セキュリティ対策に必要となる人材像と育成のための研修体系

事業運営にITシステムが欠かせなくなっている今、ほとんどすべての企業がセキュリティ対策に取り組んでいます。しかし、ますます複雑・巧妙化している昨今のサイバー攻撃は、従来のセキュリティ対策だけでは防御しきれなくなっています。

そのため、サイバー攻撃を受ける前提で、攻撃をいち早く検知し、適切に対処する「サイバーセキュリティ対策」が求められています。

ここでは、サイバーセキュリティ対策を中心としたセキュリティ対策の動向と、対策に必要となる人材像、またその育成についてご紹介します。

サイバー攻撃は巧妙化、かつ重要課題に

サイバー攻撃による被害が後を絶ちません。2015年のサイバー攻撃の被害報告は年間16,590件となっており、2006年からの10年で6倍以上に膨れ上がっています ^*1。また、近年のサイバー攻撃は、ますます複雑・巧妙化しているため、従来の水際対策だけでは防御できなくなっています。

サイバー攻撃の影響は甚大です。2015年には、日本年金機構に対し「標的型攻撃メール」を使った攻撃が行われ、結果として125万人分の年金個人情報が流出しました。また、大手旅行会社でも同じく「標的型攻撃メール」により、約700万人分の顧客情報が流出した恐れがあると発表されたニュースは記憶に新しいところです。

サイバー攻撃は巧妙化、かつ重要課題に

*1 一般社団法人JPCERTコーディネーションセンターのレポート　より
https://www.jpcert.or.jp/ir/report.html

セキュリティインシデント発生を前提にした体制づくりが必須

このような状況下では、サイバー攻撃などのセキュリティインシデントは起こりうるという前提に立ち、攻撃をいち早く検知し、適切に対処（被害拡大防止、再発防止）することが求められます。その対策のための体制として、CSIRT（Computer Security Incident Response Team）を設置する企業も増えてきました。

CSIRTとは、セキュリティインシデントが発生することを前提とした対応チームです。セキュリティインシデントの予防、検知、対処、解析・調査といった活動を行い、被害拡大防止や再発予防をすることで、セキュアなITサービスの実現を目指します。

IPAの「企業の CISO や CSIRT に関する実態調査 2016」^*4 によると、日本では、設置したCSIRT 等の有効性について、期待したレベルを満たしていないという回答が多く、その原因は、日本企業では米欧に比べ情報セキュリティ業務担当者の量的充足度及び質的充足度が低い傾向にあるため、とされています。

*4　IPA「企業の CISO や CSIRT に関する実態調査 2016」　（PDF）　https://www.ipa.go.jp/files/000052362.pdf

セキュリティ対策に必要な人材とは

体制づくりだけでなく、セキュリティ対策に必要な人材が大幅に不足しているという課題意識のもと、経済産業省や、経団連 ^*2、日本ネットワークセキュリティ協会 ^*3など様々な組織で、必要な人材像の検討が進められています。

これらの検討内容を参考にして、NECマネジメントパートナーでは企業のセキュリティ対策に必要な人材像をまとめました。右図をごらんください。

図に示した通り、企業のセキュリティ対策に関わる人材は、以下５タイプが挙げられます。

① インシデントレスポンス担当者（CSIRT）

セキュリティインシデント発生時に、各部門担当者やシステムエンジニア、CISO、セキュリティベンダと連携して被害の最小化を図る人材。

② セキュリティ技術を身につけたシステムエンジニア

情報システムを構築・運用する技術者。情報システムのセキュリティ機能を実装し、また情報セキュリティ技術の専門家として情報セキュリティ管理を支援する人材。

③ 情報システムの利用者

自社の情報システム利用者。サイバー攻撃などの脅威に関する最新の知識を持ち、安全に情報システムを利用できる人材。

④ セキュリティ管理者

自情報セキュリティ管理体制（ISMS）を構築・運用する人材。

⑤ サイバーセキュリティ専門技術者

セキュリティサービスを提供するベンダーに所属し、セキュリティ診断（脆弱性診断）・監視・解析やセキュリティツールの開発などを行う人材。

企業のセキュリティ対策には、CSIRTなどのセキュリティ管理体制の整備と、それぞれのタイプの人材の確保や、社員のセキュリティ対策知識・スキルの強化が必要不可欠です。

