セキュリティ対策に必要となる人材像と育成のための研修体系

セキュリティ対策に必要となる人材像と育成のための研修体系

事業運営にITシステムが欠かせなくなっている今、ほとんどすべての企業がセキュリティ対策に取り組んでいます。しかし、ますます複雑・巧妙化している昨今のサイバー攻撃は、従来のセキュリティ対策だけでは防御しきれなくなっています。

そのため、サイバー攻撃を受ける前提で、攻撃をいち早く検知し、適切に対処する「サイバーセキュリティ対策」が求められています。

ここでは、サイバーセキュリティ対策を中心としたセキュリティ対策の動向と、対策に必要となる人材像、またその育成についてご紹介します。

サイバー攻撃は巧妙化、かつ重要課題に

セキュリティインシデント発生を前提にした体制づくりが必須

セキュリティ対策に必要な人材とは

セキュリティ対策に必要な人材育成のための研修体系

サイバー攻撃は巧妙化、かつ重要課題に

2020年のサイバー攻撃の被害報告は年間45,843件となっており、サイバー攻撃による被害が後を絶ちません *1。また、近年のサイバー攻撃は、ますます複雑・巧妙化しているため、従来の水際対策だけでは防御できなくなっています。

サイバー攻撃の影響は甚大です。2020年には、国内企業に対し「ランサムウェア」を使った攻撃が行われ、暗号化の解除とデータの公開という「二重の脅迫」により、約11億円もの身代金を要求されるケースが報告されました。こうした攻撃は、組織の規模、扱っている情報等に関わらず、すべての企業・組織が標的となりえます。

サイバー攻撃は巧妙化、かつ重要課題に

*1 一般社団法人JPCERTコーディネーションセンターのレポート より
https://www.jpcert.or.jp/ir/report.html

セキュリティインシデント発生を前提にした体制づくりが必須

このような状況下では、サイバー攻撃などのセキュリティインシデントは起こりうるという前提に立ち、攻撃をいち早く検知し、適切に対処(被害拡大防止、再発防止)することが求められます。その対策のための体制として、CSIRT(Computer Security Incident Response Team)を設置する企業も増えてきました。

CSIRTとは、セキュリティインシデントが発生することを前提とした対応チームです。セキュリティインシデントの予防、検知、対処、解析・調査といった活動を行い、被害拡大防止や再発予防をすることで、セキュアなITサービスの実現を目指します。

しかし、IPAの調査*2によると、国内企業においてCSIRT専任の人員が配置されている割合は少なく、いざインシデントが発生した際に、事業の内容に即した迅速かつ十分な初動対応ができない可能性を指摘されています。また、「担当者の専門知識が不足している」ことに対して課題認識を持つ企業が以前より増えており、セキュリティ業務に対応できる人材の確保に苦慮しているようです。

*2 IPA「企業のCISO等やセキュリティ対策推進に関する実態調査」報告書(2020年3月25日)(PDF)
https://www.ipa.go.jp/files/000081199.pdf

セキュリティ対策に必要な人材とは

セキュリティ対策に必要な人材が大幅に不足している、という課題意識のもと、経済産業省や経団連*3、日本ネットワークセキュリティ協会*4 など様々な組織で、必要な人材像が検討されています。

これらの検討内容を参考にして、NECマネジメントパートナーではセキュリティ対策に必要な5タイプの人材像を定義しました。 右図をごらんください。

図に示した通り、企業のセキュリティ対策に関わる人材は、以下5タイプが挙げられます。

セキュリティ対策に必要な人材と

① インシデントレスポンス担当者(CSIRT)

セキュリティインシデント発生時に、各部門担当者やシステムエンジニア、CISO、セキュリティベンダと連携して被害の最小化を図る人材。

② セキュリティ技術を身につけたいシステムエンジニア

情報システムを構築・運用する技術者。情報システムのセキュリティ機能を実装し、また情報セキュリティ技術の専門家として情報セキュリティ管理を支援する人材。

③ 情報システムの利用者

自社の情報システム利用者。サイバー攻撃などの脅威に関する最新の知識を持ち、安全に情報システムを利用できる人材。

④ セキュリティ管理者

自情報セキュリティ管理体制(ISMS)を構築・運用する人材。

⑤ サイバーセキュリティ専門技術者

セキュリティサービスを提供するベンダーに所属し、セキュリティ診断(脆弱性診断)・監視・解析やセキュリティツールの開発などを行う人材。

セキュリティ対策には、CSIRTなどのセキュリティ管理体制の整備に加え、それぞれの人材の確保や、社員のセキュリティ対策知識・スキルの強化が必要不可欠です。

*3 経団連 産業横断サイバーセキュリティ人材育成検討会 http://cyber-risk.or.jp/
*4 NPO日本ネットワークセキュリティ協会 セキュリティ知識分野(SecBoK 2019)
https://www.jnsa.org/result/2018/skillmap/

