2019 年 7 月国家資格情報処理安全確保支援士がわかる! 制度説明会セキュリティの実態から紐解く必要な人材像 - 登録セキスペへの期待と役割 - 情報処理安全確保支援士集合講習講師藤井仁志

Size: px

Start display at page:

Download "2019 年 7 月国家資格情報処理安全確保支援士がわかる! 制度説明会セキュリティの実態から紐解く必要な人材像 - 登録セキスペへの期待と役割 - 情報処理安全確保支援士集合講習講師藤井仁志"

しゅんすけこうだ
4 years ago
Views:

1 2019 年 7 月国家資格情報処理安全確保支援士がわかる! 制度説明会セキュリティの実態から紐解く必要な人材像 - 登録セキスペへの期待と役割 - 情報処理安全確保支援士集合講習講師藤井仁志

2 Agenda 1. セキュリティリスクに対する認識と実態 2. 日本のセキュリティに関する課題と対応 3. 登録セキスペへの期待と役割 2

3 世界の経営者は VUCA 時代をどう認識しているか? サイバー攻撃の影響は感染症より大発生可能性は資産バブルより大 ( 出典 ) 大量破壊兵器サイバー攻撃感染症の広がりテロ攻撃主要国における資産バブル 3

4 情報漏洩を自ら発見するのは困難インシデント未発見期間は数か月の単位情報漏えいを発見する主体インシデントの所要時間侵入 ( 対象 =140) 攻撃者は自由に行動脱出 ( 対象 =87) 法的機関第三者発見 ( 対象 =390) 不正利用検知内部感染 ( 対象 =127) 出典 : Verizon 2016 Data Breach Investigation Report 70% を超える情報漏えいが法的機関や外部の専門家による指摘にて発覚秒分時日週月年出典 : Verizon 2019 Data Breach Investigation Report 4

機械学習を応用したセキュリティ製品の登場で人材不足解消とはならずマルウエア解析 ( 静的 / 動的 ) マルウエア検知分類 Web ベース攻撃検知悪性サイト悪性スパムメール検知悪性 JavaScript 検知不正侵入検知 (IDS/IPS) 異常検知攻撃分類検知ハニーポット観測分析広域攻撃観測ダークネット分析

5 機械学習を応用したセキュリティ製品の登場で人材不足解消とはならずマルウエア解析 ( 静的 / 動的 ) マルウエア検知分類 Web ベース攻撃検知悪性サイト悪性スパムメール検知悪性 JavaScript 検知不正侵入検知 (IDS/IPS) 異常検知攻撃分類検知ハニーポット観測分析広域攻撃観測ダークネット分析異常検知攻撃分類検知ボットネットの活動検知分析 ( 出典 ) サイバー攻撃情報の収集分析表層 Web 解析 (SNS セキュリティブログレポートなど ) 深層 Web 解析 ( ダークマーケットダークフォーラムなど ) 5

6 AI IoT の発展が新たな脅威を実世界にもたらす AI と IoT で実現する新たなケアサービスの一例ケア提案データ改ざん AI モデル撹乱盗取 AI エンジン ( 学習予測推奨 ) センサーログクラウドサービスデータ改ざんケア履歴 AI エンジン ( 状態行動認識 ) 個人情報 / 機微情報盗取 6

7 必要な専門性は高度化多様化するだからチームで対処高度化多様化するセキュリティ人員の専門性 AI SOAR 監視に必要な専門性 IPS/IDS IAM SSO 検疫 NW API マイクロサービス脅威インテリジェンスサンドボックス解析脅威情報マルウェア解析システム構成 OS FW ウイルス対策 NW IPA - 情報セキュリティ人材不足数等に関する追加分析について 7

今後データデジタルを重視すると倫理は今以上に重視されるべきヒポクラテスの誓い ( 出典 ) https://ja.wikipedia.

