PowerPoint プレゼンテーション

Size: px

Start display at page:

Download "PowerPoint プレゼンテーション"

しょうじしげい
5 years ago
Views:

1 IPA の活動紹介 ~ 情報セキュリティを中心として ~ 2015 年 12 月 4 日独立行政法人情報処理推進機構 IT 人材育成本部長理事田中久也 1

2 本日お話すること 1.IPA の事業概要 2. 情報セキュリティに関する事業 3. 人材育成事業 (1)IPA の人材育成事業 (2) 情報セキュリティ人材の育成 2

3 1. IPA の事業紹介 3

4 理念 IPA は頼れる IT 社会の実現を目指します国民のだれもがITのメリットを実感し享受できる社会の実現を目指しソフトウエアおよび情報システムの安全性信頼性の向上や優れたIT 人材の育成を通じ我が国のIT 戦略を推進します 4

5 IPA の組織と主な活動技術本部 I T 人材育成本部ソフトウエア高信頼化センターソフトウエア信頼性の見える化第三者認証セキュリティセンター J-SIP( サイバー攻撃の情報共有 ) J-CRAT( サイバー攻撃のレスキュー隊 ) セキュリティ認証 (CC) 暗号認証 (JCMVP) セキュリティ啓発セキュリティ対策国際標準化推進センター文字情報基盤整備 IT 人材育成企画部イノベーション人材センター HRD イニシアティブセンター情報処理技術者試験センター共通語彙基盤整備重要インフラ障害対策 IT 人材白書 ITPEC( アジア地区統一情報処理技術者試験 ) 突出した技術者の発掘育成 ( 未踏セキュリティキャンプ ) スキル標準の制定普及試験問題の作成試験の運営試験の普及促進 5

6 2. 情報セキュリティに関する事業セキュリティセンター (ISEC) 6

7 暗号技術の標準化と普及活動概要 IPA 主担当暗号技術検討会 CRYPTREC 暗号リスト公開 NICT 主担当暗号活用委員会暗号の利活用国産暗号の普及促進安全性実装に関する監視暗号評価委員会 2015 年度上期実績今後の活動内容対象範囲の議論 CRYPTREC のあり方に関する検討グループ SSL/TLS 暗号設定ガイドライン発行 CRYTPREC レポート 2014 発行第 1 回第 2 回第 3 回第 4 回学会監視活動第 1 回下期計画第 1 回暗号技術検討会第 1 回第 2 回活動全般の方向性体制等の議論第 2 回暗号技術検討会重点課題検討タスクフォース第 2 回第 3 回 7

具体的な製品設定方法を拡充詳細な設定ができない製品 ( ロードバランサーなど )

0 に関する動向 SHA-1 の取り扱いに関する動向 2015 年 5 月に公開 1

安全に利用するためのガイドライン安全性と可用性のバランスを考慮した用途別の設定基準

8 暗号利用による安全性の向上 SSL/TLS 暗号設定ガイドラインの改訂 1 SSL/TLS 暗号設定ガイドラインを一般向けに公開し実際の環境状況に応じた適切な設定を示すことで Web サイト等の安全性向上に寄与 2 解説する製品を拡充させ適用範囲を拡大すべく改訂案策定に着手具体的な製品設定方法を拡充詳細な設定ができない製品 ( ロードバランサーなど ) を追加あわせて最新動向を反映 RC4/SSL3.0 に関する動向 SHA-1 の取り扱いに関する動向 2015 年 5 月に公開 1 ヶ月間で 1 万件のダウンロード数 ( 暗号関係としては異例 ) 情報を暗号化して安全に利用するためのガイドライン安全性と可用性のバランスを考慮した用途別の設定基準複雑でわかりにくい設定を具体例を用いて製品毎に解説 TLS を設定利用するうえで配慮すべき事項以上に最新動向を反映 >> new 詳細な設定ができない製品での最適な設定例 >> new 8

9 デジタル複合機 (MFP) のための脆弱性評価リファレンスツール MFP の課題 MFP 特有の潜在脆弱性について一般的なツールでは確認が困難国際標準化によるセキュリティ要件の画一化 MFP 特有の脆弱性について攻撃シナリオを作成調査及び認証作業におけるノウハウの活用 MFP ベンダ各社との協力による情報交換 (JBMIA* 協力 ) により攻撃シナリオの内容を確定シナリオ内容を例示するツールを開発し MFP ベンダに提供 MFP の脆弱性検査範囲汎用インタフェース汎用プロトコルファイル転送 (SMB, FTP) Webコンソール (HTTP) MFP 特有のアーキテクチャ外部記憶メディア (HDD, USB) 暗号通信 (IPSec, SSL ) 従来の汎用ツールにより対応可 MFP 開発者脆弱性検証環境テストデータ送信応答サーバ間通信データ解析印刷ジョブ管理プロトコル PCL PostScrip t ベンダ独自アーキテクチャ操作パネルメンテナンス装置管理 UPnP ユーザ認証 AD 本ツールを拡張し対応可 MFP 利用者により安全な製品を提供 MFP に特有な印刷ジョブや連携機能に対する脆弱性検査シナリオを入力し応答を確認する検査対象 MFP *JBMIA: 一般社団法人ビジネス機械情報システム産業協会国際的な競争力の確保 9

