部門 | ・BCP(事業継続計画)対応 ・官公庁、法令などへの対応 ・記者、広報対応 ・調達、契約、検収 ・施設管理、物理セキュリティ ・内部犯行対策 |
法務 | |
セキュリティ統括 | ・リスクアセスメント ・ポリシー/ガイドライン策定、管理 ・サイバーセキュリティ教育 ・社内相談対応 ・インシデントハンドリング |
セキュリティスペシャリスト(企画) セキュリティスペシャリスト(管理) |
|
経営企画、事業部門 | ・事業戦略立案 ・システム企画 ・要件定義、仕様書作成 ・プロジェクトマネジメント |
DX(デジタルトランスフォーメーション)関連 | |
実務者層、技術者層 | 開発(設計、開発、テスト) | ・セキュアシステム要件定義 ・セキュアアーキテクチャ設計 ・セキュアソフトウェア方式設計 ・テスト計画 ・基本、詳細設計 ・セキュアプログラミング ・テスト、品質保証 ・パッチ開発 ・脆弱(ぜいじゃく)性診断 |
システム開発者 システムエンジニア セキュリティスペシャリスト(運用) |
保守運用 | ・構成管理、運用設定 ・脆弱性対応 ・セキュリティツールの導入、運用 ・監視、検知、対応 ・インシデントレスポンス ・ペネトレーションテスト ・現場教育、管理 ・設備管理、保全 ・初動対応、原因究明、フォレンジック ・マルウェア解析 ・脅威、脆弱性情報の収集、分析、活用 |
セキュリティスペシャリスト(管理) セキュリティスペシャリスト(運用) |
|
研究開発 | ・セキュリティ理論研究 ・セキュリティ技術開発 |
セキュリティ研究者 | |
ITSS+に記載されているサイバーセキュリティ関連タスク(※サイバーセキュリティ体制構築・人材確保の手引き《第2版》の記載を筆者にて一部改変) |
この中でも、サイバーセキュリティ業務に特化した形であれば、まず「セキュリティ統括」「開発」「保守運用」に焦点を絞って考えると分かりやすいでしょう。ITSS+は日本のガイドラインということもあり、NIST CSFから考えるよりも、よりイメージしやすいかもしれません。
サイバーセキュリティ業務の定義から人材育成につなげる
紹介してきたように、サイバーセキュリティの分野でも、業務、機能や役割、はたまた人材育成に関連する種々のガイドラインが存在します。ただし、それぞれに特定の目的、用途があり、「唯一、これを使えばよい」という万能なものはありません。
そのため、自社、自組織における状況に応じて、活用しやすいものを使って進めていくのが良いでしょう。その意味で、特に「ITSS+」はIT投資や今の時代に合うように意識されている点からも有力な選択肢となりそうです。
これらを活用しつつ、冒頭でお伝えしたような流れでPDCAサイクルになぞらえて進めていくことが肝要です。業務定義を踏まえて現状を把握した上で次の状態を定義し、それをどうやって人材育成につなげていくか、Howの部分は次回で詳細をお伝えしていきます。
次回、第4回は「効率的なサイバーセキュリティ人材育成」と題して、どうやって人材育成をしていくと効果的、効率的なのかを考えていきます。お楽しみに。
参考文献
経済産業省 サイバーセキュリティ体制構築・人材確保の手引き(第2版)
Copyright © ITmedia, Inc. All Rights Reserved.