*2 経団連　産業横断サイバーセキュリティ人材育成検討会　http://cyber-risk.or.jp/
*3 NPO日本ネットワークセキュリティ協会　セキュリティ知識分野（SecBoK）人材スキルマップ2016版　http://www.jnsa.org/result/2016/skillmap/

セキュリティ対策に必要な人材育成のための研修体系

NECマネジメントパートナーでは、セキュリティ対策に必要な人材を育成するための研修体系を用意しています。

① インシデントレスポンス担当者向け研修体系
 ② システムエンジニア向け研修体系
 ③ 情報システムの利用者向け研修一覧
 ④ セキュリティ監査者向け研修体系
 ⑤ サイバーセキュリティ専門技術者向け研修体系

① インシデントレスポンス担当者向け研修体系

インシデントレスポンス担当者は、セキュリティインシデントにおける被害の最小化に努めるために、「インシデント対応」「セキュリティ専門技術」「組織内CSIRTの構築」の知識・スキルを身につける必要があります。

※コース名をクリックしてコース内容をご覧ください
インシデント・レスポンス担当者向け研修体系

■インシデントレスポンス担当者様の受講必須コース！

インシデントレスポンス担当者は、適切にサイバー攻撃のインシデント対応、フォレンジック・解析などの活動を遂行しなくてはなりません。そのためには、以下の知識・スキルが必須であると、NECマネジメントパートナーは考えます。
これらは、図の「必須」と書かれた研修で修得できますので、もし、不足している知識・スキル等ございましたら、ぜひご受講ください。

セキュリティ技術全般の基礎知識　修得コース（以下いずれかのコースで修得できます）

インシデントハンドリングとその手法　修得コース

サイバー攻撃の手口とその対策方法　修得コース

ハッキング技術

② システムエンジニア向け研修体系

システムエンジニアが、安全な情報システムを構築・運用するためには、情報システムを構成するインフラストラクチャ（主にネットワーク）、OS、アプリケーションの三大要素についての知識修得と、それぞれのセキュリティ技術を身につける必要があります。

※コース名をクリックしてコース内容をご覧くださいシステムエンジニア向け研修体系

③ 情報システムの利用者向け研修一覧

セキュリティ事故の多くは利用者意識の低さが原因と言われています。いくら技術的な対策を施しても、それを利用する一人ひとりの意識が低ければ意味をなしません。
最新のセキュリティ知識を身につけさせ、セキュリティ意識を高めるために、以下の研修が活用いただけます。

◆全社員向け

情報セキュリティ 2016 入門（eトレーニング）
最近発生しているセキュリティ事件・事故をもとに、私たち一人一人が気をつけるべきことや心構え、セキュリティ対策の基本を修得できます

◆部門リーダーの方向け

部門に1人は、体系立ったセキュリティ知識を身につけた方をアサインすることをおすすめします

セキュリティ入門
または
利用者のためのセキュリティ基礎（eトレーニング）
コンピュータを利用するうえでの脅威と、その対処方法に関する知識を修得します。
ソーシャルエンジニアリングの手法と対策（eトレーニング）
ソーシャルエンジニアリングの手法とその対策の考え方を修得します。

④ セキュリティ管理者向け研修体系

情報セキュリティ管理体制（ISMS）の確立・運用に向けた研修体系は以下をご覧ください。

ISMS/個人情報保護/事業継続管理（BCP/BCM)講習会のご案内　（PDF 364KB）

⑤ サイバーセキュリティ専門技術者向け研修一覧

サイバーセキュリティ専門技術者向けには、次のセキュリティインシデント対策の4つの分野ごとに、高度なスキルを身につける研修を揃えています。

診断: ：攻撃者の視点を持ち、組織のシステムに対して疑似攻撃を行い、情報システムの脆弱性やその影響度について診断する
監視: ：迅速な対処をするために、いち早くインシデントを検知する
インシデントレスポンス: ：被害拡大防止のため、迅速な対処を行う
フォレンジック・解析: ：インシデントの原因を分析し、対処や再発防止につなげる

◆診断

◆監視

セキュリティオペレーション実践コース　○

◆インシデントレスポンス

◆フォレンジック・解析

○：　株式会社ラックとの提携コース
◇：　サイバーディフェンス研究所との提携コース