IC カードのハードウェア評価国民の生活に広く浸透している IC カードは金融公共

カードに対する攻撃手法は高度化し新しい攻撃手法が次々と出現しており我が国において

ダブルレーザー照射故障利用攻撃電磁波照射故障利用攻撃ダブルレーザー照射評価装置電磁波照射評価装置高度な回路解析

名が評価装置を利用技術セミナー ( 入門編 ) を実施座学に加えて評価装置を使用したデモを行い企業大学等の約

10 IC カードのハードウェア評価国民の生活に広く浸透している IC カードは金融公共交通等様々な分野に活用される基盤製品となっており個人番号カードも IC カードでの交付を予定近年 IC カードに対する攻撃手法は高度化し新しい攻撃手法が次々と出現しており我が国においてこれらへの耐性を評価する人材の育成が必須となっているレーザー照射故障利用攻撃最先端の評価技術ダブルレーザー照射故障利用攻撃電磁波照射故障利用攻撃ダブルレーザー照射評価装置電磁波照射評価装置高度な回路解析レーザー顕微鏡 < 上期の利用実績 > 横浜国大電通大神戸大立命館大名城大による 20 回延べ 34 名が評価装置を利用技術セミナー ( 入門編 ) を実施座学に加えて評価装置を使用したデモを行い企業大学等の約 100 名が参加レーザー照射評価装置評価基準の追従評価機関への貸与環境を整備マイナンバーカードパスポートの認証に活用予定故障利用攻撃とは動作中の IC チップに物理的な操作を行い故障を意図的に発生させることで秘密情報の漏えいを誘発する攻撃 10

11 サイバー情報共有イニシアティブ (J-CSIP) Initiative for Cyber Security Information sharing Partnership of Japan 年 4 月標的型サイバー攻撃の情報共有と早期対応の場として J-CSIP を発足 7

12 J-CSIP の活動成果と情報共有実績 2014 年度レポート J-CSIP は公的機関である IPA を情報ハブ ( 集約点 ) の役割として参加組織間で情報共有を行い高度なサイバー攻撃対策に繋げていく取り組みで現在 6 業界 61 組織が加入している具体的には IPA と各参加組織 ( あるいは参加組織を束ねる業界団体 ) 間で締結した秘密保持契約 (NDA) のもと参加組織およびそのグループ企業において検知されたサイバー攻撃等の情報を IPA に集約情報提供元に関する情報や機微情報の匿名化を行い IPA による分析情報を付加した上で情報提供元の承認を得て共有可能な情報とし参加組織間での情報共有を行っている参加組織から IPA への情報提供件数標的型攻撃メールとみなした件数参加組織への情報共有実施件数 2012 年度 2013 年度 2014 年度 246 件 385 件 626 件 201 件 233 件 505 件 160 件 180 件 195 件詳しくは同種の攻撃が業界内の複数組織に行われている実態を把握競合他社間でも情報を共有し共同で検知防御を実現情報の集約分析によりやり取り型攻撃の実態を解明多数の攻撃の相関分析により執拗な攻撃者 X の絞込み

13 J-CSIP における分析事例 ~ 攻撃者 X ~ 浮かび上がった執拗な攻撃者の存在活動開始から 3 年これまで IPA に提供された情報は 1,257 件そのうち標的型攻撃メールとみなしたものは 939 件これら得られた攻撃メールを分析した結果 12% に相当する 114 件が同一の攻撃者 ( またはグループ ) による一連の攻撃行為と推定される攻撃者 X 114 通の攻撃メール 9 組織へ攻撃多様な騙しの手口問い合わせ連絡帳クレーム 4 種のウイルス 31 ヵ月に渡り攻撃を継続

サイバーレスキュー隊 (J-CRAT) Cyber Recue and Advice Team against targeted attacks of Japan http://www.ipa.go.jp/security/j-crat/index.

サイバーレスキュー隊 (J-CRAT) サイバーレスキュー活動支援内容標的型サイバー攻撃特別相談窓口公開情報の分析収集 JPCERT/CC 技術連携エスカレーションエスカレーション着手アプローチケース 1 ケース 2 ケース 3 その他セキュリティ対策ベンダ

14 サイバーレスキュー隊 (J-CRAT) Cyber Recue and Advice Team against targeted attacks of Japan 年 7 月発足標的型攻撃の把握被害の分析対策の早期着手を支援公的機関業界団体社団財団重要産業関連企業重要産業取引先公開情報情報提供支援相談アドバイス情報発信レスキュー活動 Web 検索サイト巡回情報収集 J-CSIP 情報提供サイバーレスキュー隊 (J-CRAT) サイバーレスキュー活動支援内容標的型サイバー攻撃特別相談窓口公開情報の分析収集 JPCERT/CC 技術連携エスカレーションエスカレーション着手アプローチケース 1 ケース 2 ケース 3 その他セキュリティ対策ベンダ解析攻撃被害の把握攻撃被害の可視化助言ケース1: 標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談ケース2: 受付した相談から連鎖的な被害 ( の可能性のある ) 組織が推定された場合ケース3: 公開情報の分析収集により被害 ( の可能性のある ) 組織が推定された場合 14

15 サイバーレスキュー隊の目的と活動実績 2014 年度レポート活動内容 : 攻撃を検知できずに潜伏被害を受けている組織や検知したインシデント発生の状況や深刻度が認識できずにいる組織に対して以下を支援 : 攻撃の把握被害の分析対策の早期着手活動の目的 : 標的型サイバー攻撃に対する相談対応事案によりレスキュー活動を実施することで以下を達成する : 1 標的型サイバー攻撃被害の拡大防止被害の低減を図る 2 攻撃の連鎖を解明遮断するレスキュー活動の実績 : 昨年度実績 (2014 年度 ): 相談件数 107 件レスキュー対応 38 件 ( うちオンサイト 11 件 ) 今年度上半期 (2015/4~9): 6 月の年金機構事案以降相談件数急増相談件数 246 件レスキュー対応 104 件 ( うちオンサイト 31 件 ) 15

