View
919
Download
0
Embed Size (px)
Citation preview
将来も通用するセキュリティエンジニアのスキルとは
グローバルナレッジネットワーク社主催セミナー「G-Tech 2015」人材育成トラック
2015年11月6日(金)
株式会社ラック
セキュリティアカデミー
■主な担当講師業務□(ISC)2 CISSP/SSCPレビューセミナー認定主任講師□CompTIA Security+講師□東京電機大学 未来科学部 情報メディア学科 非常勤講師□岡山理科大学 総合情報学部 情報科学科 特別講師
■最近の主な活動□ 総務省 高度ICT利活用人材育成会議 委員(2011~2013年度)□ 経済産業省 情報セキュリティ人材の育成指標等の作成事業 WG委員(2012年度)□ 文部科学省 中核的専門人材養成の戦略的推進事業 WG委員(2012年度~)
■主な著書等「情報セキュリティプロフェッショナル教科書」 (アスキーメディアワークス、共著)、「SSCP認定資格公式ガイドブック」 (NTT出版、共著)、「ネットワークセキュリティ」(オーム社、共著) 等。
長谷川 長一(はせがわ ちょういち)
株式会社ラック サイバーセキュリティ本部 理事NPO 日本ネットワークセキュリティ協会(JNSA) 教育部会WGリーダー
同 SaaSセキュリティWGリーダー
■ソフトバンク、日本ユニシスを経て、現職。情報セキュリティコンサルティング、情報セキュリティ監査業務を経て、現在は主にセキュリティ教育業務を担当。
URL:http://www.lac.co.jp/education/index.htmlE-mail:[email protected] http://www.facebook.com/choichi.hasegawa
2Copyright ©LAC Co., Ltd. All Rights Reserved
蛇口をひねれば飲み水が出る当り前を、高度情報社会でも実現します。
株式会社ラックは1986年に設立されました。”Little eArth Corporation”という社名には、ICTの進展
で地球が相対的に小さくなっていく中で、ICTを基盤に国や企業の発展を支えていこうという理念がこめ
られています。JSOC、サイバーセキュリティ研究所、サイバー救急センターの配備が特徴です。
JSOC (Japan Security Operation Center)
JSOCは、ラックが運営する情報セキュリティに関するオペレーションセンターです。24時間365日運営。高度な分析官とインシデント対応技術者を配置しています。2000年の九州・沖縄サミットの運用・監視を皮切りに、日本の各分野でのトップ企業など高レベルのセキュリティが要求されるお客様に、高品質なサービスを提供しています。
商 号 株式会社ラックLAC:Little eArth Corporation Co., Ltd.
設 立 1986年(昭和61年)9月
資本金 10億円
代 表 代表取締役社長 高梨 輝彦
従業員数 1,581名(2015年4月1日現在)
売上高 328億円(連結:2015年3月期)
決算期 3月末日
認定資格 経済産業省情報セキュリティ監査企業登録情報セキュリティマネジメントシステム(ISO/IEC 27001)認証取得(JSOC)プライバシーマーク認定取得
・本社〒102-0093 東京都千代田区平河町 2-16-1平河町森タワー03-6757-0111(代表)03-6757-0113 (営業窓口)
・名古屋オフィス・福岡オフィス・アクシス事業所(福島県喜多方市)
http://www.lac.co.jp/ [email protected] Twitter @lac_security YouTube laccotv Facebook Little.eArth.Corp
・米国ニューヨークオフィス USLAC
・韓国ソウル 子会社 CSLACCyber Security LAC Co.,Ltd.