セキュリティ対策に必要な人材育成のための研修体系

NECマネジメントパートナーでは、セキュリティ対策に必要な人材を育成するための研修体系を用意しています。

① インシデントレスポンス担当者向け研修体系
② セキュリティ技術を身につけたいシステムエンジニア向け研修体系
③ 情報システムの利用者向け研修一覧
④ セキュリティ管理者向け研修体系
⑤ サイバーセキュリティ専門技術者向け研修一覧
⑥ 資格取得を目指す

① インシデントレスポンス担当者向け研修体系

インシデントレスポンス担当者(CSIRT)は、セキュリティインシデントにおける被害の最小化に努めるために、「インシデント対応」「セキュリティ専門技術」「組織内CSIRTの構築」の知識・スキルを身につける必要があります。

※コース名をクリックしてコース内容をご覧ください
インシデント・レスポンス担当者向け研修体系

■インシデントレスポンス担当者様の受講必須コース!

インシデントレスポンス担当者は、適切にサイバー攻撃のインシデント対応、フォレンジック・解析などの活動を遂行しなくてはなりません。そのためには、以下の知識・スキルが必須であると、NECマネジメントパートナーは考えます。
もし、不足している知識・スキル等ございましたら、ぜひご受講ください。
  • セキュリティ技術全般の基礎知識 修得コース(以下いずれかのコースで修得できます)
  • インシデントハンドリングとその手法 修得コース
  • サイバー攻撃の手口とその対策方法 修得コース

② セキュリティ技術を身につけたいシステムエンジニア向け研修体系

システムエンジニアが、安全な情報システムを構築・運用するためには、情報システムを構成するインフラストラクチャ(主にネットワーク)、OS、アプリケーションの三大要素についての知識修得と、それぞれのセキュリティ技術を身につける必要があります。

※コース名をクリックしてコース内容をご覧ください システムエンジニア向け研修体系

③ 情報システムの利用者向け研修一覧

セキュリティ事故の多くは利用者意識の低さが原因と言われています。いくら技術的な対策を施しても、それを利用する一人ひとりの意識が低ければ意味をなしません。
最新のセキュリティ知識を身につけさせ、セキュリティ意識を高めるために、以下の研修が活用いただけます。

◆全社員向け

◆部門リーダーの方向け

部門に1人は、体系立ったセキュリティ知識を身につけた方をアサインすることをおすすめします

④ セキュリティ管理者向け研修体系

情報セキュリティ管理体制(ISMS)の確立・運用に向けた研修体系は以下をご覧ください。

⑤ サイバーセキュリティ専門技術者向け研修一覧

サイバーセキュリティ専門技術者向けには、次のセキュリティインシデント対策の4つの分野ごとに、高度なスキルを身につける研修を揃えています。
診断
:攻撃者の視点を持ち、組織のシステムに対して疑似攻撃を行い、情報システムの脆弱性やその影響度について診断する
監視
:迅速な対処をするために、いち早くインシデントを検知する
インシデントレスポンス
:被害拡大防止のため、迅速な対処を行う
フォレンジック・解析
:インシデントの原因を分析し、対処や再発防止につなげる

◆診断

◆監視

◆インシデントレスポンス

◆フォレンジック・解析

○: 株式会社ラックとの提携コース
◇: サイバーディフェンス研究所との提携コース

⑥ 資格取得を目指す

情報セキュリティの総合力を対外的にアピールするには、資格の取得が近道です。情報セキュリティの資格取得を目指す方のための研修を揃えています。

◆情報セキュリティマネジメント

◆情報処理安全確保支援士

◆SEA/J

◆CompTIA Security+

◆CompTIA Cybersecurity Analyst(CySA+)

◆CEH(Certified Ethical Hacker)

◆CND(Certified Network Defender)

◆CISSP

ページの先頭へ戻る