16 J-CRAT におけるレスキュー事例 ~ 複数組織をまたがる標的型攻撃の連鎖 ~ 攻撃の連鎖 ( 組織をまたがった攻撃 ) が行われている事を確認その連鎖を追跡することで他組織の被害を検出被害低減と攻撃連鎖を遮断組織 A 組織 B 組織 C 組織 D 攻撃遠隔操作情報提供 1 組織 B を騙った攻撃を確認標的型攻撃メール分析不審ファイル調査通信ログ分析共有情報作成情報提供調査支援 2 新たな攻撃先 ( 組織 C) を確認攻撃者情報提供調査支援対策支援 3 組織 Cから組織 Dへ攻撃メールが送られていた事実が判明 16

17 ご紹介 : 標的型攻撃対策の参考資料 IPA テクニカルウォッチ標的型攻撃メールの例と見分け方 < メールの見分け方 > 注意するときの着眼点標的型攻撃メールの例添付ファイルの種類と解説 6 月以降ダウンロードが急増! 累計 10 万件以上のダウンロード : 組織での教育素材に個人のリテラシー向上にご活用下さい 17

18 セキュリティ意識の国民への普及啓発国民向け原宿ファッションジョイボード文化展への出展若者向け施策としてマンガで表現したパスワード啓発の看板 17

4,635 件 (4/3-4/9 の期間 ) 子供向け学習マンガ制作小学生向け情報セキュリティ学習マンガを制作し小学校および図書館に献本

3 万校全国の公立図書館約 3 千館配布予定日 2016 年 1 月末警察の協力を得て全国に同マンガを活用したパスワード啓発ポスター約 3 万枚チラシ約 25

18 18 セキュリティ意識の国民への普及啓発国民向け原宿ファッションジョイボード文化展への出展若者向け施策としてマンガで表現したパスワード啓発の看板 17 枚を原宿駅に掲出メディアや SNS から大きな反響を呼んだ (4/3-10/8) TV 6 回新聞 4 回ネットニュース 200 本以上 Twitter 投稿 : 4,635 件 (4/3-4/9 の期間 ) 子供向け学習マンガ制作小学生向け情報セキュリティ学習マンガを制作し小学校および図書館に献本子供への情報セキュリティ啓発を目的としまた将来のセキュリティ人材へ導くことを期待全国の小学校図書室約 2.3 万校全国の公立図書館約 3 千館配布予定日 2016 年 1 月末警察の協力を得て全国に同マンガを活用したパスワード啓発ポスター約 3 万枚チラシ約 25 万枚を掲示配布 (9 月予定 ) 大学企業からの掲示したい旨の要望を受け一般向け販売を開始 (8 月より ) 本事業をセキュリティ業界全体として取り組むべく関係府省の活動も紹介業界各社へは協賛を通じて普及活動への協力を呼びかけ ( 協賛企業 2 社 )

企業国民への普及啓発企業向け第 12 回情報セキュリティ EXPO (5/13-5/15) ブースプレゼンパネル展示資料配布を通じて IPA

ブースプレゼン( 各 20 分 ) 計 41 回パネル展示計 36 枚資料配布 9,000セット配布映像を用いた組織内研修内部不正防止

~ 内部不正と情報漏えい対策 ~ 標的型攻撃新入社員向け SNS 等 YouTube 再生回数 : 上期 124,734 回 ( 累積 489,248 回

19 企業国民への普及啓発企業向け第 12 回情報セキュリティ EXPO (5/13-5/15) ブースプレゼンパネル展示資料配布を通じて IPA ブース来場者約 1 万人に対して IPA の成果を広めた実績 (3 日間 ) IPA ブース来場者数 :10,639 名前年から更に 10% 増加ブースプレゼン( 各 20 分 ) 計 41 回パネル展示計 36 枚資料配布 9,000セット配布映像を用いた組織内研修内部不正防止等の最新テーマの啓発映像を社内研修用に作成情報を漏らしたのは誰だ? ~ 内部不正と情報漏えい対策 ~ 標的型攻撃新入社員向け SNS 等 YouTube 再生回数 : 上期 124,734 回 ( 累積 489,248 回 ) 企業内研修向け配布 : 上期 1,043 社 ( 研修対象 595,549 名 ) 中小企業向け講習能力養成セミナーにおいて IPAの映像教材を利用した講義方法を伝授する施策を実施開発中の中小企業向け学習支援システムでは elearningコンテンツとして活用予定 19

20 3. 人材育成事業 (1)IPA の人材育成事業 20

21 スキル標準 21

22 スキル標準体系の変遷スキル標準 CCSFからiコンピテンシディクショナリへの変遷は下図のようにイメージできる ITSS UISS ETSS 3つのスキル標準キャリアフレームワークキャリアフレームワークキャリアフレームワークスキルディクショナリ機能役割定義スキル基準 CCSF への展開 CCSF 第一版人材モデル ( 類型 ) 参照 CCSF 追補版タスクスキル参照タスクの拡張スキルの新設分類サンプルの提供 ( タスクプロフィール職種 ) 広範囲な参照元 (SLCP ITIL 試験 BOK 系等 ) IT ヒューマンスキルの提供など拡充今後の活用大企業中小企業組織 ( 各種スキル指標等 ) 個人 (IT 資格試験等 ) 学校等教育機関 ( 教育プログラム ) など活用 i コンピテンシディクショナリ 22

ｉコンピテンシディクショナリの公開ｉコンピテンシディクショナリ試用版を平成26年7月末に公開した今後は欧米調査やパブコメ等のレビュー結果を尊重して確定版を構築とするとともにその活用システムの構築も推進する i コンピテンシディクショナリ企業のタスク一覧タスク大分類タスク