・中国上海 子会社 LAC CHINA上海楽客網絡技術有限公司
株式会社ラック
3Copyright ©LAC Co., Ltd. All Rights Reserved
情報セキュリティ、ここ5~10年間の変化
-将来も通用するセキュリティエンジニアのスキルとは-
「情報セキュリティ十大脅威」の比較(1) 2006年度
1 事件化するSQLインジェクション
2 Winnyを通じたウイルス感染による情報漏えいの多発
3 音楽CDに格納された「ルートキットに類似した機能」の事件化
4 悪質化するフィッシング詐欺
5 巧妙化するスパイウェア
6 流行が続くボット
7 ウェブサイトを狙うCSRFの流行
8 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
9 セキュリティ製品の持つ脆弱性
10 ゼロデイ攻撃
~「2006年版 10大脅威 -「加速する経済事件化」と今後の対策-」
https://www.ipa.go.jp/files/000016951.pdf5
Copyright ©LAC Co., Ltd. All Rights Reserved
1 オンラインバンキングやクレジットカード情報の不正利用
2 内部不正による情報漏えい
3 標的型攻撃による諜報活動
4 ウェブサービスへの不正ログイン
5 ウェブサービスからの顧客情報の窃取
6 ハッカー集団によるサイバーテロ
7 ウェブサイトの改ざん
8 インターネット基盤技術の悪用
9 脆弱性公表に伴う攻撃の発生
10 悪意のあるスマートフォンアプリ
~「2015年版 10大脅威 -複雑化する情報セキュリティ-」
http://www.ipa.go.jp/security/vuln/10threats2015.html
6Copyright ©LAC Co., Ltd. All Rights Reserved
「情報セキュリティ十大脅威」の比較(2) 2015年度
脅威は、常に変化している
新しい技術が狙われる!
7Copyright ©LAC Co., Ltd. All Rights Reserved
「コンピュータウイルス」の比較(1) 2006年頃
コンピュータウイルス・不正アクセスの届出状況[2006年第1四半期]について~IPAセキュリティセンター
https://www.ipa.go.jp/security/txt/2006/04outline.html
「Winny」などのファイル交換ソフトを使用している環境で
「暴露ウイルス」に感染することで、情報流出。
被害企業
指令サーバ
メールによる標的型サイバー攻撃
だまされてクリック!
感染!
情報保管場所複数感染
攻撃者
貴重な情報
攻撃者が特定の組織や個人に、うっかり反応してしまう詐欺メールを送る。実行して感染。極少数しか送らないため、ウイルスの検知は困難。
感染したパソコンに対して、あらかじめ攻撃者が用意しておいた指令サーバ(第三者の企業のコンピュータを乗っ取った攻撃拠点)経由で指示を出す。
1つのウイルスがウイルス対策ソフトに発見されても組織に潜伏できるよう、複数種類のウイルスを送り込むなど、執拗で狡猾。
重要な情報の保管場所を発見すると、犯罪行為が発覚しないよう情報を細かく分割したり少量ずつ送るなどの工夫をして、継続的に情報を窃取。
8Copyright ©LAC Co., Ltd. All Rights Reserved
「コンピュータウイルス」の比較(2) 2015年
「水面下で侵攻するサイバースパイ活動急増に関する注意喚起」~ラック、2015年6月16日
http://www.lac.co.jp/security/alert/2015/06/16_alert_01.html
従来のウイルス感染の対応 標的型サイバー攻撃への対応
ウイルス感染コンピュータへの対処
ウイルス感染のチェックは、ウイルス対策ソフトで行い、駆除を行う。
感染したコンピュータの内部を詳細に分析するため、可能な限り操作や駆除は行わない。
ネットワークの稼動状況
そのまま運用を継続してよい。
外部との通信を遮断して閉鎖環境にする。
データベースやファイルサーバーなどのコンテンツサーバー
ウイルスなどの実行ファイルが保存されていないか、サーバー上でウイルスチェックする。
サーバーの稼動を停止し、情報窃取や不正ソフトの設置が行われていないかを確認する。
通信機器の動作確認
特に詳細な分析は行わなくてよい。
通信ログなどを分析し、接続先や送信データの分析をする。
9
<参考>サイバーセキュリティ攻撃への対応
Copyright ©LAC Co., Ltd. All Rights Reserved
将来も通用するスキルとその育成
-将来も通用するセキュリティエンジニアのスキルとは-
11Copyright ©LAC Co., Ltd. All Rights Reserved
2020年、ITはどうなるか?
「金融リテラシー2020 ~進化するITと深化するITリテラシー~」~NTTデータ経営研究所
http://www.keieiken.co.jp/pub/infofuture/backnumbers/42/no42_report09.html
さらに、モバイルやクラウド化が進む。そして、IoT化・・・
業務や生活の環境も大きく変化。
12Copyright ©LAC Co., Ltd. All Rights Reserved
そして、セキュリティ人材が不足する?
