情報セキュリティ人材に求められるもの

Size: px

Start display at page:

Download "情報セキュリティ人材に求められるもの"

あきひろこうい
4 years ago
Views:

8 Copyright 2019 N.F.Laboratories Inc. 8 NFLabs. の事業概要研究開発攻撃手法の研究開発などを通じた実践的スキル習得研究開発成果の収益事業への展開事業支援等を行う出資会社社員出向等採用新卒中途採用教育派遣型アウトソーシング事業研究開発業務受託事業教育研修事業派遣型アウトソーシング事業一定レベルの人材は実案件に参加更なるスキル習得を図った上で 2020 オリパラ等ナショナルセキュリティ案件対応を行う教育研修事業研究開発成果や社内教育コンテンツ等を活用した高度セキュリティ人材育成のための教育研修サービスを提供する業務受託事業 CSIRT/SOC の常駐型業務受託や個社向けサービス / ソリューションを提供するセキュリティ関連の調査研究案件など

10 Copyright 2019 N.F.Laboratories Inc. 10 目指してほしい人物像 1. 技術開発手法インフラに対する正しい理解と実践力がある 2. 新しい技術や情報を常に追いかけ仕事にも取り込み活かしている 3. 現状に留まらず常に改善を考え手を動かし続けている 4. いかに自動化して仕事を楽をするかを常に考え実践している 5. 他人がまねが出来ないずば抜けた技術や知識を持っている 6. チームの成果を考え個人的なアウトプットもすごい 7. お客様や仲間に感謝の気持ちを伝えられるオアシス

脅威ベースのペネトレーションテストの実施 Copyright 2019 N.F.

13 Threat Intelligence Provider 調査公開サイトダーク

15 統合セキュリティ人材モデル人材像セキュリティコンサルタントセキュアシステムプランナーセキュアシステムデベロッパーセキュアアプリケーションデベロッパーセキュリティマネージャーセキュリティオーディターシステムリスクアセッサーペネトレーションテスターネットワークリスクアセッサーリサーチャーフォレンジックエンジニアインテリジェンスアナリストインシデントレスポンダーセキュリティオペレーターセキュリティ人材が行う業務とは? 説明セキュリティエンジニアリングの上流に位置し経営課題や業務要件からセキュリティに関するシステム仕様や運用仕様の方針を策定する求められるセキュリティ要件を満たすシステムやアプリケーションの上流設計を担当する対象領域はシステムアーキテクチャーネットワークサーバアプリケーションデータベースなどセキュアシステムプランナーのアウトプットを引き継ぎセキュリティ要件を満たすシステム基盤の開発を担当する対象領域はシステムアーキテクチャーネットワークサーバデータベースなどセキュアシステムプランナーのアウトプットを引き継ぎセキュリティ要件を満たすアプリケーションの開発を担当する対象領域はアプリケーションデータベースアクセスなど ISMS に代表されるセキュリティマネジメントシステムの整備および運用を担当する ISMS に代表されるセキュリティマネジメントシステムのマネジメント監査を担当する対象の ICT システムが直面するセキュリティリスクを分析し適切なセキュリティ対策選択の指針を示す対象の ICT システムに対して攻撃者視点で攻撃を試み ICT システムの弱点 ( 脆弱性や危険性等 ) を把握し報告する対象の ICT システムが直面するセキュリティリスクを分析し適切なセキュリティ対策選択の指針を示すセキュリティ技術に関する各種の研究を行うセキュリティインシデント発生時にコンピュータフォレンジックプロセスに基づく詳細な調査を実施するすでに侵害されたディスクイメージなどを採取しまた取得したイメージなどを解析し攻撃者によっていつどのようなことが行われたのか解析を実施するセキュリティに関する外部情報を収集分析し ICT システムへの影響度を把握するまたインシデント発生時にその背景などを分析しインシデントの重大性に対する判断材料を提供するセキュリティインシデントへの 1 次対処を行う必要に応じてインシデントハンドラーなどの他の人材像へのエスカレーション引継ぎを行う ICT システムのセキュリティに関連する運用を担当する NEC 日立富士通が策定したサイバーセキュリティ技術者の共通人材モデル統合セキュリティ人材モデルを一部加工 Copyright 2019 N.F.Laboratories Inc. 15

17 セキュリティ人材にも必要とされるコンセプチャルスキル 1. ロジカルシンキング : 物事を理論的に整理したり説明したりする能力 2. ラテラルシンキング : 既成概念にとらわれることなく自由に発想できる能力 3. クリティカルシンキング : 物事を分析的に捉え思考する能力 4. 多面的視野 : 課題に対して複数のアプローチを行える能力 5. 柔軟性 : トラブルに対しても臨機応変に対応できる能力 6. 受容性 : 自分とは異なる価値観を受け入れられる能力 7. 知的好奇心 : 未知のものに対して興味を示し自ら取り入れることができる能力 8. 探究心 : 物事に対して深い興味を示し問題の深部まで潜り込める能力 9. 応用力 : ひとつの知識技術を他の問題にも適用できる能力 10. 洞察力 : 物事の本質を正しく見極める能力 11. 直感力 : 物事を感覚的に捉え瞬時に反応する能力 12. チャレンジ精神 : 困難な課題や未経験分野でも果敢に挑戦し行動を起こせる能力 13. 俯瞰力 : 物事の全体像を正確に把握する能力 14. 先見性 : まだわからないことに対して早い段階から結果を予測できる能力参考 : Copyright 2019 N.F.Laboratories Inc. 17

資料 6 クラウドサービスで発生しているインシデントについて 2012 年 3 月 19 日川口洋, CISSP 株式会社ラックチーフエバンジェリスト lac.co.jp 平成 23 年度第 3 回学術情報基盤オープンフォーラム

資料 6 クラウドサービスで発生しているインシデントについて 2012 年 3 月 19 日川口洋, CISSP 株式会社ラックチーフエバンジェリスト hiroshi.kawaguchi @ lac.co.jp 平成 23 年度第 3 回学術情報基盤オープンフォーラム自己紹介川口洋 ( かわぐちひろし ),CISSP 株式会社ラックチーフエバンジェリスト兼担当部長 ISOG-J 技術 WG リーダ

情報セキュリティ人材に 求められるもの

情報セキュリティ人材に求められるもの