ソフトウェア構築の基礎知識ソフトウェア設計の基礎知識プログラミング活用各種スキル指標等連係活用システム開発 (システの概念と方法ムソフト論ウェアのシステム開発構築技術のアプローチ IT資格試験教育プログラム (システムソフトウェアの基礎技術

23 ｉコンピテンシディクショナリの公開ｉコンピテンシディクショナリ試用版を平成26年7月末に公開した今後は欧米調査やパブコメ等のレビュー結果を尊重して確定版を構築とするとともにその活用システムの構築も推進する i コンピテンシディクショナリ企業のタスク一覧タスク大分類タスク中分類顧客の事業要求構想の戦略把握確認 IT製品市場動向の調サービス戦査分析予測略策定ＩＴ製品サービス戦略の策定タスクディクショナリ IT技術者のスキル一覧スキルディクショナリタスク小分類スキル分類スキル項目知識項目 (システムソフトウェアの基礎技術ソフトウェア構築の基礎知識ソフトウェア設計の基礎知識プログラミング活用各種スキル指標等連係活用システム開発 (システの概念と方法ムソフト論ウェアのシステム開発構築技術のアプローチ IT資格試験教育プログラム (システムソフトウェアの基礎技術ソフトウェア構築の基礎知識プログラミングオープンソフトウェアシステム開発のアプローチ技術者試験スキル項目技術者試験スキル分類 (システムソフトウェアの構築技術大企業中小企業組織での利活用 ITベンダーユーザ企業技術者試験資格試験個人での利活用 IT技術者学生学校等教育機関での利活用 23

24 タスクディクショナリタスクフレームワーク ( タスク大分類 )

タスク評価の診断基準例診断基準ランク4 ランク3 ランク2 ランク1 ランク0 他者を指導できる

25 タスクディクショナリの詳細タスクの一覧 ( 抜粋 ) タスク大分類タスク中分類タスク小分類評価項目約 50 分類約 200 分類約 500 分類約 2000 項目 A タスクプロフィール ( タスクの分類サンプル ) B タスク評価の診断基準例診断基準ランク4 ランク3 ランク2 ランク1 ランク0 他者を指導できるまたはその経験あり独力で実施できるまたはその経験ありサポートがあれば実施できるまたはその経験ありトレーニングを受けた程度の知識あり知識経験無し 25

26 スキルディクショナリ狭スキルディクショナリ構成図企業固有スキル ( ビジネス関連業務 ) 企業固有スキルは個々の企業が自社のビジネスや業務の遂行に必要なスキルを独自に定義する参照元名称 ( 発行団体 ) 利用対象領域広関連知識低ビジネスインダストリ / 企業活動 / 法規基準標準戦略分野テクノロジ市場機会の評価と選定マーケティング製品サービス戦略販売戦略製品サービス開発戦略システム戦略立案手法コンサルティング手法業務動向把握手法企画分野システム企画立案手法セールス事務管理手法実装分野アーキテクチャ設計手法ソフトウェアエンジニアリング手法カスタマーサービス手法業務パッケージ活用手法利活用分野サービスマネジメントサービスの設計移行支援活動分野品質マネジメント手法リスクマネジメント手法 IT ガバナンスシステム ( 基礎構築利用 ) ソフトウエア技術 Webシステム技術データベース技術プラットフォーム技術ハードウェア技術ネットワーク技術開発システムアーキテクティング技術システム開発管理技術要求分析手法非機能要件設計手法データマイニング手法見積り手法プロジェクトマネジメント手法サービスマネジメントプロセスサービスの運用資産管理手法ファシリティマネジメント手法事業継続計画 IT ヒューマンスキル創造力 / 実行実践力 / コミュニケーション力 IT 固有性保守運用 IT サービスマネジメント業務管理技術 IT サービスオペレーション技術システム保守運用評価障害修理技術施工実務技術ファシリティ設計技術サポートセンター基盤技術非機能要件システム監査手法標準化再利用手法人材育成教育研修非機能要件 ( 可用性性能拡張性 ) IT 基礎セキュリティ技術 ( 基礎構築利用 ) ナレッジマネジメント技術メソドロジ組込み制御組込み技術 ( 基礎構築利用 ) ディジタル技術ヒューマンインターフェース技術マルチメディア技術グラフィック技術計測制御技術共通技術高情報処理技術者試験午前の出題範囲 ( 知識体系 ) (IPA) CCSF BOK (IPA) ITSS V (IPA) ITS (IPA) UISS Ver.2.2 (IPA) ETSS 200 8(IPA) J07( 情報処理学会 ) BABOK 第 1.2 版 (IIBA) REBOK 第 1 版 (JISA) SABOK ( 日本 IT ストラテジスト協会 ) SWEBOK 2004 (IEEE/ACM) PMBOK 第 4 版 (PMI) ITIL V3 (itsmf Japan) SQuBOK Ver1.0 ( 日本科学技術連盟 ) DMBOK 第 1 版 (DAMA) CBK ((ISC)² Japan) 26

スキルディクショナリの詳細スキルの一覧 ( 抜粋 ) スキルカテゴリ 5 分類スキル分類約 90 分類スキル項目約 400 分類知識項目約 8000 項目 16 種類の知識体系を参照し

テクノロジメソトロジ関連知識レベル7 業界をリードし市場への影響力があるレベルにあるレベル6 業界に貢献し認知されるレベルにある D 情報処理技術者試験スキル対応表 ( 抜粋 ) レベル

所属団体組織内で貢献し認知されるレベルにある最適な手法を使いこなす / 最適な手法を選択できる / 手法を状況に応じて自在に駆使できる課題に応じて手法の使い分けができる /