「安全な国」担うサイバー人材の育成急げ 」~日本経済新聞 電子版
http://www.nikkei.com/article/DGXKZO89919800Q5A730C1EA1000/
セキュリティ人材不足
「マイナンバー」「東京オリンピック」等で攻撃は増加するとの予測。
13Copyright ©LAC Co., Ltd. All Rights Reserved
情報セキュリティ人材の育成と確保
~「サイバーセキュリティ戦略について」(平成27年9月4日 閣議決定)~内閣サイバーセキュリティセンター
http://www.nisc.go.jp/active/kihon/pdf/cs-senryaku-kakugikettei.pdf
※「サイバーセキュリティ戦略」から抜粋。
情報通信技術が広く国民全体に拡大・浸透し、社会の基盤となっており、連接融合情報社会においては、サイバーセキュリティは、同分野の専門家はもちろん、一般的な情報通信技術者、ひいてはIoTシステムの利用者に至るまで、程度に差はあるものの様々な層の人材に必須の素養である。(中略)なお、こうした人材においては、技術的な能力のみならず、高い倫理観も同時に身に付ける必要がある。
(1)高等教育段階や職業能力開発における社会ニーズに合った人材
(2)初等中等教育段階における教育の充実
(3)突出した能力を有しグローバルに活躍できる人材の発掘・育成・確保
(4)人材が将来にわたって活躍し続けるための環境整備
(5)組織力を高めるための人材育成
14Copyright ©LAC Co., Ltd. All Rights Reserved
「社会的ニーズに合った人材」
~「サイバーセキュリティ戦略について」(平成27年9月4日 閣議決定)~内閣サイバーセキュリティセンター
http://www.nisc.go.jp/active/kihon/pdf/cs-senryaku-kakugikettei.pdf
企業等の組織経営にとってサイバーセキュリティが不可欠の課題となりつつある現状を踏まえると、経営戦略と技術的な観点の両面から思考でき、経営層と実務者層との間の橋渡しをすることで、セキュリティへの適切な経営資源配分を促すことができる橋渡し人材層が強く求められる。そのためにも、高等教育段階から、サイバーセキュリティや情報通信に関する技術的な能力とともに、法律や経営学等の社会科学を含めた様々な専門分野の知見、組織経営等に必要な知識を併せ持つハイブリッド型人材の育成を進める。
さらに、安全な製品・サービスの提供に当たっては、セキュリティの知識を備えつつ、製品・サービスの生産に関わることが必要不可欠である。
15Copyright ©LAC Co., Ltd. All Rights Reserved
「突出した能力のグローバル人材」
~「サイバーセキュリティ戦略について」(平成27年9月4日 閣議決定)~内閣サイバーセキュリティセンター
http://www.nisc.go.jp/active/kihon/pdf/cs-senryaku-kakugikettei.pdf
サイバーセキュリティ人材については、サイバーセキュリティに特化して高度な研究協力をする大学院等の機関による教育だけでなく、突出した能力を有する人材の発掘・確保も引き続き行っていく。また、例えばサイバー攻撃に対する対処法(防御手法、攻撃手法も含む。)の研究を通じ、自ら考え、対策を検討できる能力の育成を推進する。
さらに、サイバーセキュリティがグローバルな課題となっていることに鑑みれば、こうした突出した能力を有する人材はグローバル水準の能力を備える必要がある。つまり、国境を意識することなく十分に活躍できる人材の育成が不可欠である。
16Copyright ©LAC Co., Ltd. All Rights Reserved
「人材が活躍し続けるための環境整備」
~「サイバーセキュリティ戦略について」(平成27年9月4日 閣議決定)~内閣サイバーセキュリティセンター
http://www.nisc.go.jp/active/kihon/pdf/cs-senryaku-kakugikettei.pdf
多くの一般的な組織は、その事業目的を実現するために情報通信技術を利活用しているが、このことは組織の経営課題として、サイバーセキュリティに取り組む必要性があることを意味する。これらの組織は実務の現場から経営までの各層において、それぞれのニーズに応じたサイバーセキュリティの知見を有する又は理解し判断できる人材が必要となる。また、サイバーセキュリティ関連産業においては、サイバーセキュリティに特化して突出した能力のある人材に加え、こうした人材をリードしていく人材も必要となる。さらに、それぞれの組織のニーズに応じた人材のキャリアパスを明確にすることが、組織の経営層、育成されたセキュリティ人材、人材育成者のそれぞれにとって有益である。
