事業運営にITシステムが欠かせなくなっている今、ほとんどすべての企業がセキュリティ対策に取り組んでいます。しかし、ますます複雑・巧妙化している昨今のサイバー攻撃は、従来のセキュリティ対策だけでは防御しきれなくなっています。
そのため、サイバー攻撃を受ける前提で、攻撃をいち早く検知し、適切に対処する「サイバーセキュリティ対策」が求められています。
ここでは、サイバーセキュリティ対策を中心としたセキュリティ対策の動向と、対策に必要となる人材像、またその育成についてご紹介します。
サイバー攻撃による被害が後を絶ちません。2017年のサイバー攻撃の被害報告は年間18,141件となっており、2007年からの10年で7倍以上に膨れ上がっています *1。また、近年のサイバー攻撃は、ますます複雑・巧妙化しているため、従来の水際対策だけでは防御できなくなっています。
サイバー攻撃の影響は甚大です。2015年には、日本年金機構に対し「標的型攻撃メール」を使った攻撃が行われ、結果として125万人分の年金個人情報が流出しました。また、2016年には大手旅行会社でも同じ「標的型攻撃メール」により、約679万人分の顧客情報が流出した恐れがあると発表されました。実際に影響を受けられた方もいらっしゃるのではないでしょうか。
*1 一般社団法人JPCERTコーディネーションセンターのレポート より
https://www.jpcert.or.jp/ir/report.html
このような状況下では、サイバー攻撃などのセキュリティインシデントは起こりうるという前提に立ち、攻撃をいち早く検知し、適切に対処(被害拡大防止、再発防止)することが求められます。その対策のための体制として、CSIRT(Computer Security Incident Response Team)を設置する企業も増えてきました。
CSIRTとは、セキュリティインシデントが発生することを前提とした対応チームです。セキュリティインシデントの予防、検知、対処、解析・調査といった活動を行い、被害拡大防止や再発予防をすることで、セキュアなITサービスの実現を目指します。
しかし、IPAの調査*2によると、日本では設置したCSIRT等が期待したレベルを満たしていないという回答が多く、その原因は、日本企業は欧米に比べ、情報セキュリティ業務担当者の量的充足度、および質的充足度が低い傾向にあるため、とされています。つまり、セキュリティ業務に対応できる人材の確保に苦慮している企業が多いようです。
*2 IPA「企業の CISO や CSIRT に関する実態調査 2017」(PDF) https://www.ipa.go.jp/files/000058850.pdf
セキュリティ対策に必要な人材が大幅に不足している、という課題意識のもと、経済産業省や経団連*3、日本ネットワークセキュリティ協会*4 など様々な組織で、必要な人材像が検討されています。
これらの検討内容を参考にして、NECマネジメントパートナーではセキュリティ対策に必要な5タイプの人材像を定義しました。 右図をごらんください。
図に示した通り、企業のセキュリティ対策に関わる人材は、以下5タイプが挙げられます。
① インシデントレスポンス担当者(CSIRT)
② セキュリティ技術を身につけたいシステムエンジニア
③ 情報システムの利用者
④ セキュリティ管理者
⑤ サイバーセキュリティ専門技術者
セキュリティ対策には、CSIRTなどのセキュリティ管理体制の整備に加え、それぞれの人材の確保や、社員のセキュリティ対策知識・スキルの強化が必要不可欠です。
*3 経団連 産業横断サイバーセキュリティ人材育成検討会 http://cyber-risk.or.jp/
*4 NPO日本ネットワークセキュリティ協会 セキュリティ知識分野(SecBoK)人材スキルマップ2017年版 http://www.jnsa.org/result/2017/skillmap/
NECマネジメントパートナーでは、セキュリティ対策に必要な人材を育成するための研修体系を用意しています。
① インシデントレスポンス担当者向け研修体系
② セキュリティ技術を身につけたいシステムエンジニア向け研修体系
③ 情報システムの利用者向け研修一覧
④ セキュリティ管理者向け研修体系
⑤ サイバーセキュリティ専門技術者向け研修一覧
① インシデントレスポンス担当者向け研修体系
※コース名をクリックしてコース内容をご覧ください
■インシデントレスポンス担当者様の受講必須コース!
② セキュリティ技術を身につけたいシステムエンジニア向け研修体系
※コース名をクリックしてコース内容をご覧ください
③ 情報システムの利用者向け研修一覧
◆全社員向け
◆部門リーダーの方向け
④ セキュリティ管理者向け研修体系
⑤ サイバーセキュリティ専門技術者向け研修一覧
◆診断
◆監視
◆インシデントレスポンス
◆フォレンジック・解析
○: 株式会社ラックとの提携コース
◇: サイバーディフェンス研究所との提携コース