1 指示があると使える活用できる / 実装経験がある技術内容を講義などを受講し知っている / 知識がある当該手法で分析できる / メソトロジを指導下で使える

27 スキルディクショナリの詳細スキルの一覧 ( 抜粋 ) スキルカテゴリ 5 分類スキル分類約 90 分類スキル項目約 400 分類知識項目約 8000 項目 16 種類の知識体系を参照し MECE に整理 A 職種 ( スキルの分類サンプル 3 スキル標準等の職種で構成 ) スキル対応表 ( 抜粋 ) C IT ヒューマンスキルの構成 : 3 つの分類 B スキル熟達度判定基準テクノロジメソトロジ関連知識レベル7 業界をリードし市場への影響力があるレベルにあるレベル6 業界に貢献し認知されるレベルにある D 情報処理技術者試験スキル対応表 ( 抜粋 ) レベル 5 レベル 4 レベル 3 非機能要件を考慮して最適化できる最適解が出せる / 定石外しができる / 高度情報処理試験に合格するレベル機能要件が作成できる / 自立してある限定条件で仕事ができる所属団体組織内で貢献し認知されるレベルにある最適な手法を使いこなす / 最適な手法を選択できる / 手法を状況に応じて自在に駆使できる課題に応じて手法の使い分けができる / 現場にて手法を活用し結論を導いた事がある関与する業種業務の上級管理者に対しあるべき姿について議論できる関与する業種業務の IT 領域の課題点に対し解決策を提案した事があるレベル 2 レベル 1 指示があると使える活用できる / 実装経験がある技術内容を講義などを受講し知っている / 知識がある当該手法で分析できる / メソトロジを指導下で使える手法内容を講義などを受講して知っている / どんなものか知っている言える / テキストで知っている関与する業種業務の IT 領域の課題点を知っている関与する業種業務がどのようなものか知っている言える / 有報などの公開情報で知っている 27

icd2015 及び icd 活用システムの公開技術者試験技術者試験技術者試験新時代に必要な人材育成 ( 情報セキュリティ攻めのITなど ) に対応した icd 2015 を公開またウェブ上で利用できる icd 活用システムを公開し提供を開始アプリケーション ( タスク編 ) 成果 1 2015 年度リリース icd2015 & 活用システム

現場知見のフィードバックタスクディクショナリスキルディクショナリ現場での活用活用スキル分類スキル項目ソフトウェア構築 ( システム ) の基礎知識ソフトウェアソフトウェア設計の基礎技術の基礎知識 ( システム ) ソフトウェアの構築技術 IT 技術者のスキル一覧プログラミングシステム開発の概念と方法論システム開発のアプローチ知識項目各種スキル指標等

28 icd2015 及び icd 活用システムの公開技術者試験技術者試験技術者試験新時代に必要な人材育成 ( 情報セキュリティ攻めのITなど ) に対応した icd 2015 を公開またウェブ上で利用できる icd 活用システムを公開し提供を開始アプリケーション ( タスク編 ) 成果年度リリース icd2015 & 活用システムデータベースアプリケーション ( スキル編 ) 成果年度リリース自タスク選定機能診断機能診断結果分析機能自スキル選定機能診断機能資格連携機能タスク大分類顧客の事業戦略把握 IT 製品サービス戦略策定タスク中分類要求 ( 構想 ) の確認企業のタスク一覧市場動向の調査分析予測 IT 製品サービス戦略の策定タスク小分類活用現場知見のフィードバックタスクディクショナリスキルディクショナリ現場での活用活用スキル分類スキル項目ソフトウェア構築 ( システム ) の基礎知識ソフトウェアソフトウェア設計の基礎技術の基礎知識 ( システム ) ソフトウェアの構築技術 IT 技術者のスキル一覧プログラミングシステム開発の概念と方法論システム開発のアプローチ知識項目各種スキル指標等成果 3 IT 資格試験スキル分類スキル項目資格試験教育プログラム 3 種のタスクを追加ラインマネジメント総務人事経理営業業務 ( システム ) ソフトウェアの基礎技術 ( システム ) ソフトウェアの構築技術ソフトウェア構築の基礎知識プログラミングオープンソフトウェアシステム開発のアプローチ企業組織での利活用個人での利活用教育機関での利活用 28

開発プロセス改善スペシャリスト活用システム ( データベース ) 活用システムでは豊富なINDEXが用意されており icdは必要な領域または上位階層のみで活用できるタスクディクショナリスキルディクショナリ網羅的に参照し整理タスク大分類約 50 中分類約 200 小分類約 500 評価項目約 2000

プロダクトマネージャビジネスタイプ別組込みソフトウエア開発 Webサイト構築運用システム運用サービス ( 業務受託 ) システム運用サービス ( テータセンタ ) ITコンサルティングクラウドビジネス UISS ITストラテジストプログラムマネージャ ISアナリスト

ラットフォーム ) プロジェクトマネージャブリッジ SE ドメインスペシャリストソフトウエアエンジニアデータサイエンス ( ヒシネスアナリスト ) ISオペレーション ISアドミニストレータカスタマーサービス ITサービスマネージメント開発環境エンジニア QA スペシャリスト業務別