%E3%81%84 医師の倫理任務などについてのギリシア神への宣誓文現代の医療倫理の根幹を成す患者の生命健康保護の思想患者のプライバシー保護のほか

8 今後データデジタルを重視すると倫理は今以上に重視されるべきヒポクラテスの誓い ( 出典 ) %E3%83%A9%E3%83%86%E3%82%B9%E3%81%AE%E8%AA%93 %E3%81%84 医師の倫理任務などについてのギリシア神への宣誓文現代の医療倫理の根幹を成す患者の生命健康保護の思想患者のプライバシー保護のほか専門家としての尊厳の保持徒弟制度の維持や職能の閉鎖性維持なども謳われている ( 出典 ) 8

9 Agenda 1. セキュリティリスクに対する認識と実態 2. 日本のセキュリティに関する課題と対応 3. 登録セキスペへの期待と役割 9

10 日本のセキュリティは低予算人不足が課題 IT 予算に占めるセキュリティ予算の割合 (%) 経営層が CISO セキュリティ人材の不足 35.5% 86.9% 71.2% 16.2% 68.5% 10.6% 70.5% 14.3% 0% 20% 40% 60% 80% 100% 71.8% 10.4% 凡例 10% 未満 10% 以上不明を基に作成 10

インシデント対応とセキュリティ企画の要員不足が人材面の課題自組織に不足していると考える人材種別セキュリティ担当者として最も困っていることログを監視分析して危険な兆候をいち早く察知できるセキュリティ戦略企画を策定するインシデントへの対応指揮ができる 0% 20% 40% 60% 57% 53% 44% 日本

11 インシデント対応とセキュリティ企画の要員不足が人材面の課題自組織に不足していると考える人材種別セキュリティ担当者として最も困っていることログを監視分析して危険な兆候をいち早く察知できるセキュリティ戦略企画を策定するインシデントへの対応指揮ができる 0% 20% 40% 60% 57% 53% 44% 日本 (n=93) セキュリティインシデント発生時の緊急対応自社セキュリティ対策の遅れ ( 最新技術動向の未反映 ) グループ会社国内外拠点のセキュリティ統制管理サイバー攻撃高度化への対応を基に作成 11

サイバーセキュリティ 2018 は同戦略に基づく初めての年次計画であり各府省庁はこれに基づき施策を着実に実施目的達成のための施策 ( 出典

12 サイバーセキュリティ戦略サイバーセキュリティ 2018 新たなサイバーセキュリティ戦略 (2018 年 7 月 ) は 2020 年以降の目指す姿も念頭に我が国の基本的な立場等と今後 3 年間 (2018 年 ~2021 年 ) の諸施策の目標及び実施方針を国内外に示すものサイバーセキュリティ 2018 は同戦略に基づく初めての年次計画であり各府省庁はこれに基づき施策を着実に実施目的達成のための施策 ( 出典 ) を元に作成 12

13 サイバーセキュリティ人材育成取組方針経営層戦略マネジメント層実務者層技術者層役割ビジネスやサービスの着実な遂行 ( 任務保証 ) が重要事業継続と価値創出のためのリスクマネジメントの一環として対策を推進事業継続と価値創出に係るリスクマネジメントを中心となって支える役割経営層の方針を踏まえた対策立案実務者技術者の指揮方針を踏まえたセキュリティ対策の企画構築実施課題リスクマネジメントに向けた経営層の理解と意識改革の推進業種業態の違いを踏まえたサイバーセキュリティの位置付けの明確化とリスクマネジメントの浸透マネジメント機能の中でサイバーセキュリティリスクの考慮戦略マネジメント層向けの適切な教材やプログラムが存在しない経営層戦略マネジメント層を支え他の専門人材とチームの一員として対処できる人材の育成新たな技術やシステム開発手法の知識スキルの育成取組に対する経営上のインセンティブ付与 ( 出典 ) 13

14 Agenda 1. セキュリティリスクに対する認識と実態 2. 日本のセキュリティに関する課題と対応 3. 登録セキスペへの期待と役割 14

登録セキスペはセキュリティ専門職実務者戦略マネジメント層をカバー経営層戦略マネジメント層実務者層技術者層金融庁 Delta Wall III 演習 IPA 産業サイバーセキュリティセンター責任者向け短中期プログラム演習 NISC 重要インフラ分野横断演習警察庁重要インフラ業者等との共同対処訓練 NICT CYDER