17Copyright ©LAC Co., Ltd. All Rights Reserved
「組織力を高めるための人材育成」
~「サイバーセキュリティ戦略について」(平成27年9月4日 閣議決定)~内閣サイバーセキュリティセンター
http://www.nisc.go.jp/active/kihon/pdf/cs-senryaku-kakugikettei.pdf
政府機関や重要インフラ事業者など組織全体をターゲットとしたサイバー攻撃が急増・深刻化する中、サイバー攻撃に的確・迅速に対応していくためには、個々人のサイバー攻撃対処能力の向上のみならず、これら個々人の能力を有機的に連携させ、組織全体としての能力の向上に結び付けていくことが極めて重要である。また、組織全体としての能力を効果的・効率的に向上させていくためには、異なる組織同士で切磋琢磨する環境を整備するとともに、個々の組織についてその実践的な能力や課題について具体的に把握できるようにしていくことが重要となる。
このため、組織のサイバー攻撃対処に必要な能力を体系化するとともに、それらの能力を向上させるための実践的演習の取組を充実させる。
加えて、深刻なサイバー攻撃等が発生した際、その被害拡大と再発抑止・低減等に向け、官民が一体的に連携して活動する体制の強化に取り組む
18Copyright ©LAC Co., Ltd. All Rights Reserved
高度な知識や技術だけでいいのか?
•必要なのは「外部でも通用する実践的スキルを持った人材」
–実際に業務が行える人材
–期待されるアウトプットを出せる人材
–持っている知識や技術・経験などを生かし、状況に応じて、合理的な判断や行動ができる人材
–現在において通用する知識と技術を使える人材
実践的なスキルの例
・事実を尺度にした思考と判断(特に、緊急時)
・シナリオ思考(多くの不確実性要素のある中でも、予測し、対応する能力)
・非対称性(不正/攻撃をする側との見え方の違い)への適応
・新たな技術や環境に対する継続的適応力
インシデント(結果)
兆候(原因)
インシデント
インシデント
インシデント
インシデント
インシデント
被害・影響
(
短期/中長期/イメージ)よく見えている
ほとんど見えていない
シナリオ思考
非対称性
19Copyright ©LAC Co., Ltd. All Rights Reserved
「米英IT担当者の64%が脅威を経営陣に報告しないとの調査結果 」http://internet.watch.impress.co.jp/docs/column/security/20131004_61
8137.html
20
・セキュリティリスクについて経営陣とのコミュニケーションはない、または深刻なセキュリティリスクが明らかになったときのみ行なっている ―64%
・セキュリティリスクの管理と経営との間の連携は乏しいか、全くない、または敵対している ―47%
・関連のあるセキュリティリスクを経営陣に報告・相談しても意味がない ―51%
<参考>経営者とのコミュニケーション
Copyright ©LAC Co., Ltd. All Rights Reserved
これからは、こうあって欲しい・・・
・経営陣に、情報セキュリティ活動のビジネスメリットを
説明できる。
・やるべきことを、実現可能性を考慮したうえで優先順位をつけ、計画・実行できる。
・ICTの利活用と、情報セキュリティを自ら実践できる。
・組織の利益や利用者の利便性を優先する。
21
情報セキュリティ対策の経営における効果
Copyright ©LAC Co., Ltd. All Rights Reserved
セキュリティ監視と不正通信の洗い出し
事件・事故前提の組織体制構築、
社員や職員の意識改革と教育
事故対応チームの組織化
事件発生を見越した演習
22
<参考>サイバー攻撃対策の実施順序の例
Copyright ©LAC Co., Ltd. All Rights Reserved
「日本年金機構の情報漏えい事件から得られる教訓」~ラック、2015年6月9日
http://www.lac.co.jp/security/report/pdf/20150609_apt_j001t.pdf
経済産業省「情報セキュリティ人材の育成指標等の策定事業」2013年7月
http://www.meti.go.jp/policy/it_policy/jinzai/24freport5.pdf
ITSS/ETSS/UTSSの情報セキュリティに関する11の専門分野/職種で求められる能力・知識・経験、キャリアパスモデル、役立つ認定資格、育成のポイントを紹介。
23Copyright ©LAC Co., Ltd. All Rights Reserved
5年後、10年後のキャリアプラ
ンは?