29 開発プロセス改善スペシャリスト活用システム ( データベース ) 活用システムでは豊富なINDEXが用意されており icdは必要な領域または上位階層のみで活用できるタスクディクショナリスキルディクショナリ網羅的に参照し整理タスク大分類約 50 中分類約 200 小分類約 500 評価項目約 2000 BOK を網羅的に参照し整理 IT ヒューマンスキルはレベルアップの可能なものを定義スキル定義もある程度の階層で止めて活用できるタスクプロフィールタスクディクショナリから該当部分のみを抜き出すことができる INDEX 職種スキルを参照するための INDEX 受託開発ビジネスストラテジストマーケティングプロダクトマネージャビジネスタイプ別組込みソフトウエア開発 Webサイト構築運用システム運用サービス ( 業務受託 ) システム運用サービス ( テータセンタ ) ITコンサルティングクラウドビジネス UISS ITストラテジストプログラムマネージャ ISアナリスト ISアーキテクトプロジェクトマネージャアプリケーションデザイナシステムデザイナ ITSS セールスコンサルティング ITアーキテクトプロジェクトマネージメント ITスペシャリストアプリケーションスペシャリストソフトウエアデベロップメント ETSS システムアーキテクト ( アフリ ) システムアーキテクト ( フラットフォーム ) プロジェクトマネージャブリッジ SE ドメインスペシャリストソフトウエアエンジニアデータサイエンス ( ヒシネスアナリスト ) ISオペレーション ISアドミニストレータカスタマーサービス ITサービスマネージメント開発環境エンジニア QA スペシャリスト業務別自社向けシステム開発保守運用プログラムマネジメントリスクマネジメント情報セキュリティマネジメント人材開発開発対象別開発手法別役割別セキュリティアドミニストレータ ISスタッフ ISオーディタ情報システム部門エデュケーション情報セキュリティ大規模フロシェクト中小規模フロシェクトテストエンジニアデータサイエンスインターネット関連企業クラウドサービス 29

30 情報処理技術者試験 30

情報処理技術者試験情報セキュリティの重要性の一層の高まりや情報セキュリティ人材が不足している状況を踏まえ情報セキュリティ人材の育成に資する活動を実施情報セキュリティに関する知識を含め国民全体の IT リテラシーの向上を図ることが必要 ( 世界最先端 IT 国家創造宣言 2013 年 6 月 14 日閣議決定 ) 情報セキュリティ人材の発掘育成活用を進めることが必要 (

31 情報処理技術者試験情報セキュリティの重要性の一層の高まりや情報セキュリティ人材が不足している状況を踏まえ情報セキュリティ人材の育成に資する活動を実施情報セキュリティに関する知識を含め国民全体の IT リテラシーの向上を図ることが必要 ( 世界最先端 IT 国家創造宣言 2013 年 6 月 14 日閣議決定 ) 情報セキュリティ人材の発掘育成活用を進めることが必要 ( サイバーセキュリティ戦略 2013 年 6 月 10 日政府公表 ) i パスをはじめとする情報処理技術者試験の全試験区分において情報セキュリティに関する出題の強化拡充を実施 i パス基本情報技術者試験 (FE) 応用情報技術者試験 (AP) 高度試験情報セキュリティに関する出題比率の大幅な引き上げ (2 倍問程度 ) 午前試験において中分類 11 セキュリティの出題比率を引き上げ午後試験において情報セキュリティ分野を選択問題から必須問題に変更午前 Ⅰ 試験 ( 共通知識 ) 午前 Ⅱ 試験において中分類 11 セキュリティの出題比率を引き上げ ITストラテジスト試験 (ST) プロジェクトマネージャ試験 (PM) において午前 II 試験の出題範囲に新たに中分類 11 セキュリティを追加 ( 高度全区分で出題 ) ( )i パスは平成 26 年 5 月 7 日以降 i パス以外は 26 春試験から適用 31

32 32

33 日本における創造的人材 1IPA 未踏会議

35 3. 人材育成事業 (2) 情報セキュリティ人材の育成 35

情報セキュリティ人材像の整理今後必要となる情報セキュリティ人材は 1 ホワイトハッカーのような高度セキュリティ技術者 2 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 3 ユーザ企業において社内セキュリティ技術者と連携して企業の情報セキュリティ確保を管理する人材ユーザー企業 IT ベンダ (Sier 等 ) 委託先 CISO 事業部門部門の情報セキュリティ管理者

36 情報セキュリティ人材像の整理今後必要となる情報セキュリティ人材は 1 ホワイトハッカーのような高度セキュリティ技術者 2 安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 3 ユーザ企業において社内セキュリティ技術者と連携して企業の情報セキュリティ確保を管理する人材ユーザー企業 IT ベンダ (Sier 等 ) 委託先 CISO 事業部門部門の情報セキュリティ管理者情報システムの利用者 3 協指力示セキュリティ監査者情シス部門全社の情報セキュリティ管理者自社システムの開発技術者自社システムの運用技術者指示協力 2 セキュアなシステムの構築サービス提供 2 システム開発者セキュリティベンダセキュリティ製品ツールの開発者セキュリティサービスプロバイダ製品サービスにセキュリティを実装する技術者システム運用保守技術者提供 1 高度セキュリティ技術者 ( いわゆるホワイトハッカー ) 自社の製品サービスにセキュリティを実装する技術者 2 2 セキュリティ監視運用サービス技術者 36

37 ホワイトハッカー養成事業セキュリティキャンプ夏休みにオーティションに受かった学生を日本のトッフハッカーが集中トレーニング 37

セキュリティキャンプ 2015 概要セキュリティキャンプ全国大会 2015 は 2015 年 8 月 11 日 ~15 日に千葉県千葉市のクロスウェーブ幕張にて開催全国から応募のあった 228 名に対して書面による審査を実施し 50 名が選出され受講しました受講者概要 : 最年少 ( 応募時 ) 13 歳最年長 22 歳男性 46 名女性 4 名大学生 70%(35 人 )