15 登録セキスペはセキュリティ専門職実務者戦略マネジメント層をカバー経営層戦略マネジメント層実務者層技術者層金融庁 Delta Wall III 演習 IPA 産業サイバーセキュリティセンター責任者向け短中期プログラム演習 NISC 重要インフラ分野横断演習警察庁重要インフラ業者等との共同対処訓練 NICT CYDER サイバーコロッセオ教育資格評価基準 IPA 産業サイバーセキュリティセンター中核人材育成プログラム東京電機大 Cysec IPA 情報処理安全確保支援士 IPA 情報セキュリティマネジメント試験 ( 出典 ) 15

16 セキュリティ人材の活躍が期待される場所システム技術者実務者利用者経営者通信工学情報学システム工学計算機経営学経済学法学政治学科学システムサービス仕様セキュリティ仕様 3 ギャップの最適化解消したい課題ニーズセキュリティ課題ニーズ 2 仕様の具体化 4 仕様に従った実装運用 1 課題ニーズの具体化先端 IT の利活用トレンドの変化セキュリティの社会認識 16

17 セキュリティ人材に期待される役割 1 課題ニーズの具体化法令業界ガイドライン等を踏まえセキュリティとして取り組むべき課題ニーズを具体化できるセキュリティ課題ニーズ解消の必要性を訴求し人予算の確保も含め関係者との合意形成できる 2 仕様の具体化法制セキュリティガイドライン等を踏まえシステムサービスの仕様に取り込むべきセキュリティの仕様を具体化できる新たな IT 利活用新技術セキュリティに対する社会認識の変化を捉え自組織に必要不要なセキュリティの仕様を選択しシステムサービス仕様との整合性が確保できる 3 ギャップの最適化課題ニーズとセキュリティ仕様を双方向で擦り合わせしギャップを明確にできるギャップがもたらすリスクを具体化し対策の採否優先度を課題ニーズと仕様の双方から検討調整できる調整結果をもとにセキュリティ人材以外への説明合意形成ができる 4 仕様に従った実装運用セキュリティに関する技術力を活かしシステムサービスにセキュリティ仕様を実装することができる技術力を活かし実装したものが期待通りに動作するよう運用し仕様通りに動作しない時 ( 障害発生時 ) や仕様では想定していないがシステムサービスの安心安全を脅かす時 ( インシデント発生時 ) に速やかにその影響を排除しその原因を解明し再発防止ができる 17

18 セキュリティ人材への将来期待は多様登録セキスペはゴールでありスタート試験合格者 = レベル 4 の実力あり登録専門性の広域化専門性の進化深化 + + 人材の可視化安心感の提供 + 講習研修の受講実務経験サイバー演習 CTF 外部発表等トップガン人材 IT 戦略アーキテクチャ PM システム開発システム運用ネットワーク AI 従来 IT 先端技術との組み合わせ CISO セキュリティにも強い経営者会計法務広報企業組織運営に必要な技術との組み合わせ 18

19 ( 参考 ) セキュリティ関連の年俸は幅広く上限も他職より高い傾向転職会社調査結果 (2019) にみる国内正社員年俸レンジの一例情報セキュリティ ( 銀行証券投信以外のサービス ) プロジェクトプログラムマネージャー ( 銀行証券投信以外のサービス ) データアナリストサイエンティスト ( 銀行証券投信以外のサービス ) セキュリティエンジニア ( ベンダーコンサルティング ) システムエンジニア ( ベンダーコンサルティング ) RPA コンサルタント ( ベンダーコンサルティング ) 単位 : 万円 ( 出典 ) より一部抜粋 19

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来しそれらに対するサイバーセキュリティの確保は安心安全な国民生活や社会経済活動確保の観点から極めて重要な課題

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来しそれらに対するサイバーセキュリティの確保は安心安全な国民生活や社会経済活動確保の観点から極めて重要な課題となっている特に IoT 機器についてはその性質からサイバー攻撃の対象になりやすく我が国において

2019 年 7 月 国家資格 情報処理安全確保支援士 がわかる! 制度説明会 セキュリティの実態から紐解く必要な人材像 - 登録セキスペへの期待と役割 - 情報処理安全確保支援士集合講習講師藤井仁志

2019 年 7 月国家資格情報処理安全確保支援士がわかる! 制度説明会セキュリティの実態から紐解く必要な人材像 - 登録セキスペへの期待と役割 - 情報処理安全確保支援士集合講習講師藤井仁志