<参考>「情報セキュリティ人材のモデルキャリア」
将来を読み、キャリアプランを立てる
CIO/CISO
CIO/CISO補佐
セキュリティアーキテクト
セキュリティコンサルタント
セキュリティストラジテスト
セキュリティ監査人
セキュリティオペレーター
プログラマー
リーダー
メンバー
品質管理者
セキュリティアナリスト
チーム
2424
Copyright ©LAC Co., Ltd. All Rights Reserved.
<参考>キャリアパスモデルのイメージ例
どんなキャリアパスがあるの
か?
CSIRTの組織モデル(例)
CSO/CISO補佐 (室長)オペレーターセキュリティアナリストフォレンジックアナリストインシデントハンドラー
CSIRTチーム
CSO/CISO補佐 (室長)
経営企画
オペレーターセキュリティアナリストフォレンジックアナリストインシデントハンドラー
CSIRTチーム
<参考>組織モデルのイメージ例
25Copyright ©LAC Co., Ltd. All Rights Reserved
組織における「役割」は何?
-将来も通用するセキュリティエンジニアのスキルとは-
将来も通用する人材になるために
従来の学習方法でいいの?
•独学?社内でOJT?
–「独学」とは、『孤独』な学習であり、『独善的』な学習でもある。OJTトレーナーは、ふさわしい人なのか?
•実践的な知識と技術を学び、それを実際に使ってみて磨いていくしかない!
– 実際に考えてみるしかない
– 実際にやってみるしかない
– 実際に失敗してみるしかない
27
そんな教育できてますか?
Copyright ©LAC Co., Ltd. All Rights Reserved
本人の自由意思による参加。
最新のサイバー攻撃を体感し、現状のスキルを、実業務に生かせるスキルにする目的。
緊急時において、今までの知識や技術を生かして適切かつ迅速に判断・対応できるのか。
チャレンジできる場を与え、スキル維持・向上を支援する。
~日経ITprohttp://itpro.nikkeibp.co.jp/article/NEWS/20140602/560762/
<事例>「LACサバイバルチャレンジ」
28Copyright ©LAC Co., Ltd. All Rights Reserved
・攻撃手・ECユーザ役・外部情報
サイト運用役・受講生への
技術支援
講師
全体進行スタッフへの指示チームへのアドバイス
インシデント対応の相手先である各ステークホルダの役割を演じる(社長や他社員、顧客、役所、
仕入先、取引先、一般市民等いろいろ)
スタッフ
チームA
チームB
チームC
チームD
EC、物流、Web等全システム・NW設備
報告、連絡、相談、依頼、指示、会見等々
<事例>「サバイバルチャレンジ」の演習イメージ
http://www.lac.co.jp/corporate/citizenship/lac_survival_challenge.html
29
<参考>教育の効果測定
30
レベル 名 称 概 要 効果対象
1 反応 受講者の反応 受講者
2 学習 学習到達度
3 行動変容 実務での活用度
4 ビジネスインパクト
組織貢献度 組織
5 ROI 投資収益率
~「人材開発マネジメントブック」福澤英弘、日本経済新聞出版
「ROIモデル」~ジャック・フィリップス
評価や効果測定の例。
「反応」「学習」で、終わっていませんか?
Copyright ©LAC Co., Ltd. All Rights Reserved
「わかる」ではなく「できる」が必要。
まとめ
•将来も通用するのは、情報セキュリティの最新の「知識」や「技術」を持ち、さらに市場のニーズと環境の変化に自律的に適応し続けることができる人材。
•育成のため、生かすための体制や環境整備も必要。
– 「強い者が生き残ったわけではない。賢い者が生き残ったわけでもない。変化に対応した者が生き残ったのだ」~「進化論」、チャールズ・ダーウィン
– 「現状維持では、後退するばかりである」
~ ウォルト・ディズニー
3131
Copyright ©LAC Co., Ltd. All Rights Reserved
Thank you. Any Questions ?
株式会社ラック〒102-0093 東京都千代田区平河町2-16-1平河町森タワー
Tel 03-6757-0113 Fax 03-6757-0193www.lac.co.jp
※ この講演における発言、及び資料の内容は、個人の見解であり、所属する企業や団体を代表するものではありません。