38 セキュリティキャンプ 2015 概要セキュリティキャンプ全国大会 2015 は 2015 年 8 月 11 日 ~15 日に千葉県千葉市のクロスウェーブ幕張にて開催全国から応募のあった 228 名に対して書面による審査を実施し 50 名が選出され受講しました受講者概要 : 最年少 ( 応募時 ) 13 歳最年長 22 歳男性 46 名女性 4 名大学生 70%(35 人 ) 高等専門学校生 8%(4 人 ) 専門学校生 8%(4 人 ) 高校生 8%(4 人 ) 中学生 6%(3 人 ) 平均年齢 19.2 歳プログラム概要 : 全体講義専門講義グループワークセキュリティ有識者による特別講義倫理教育の特別講義企業プレゼン等 ( 約 15 時間 ) それぞれの受講生が 4 つのトラックから選択した講義 ( 約 30 時間 ) 1 日目 - 開講式 ( 全体専門講義 ) 2 日目専門講義専門講義全体講義 3 日目専門講義 CTF 4 日目専門講義専門講義全体講義 5 日目全体講義修了式

) を開催セキュリティ人材育成の裾野を広げています 2015 年開催実績と予定新潟 2015 年 5 月 16

日 ) 北陸 ( 金沢 ) 2015 年 9 月 26 日 ( 土 )~27 日 ( 日 ) 東北 ( 仙台 )

12 日 ( 土 )~13 日 ( 日 ) 沖縄 2015 年 12 月 18 日 ( 金 )~20 日 ( 日

2014 年 8 月 29 日 ( 金 )~31 日 ( 日 ) 東北 2014 年 9 月 13 日 ( 土

39 セキュリティミニキャンプ ( 地方大会 ) 全国大会とは別に若年層を対象としたサイバーセキュリティ人材育成に関心の高い地域においてセキュリティミニキャンプ ( 地方大会 ) を開催セキュリティ人材育成の裾野を広げています 2015 年開催実績と予定新潟 2015 年 5 月 16 日 ( 土 )~17 日 ( 日 ) 九州 ( 福岡 ) 2015 年 8 月 28 日 ( 金 )~30 日 ( 日 ) 北陸 ( 金沢 ) 2015 年 9 月 26 日 ( 土 )~27 日 ( 日 ) 東北 ( 仙台 ) 2015 年 11 月 14 日 ( 土 )~15 日 ( 日 ) 北海道 ( 札幌 ) 2015 年 12 月 12 日 ( 土 )~13 日 ( 日 ) 沖縄 2015 年 12 月 18 日 ( 金 )~20 日 ( 日 ) 2014 年開催実績名古屋 2014 年 5 月 31 日 ( 土 )~6 月 1 日 ( 日 ) 福岡 2014 年 8 月 29 日 ( 金 )~31 日 ( 日 ) 東北 2014 年 9 月 13 日 ( 土 )~14 日 ( 日 ) 北海道 2014 年 11 月 1 日 ( 土 )~2 日 ( 日 ) 沖縄 2014 年 12 月 19 日 ( 金 )~21 日 ( 日 )

40 セキュリティキャンプ実施協議会次代を担う日本発で世界に通用する若年層の情報セキュリティ人材を発掘育成するため産業界教育界を結集した講師によるセキュリティキャンプを実施しそれを全国的に普及拡大していくことを目的とする会です 2012 年 2 月に設立され現在 (2015 年 7 月 )32 の企業団体が参加していますセキュリティキャンプ実施協議会は以下を行いますセキュリティキャンプの実施に関する方針と企画立案セキュリティキャンプに関する情報発信広報活動セキュリティキャンプ普及促進のための関連諸団体との連携活動協賛企業団体名 (50 音順 ) 全 32 企業団体平成 27 年 7 月 31 日現在株式会社アズジェントさくらインターネット株式会社富士通株式会社株式会社イーセクター株式会社セキュアソフト富士通エフアイピー株式会社伊藤忠テクノソリューションズ株式会社ソニー株式会社株式会社三菱総合研究所株式会社インテリジェントウェイブトレンドマイクロ株式会社三菱電機株式会社 SCSK 株式会社一般財団法人日本情報経済社会推進協会ヤフー株式会社エヌティティコミュニケーションズ株式会社一般社団法人日本情報システムユーザー協会 LINE 株式会社株式会社エヌティティデータ日本電気株式会社株式会社ラック株式会社オービックビジネスコンサルタント日本電信電話株式会社株式会社リクルートテクノロジーズグーグル株式会社株式会社野村総合研究所株式会社サイバーエージェントパナソニック株式会社セキュリティキャンプ九州実施協議会 ( 特別会員 ) サイボウズ株式会社株式会社日立製作所独立行政法人情報処理推進機構 ( 特別会員 )

情報セキュリティスペシャリスト安全な情報システムの構築やサービスを実現するために専門的な IT

情報セキュリティスペシャリスト人材 ( 安全な情報システムを作る者 ) 連携して情報セキュリティ対策を実施

41 情報セキュリティスペシャリスト安全な情報システムの構築やサービスを実現するために専門的な IT 技術者については従来から情報処理技術者試験において情報セキュリティ分野を専門とする情報セキュリティスペシャリスト試験を実施情報セキュリティマネジメント人材 ( 情報セキュリティを利用者側の現場で管理する者 ) 情報セキュリティスペシャリスト人材 ( 安全な情報システムを作る者 ) 連携して情報セキュリティ対策を実施 ( 典型的な人材像 : セキュリティ技術者 ) 情報セキュリティ分野を専門とする IT 技術者であり情報システムのセキュリティ機能を実装しまた情報セキュリティ技術の専門家として情報セキュリティ管理を支援する 41

情報セキュリティスペシャリスト試験の概要情報セキュリティスペシャリスト試験とは累計合格者数約 3 万人標的型サイバー攻撃の増加新手の不正アクセス新型ウィルスの出現機密盗難機器停止の恐れ ( 企業の損失拡大の恐れ ) 脅威専門家による適切なセキュリティ管理が必要国家試験による評価セキュリティの専門家を評価する国家試験対象者像高度 IT 人材として確立した専門分野をもち

42 情報セキュリティスペシャリスト試験の概要情報セキュリティスペシャリスト試験とは累計合格者数約 3 万人標的型サイバー攻撃の増加新手の不正アクセス新型ウィルスの出現機密盗難機器停止の恐れ ( 企業の損失拡大の恐れ ) 脅威専門家による適切なセキュリティ管理が必要国家試験による評価セキュリティの専門家を評価する国家試験対象者像高度 IT 人材として確立した専門分野をもち情報システムの企画要件定義開発運用保守において情報セキュリティポリシに準拠してセキュリティ機能の実現を支援し又は情報システム基盤を整備し情報セキュリティ技術の専門家として情報セキュリティ管理を支援する者情報セキュリティスペシャリスト試験の応募者数等 ( 直近 3 年分 ) 情報処理技術者試験における位置づけ平成 26 年度平成 25 年度平成 24 年度応募者数 54,981 56,452 57,944 ( 全体に占める応募者割合 ) (12.0%) (12.0%) (11.9%) 合格率 14.0% 13.9% 13.8% 出題範囲 ( 午後 ) 情報セキュリティシステムの企画要件定義開発運用保守に関すること ( セキュアプログラミングなど ) 情報セキュリティの運用に関すること ( 不正アクセス対策など ) 情報セキュリティ技術に関すること ( ウイルス対策技術など ) 開発の管理に関すること ( 開発環境の情報セキュリティ管理など ) 情報セキュリティ関連の法的要求事項などに関すること ( 著作権 42 法個人情報保護など )

43 情報セキュリティマネーシメント人材今後必要となるセキュリティ人材のうちユーザー企業において一定の技術知識を持ちつつ自社内で情報セキュリティ対策の実務をリードできるマネジメント人材を対象とする新試験を創設 ( 平成 28 年 4 月から実施予定 ) 情報セキュリティマネジメント人材 ( 情報セキュリティを利用者側の現場で管理する者 ) ( 参考 ) 情報セキュリティスペシャリスト人材 ( 安全な情報システムを作る者 ) 様々な機密情報を各重要度やリスクを踏まえて管理できる情報セキュリティ上のトラブルが発生した際に適切な事後対応が取れる情報漏えい等を防止するためのルール作りができるメンバに対して情報セキュリティの重要性を教育できる連携して情報セキュリティ対策を実施業務を委託する際委託先における情報セキュリティ対策の実施状況を確認し指導できる情報システムを調達する際必要な情報セキュリティ要件をまとめられる ( 典型的な人材像 : セキュリティ技術者 ) 情報セキュリティ分野を専門とする IT 技術者であり情報システムのセキュリティ機能を実装しまた情報セキュリティ技術の専門家として情報セキュリティ管理を支援する ( 典型的な人材像 : 業務部門セキュリティ管理者 ) 業務部門において普段は総務や企画等を担当しつつ情報セキュリティトラブルの発生時には部門長やセキュリティ技術者と連携して被害の最小化を図る 43

44 44 情報セキュリティマネジメント試験の内容情報セキュリティマネジメント試験を通じて確認する情報セキュリティマネジメントを行う上で最低限必要な知識内容は以下のとおり 1. 情報セキュリティマネジメントの計画情報セキュリティ要求事項に関すること 2. 情報セキュリティマネジメントの運用継続的改善に関すること IT システム外部記憶媒体事業関連情報など機密保持の教育訓練等機密情報等の管理監視事後対応報告相談ガイドラインなどを参考にして IT システムなど情報セキュリティ対策をすべき対象を特定し業務継続等に配慮しつつリスク評価を行い戦略の立案に参画必要に応じて規程の見直し 3. 外部委託コンプライアンス ( 遵守指導等 ) に関すること 4.( 上記 1~3 の前提となる ) 情報セキュリティマネジメントの基礎知識に関すること契約通りにセキュリティ対策してますか? 勝手に再委託してないでしょうね? 関連法規ガイドライン IT の基礎知識セキュリティ対策技術セキュリティ管理監査手法

45 ご清聴ありがとうございました作るから創るへ使うから活かすへ ~ 価値を生み出すプロの力 ~ IT 人材白書 2014 新たなステージは見えているか ~ITで次なる世界をデザインせよ~ 本プレゼンテーションで使った統計資料 IT 人材白書 (IPA 出版物 1500 円タウンロート無料 ) IPA の活動紹介 IT 人材白書

i コンピテンシディクショナリを活用した品質エンジニアの育成その 2 独立行政法人情報処理推進機構 HRD イニシアティブセンター奥村有紀子

i コンピテンシディクショナリを活用した品質エンジニアの育成その 2 独立行政法人情報処理推進機構 HRD イニシアティブセンター奥村有紀子 i コンピテンシディクショナリを活用した品質エンジニアの育成その 2 独立行政法人情報処理推進機構 HRD イニシアティブセンター奥村有紀子 i コンピテンシディクショナリにおける品質関連情報の扱い SQuBOK V1.0 をスキルディクショナリにて参照 520 の項目を知識項目として参照 ( その 1 P.20) 参照 BOK 系の中ではダントツの数 3 スキル標準や CCSF に比べ