2019 年 7 月 国家資格 情報処理安全確保支援士 がわかる! 制度説明会 セキュリティの実態から紐解く必要な人材像 - 登録セキスペへの期待と役割 - 情報処理安全確保支援士集合講習講師藤井仁志

2019 年 7 月 国家資格 情報処理安全確保支援士 がわかる! 制度説明会 セキュリティの実態から紐解く必要な人材像 - 登録セキスペへの期待と役割 - 情報処理安全確保支援士集合講習講師藤井仁志

Agenda 1. セキュリティリスクに対する認識と実態 2. 日本のセキュリティに関する課題と対応 3. 登録セキスペへの期待と役割 2

世界の経営者は VUCA 時代をどう認識しているか? サイバー攻撃の影響は感染症より大 発生可能性は資産バブルより大 ( 出典 )https://jp.weforum.org/reports/the-global-risks-report-2019 大量破壊兵器 サイバー攻撃 感染症の広がり テロ攻撃 主要国における資産バブル 3

情報漏洩を自ら発見するのは困難 インシデント未発見期間は数か月の単位 情報漏えいを発見する主体 インシデントの所要時間 侵入 ( 対象 =140) 攻撃者は自由に行動 脱出 ( 対象 =87) 法的機関 第三者 発見 ( 対象 =390) 不正利用検知 内部 感染 ( 対象 =127) 出典 : Verizon 2016 Data Breach Investigation Report 70% を超える情報漏えいが法的機関や外部の専門家による指摘にて発覚 秒分時日週月年 出典 : Verizon 2019 Data Breach Investigation Report 4

機械学習を応用したセキュリティ製品の登場で人材不足解消とはならず マルウエア解析 ( 静的 / 動的 ) マルウエア検知 分類 Web ベース攻撃検知 悪性サイト 悪性スパムメール検知 悪性 JavaScript 検知 不正侵入検知 (IDS/IPS) 異常検知 攻撃分類 検知 ハニーポット観測 分析 広域攻撃観測 ダークネット分析 異常検知 攻撃分類 検知 ボットネットの活動検知 分析 ( 出典 )https://www.darpa.mil/program/cyber-grand-challenge サイバー攻撃情報の収集 分析 表層 Web 解析 (SNS セキュリティブログ レポートなど ) 深層 Web 解析 ( ダークマーケット ダークフォーラムなど ) 5

AI IoT の発展が新たな脅威を 実世界 にもたらす AI と IoT で実現する新たなケアサービスの一例 ケア提案 データ改ざん AI モデル撹乱 盗取 AI エンジン ( 学習 予測 推奨 ) センサーログ クラウドサービス データ改ざん ケア履歴 AI エンジン ( 状態 行動認識 ) 個人情報 / 機微情報盗取 6

必要な専門性は高度化 多様化する だからチームで対処 高度化 多様化するセキュリティ人員の専門性 AI SOAR 監視に必要な専門性 IPS/IDS IAM SSO 検疫 NW API マイクロサービス脅威インテリジェンス サンドボックス解析 脅威情報マルウェア解析システム構成 OS FW ウイルス対策 NW IPA - 情報セキュリティ人材不足数等に関する追加分析について 7

今後 データ デジタルを重視すると倫理は今以上に重視されるべき ヒポクラテスの誓い ( 出典 ) https://ja.wikipedia.org/wiki/%e3%83%92%e3%83%9d%e3%82%af %E3%83%A9%E3%83%86%E3%82%B9%E3%81%AE%E8%AA%93 %E3%81%84 医師の倫理 任務などについての ギリシア神への宣誓文 現代の医療倫理の根幹を成す患者の生命 健康保護の思想 患者のプライバシー保護のほか 専門家としての尊厳の保持 徒弟制度の維持や職能の閉鎖性維持なども謳われている ( 出典 )https://www.kantei.go.jp/jp/singi/tougouinnovation/dai4/siryo1-1.pdf 8

Agenda 1. セキュリティリスクに対する認識と実態 2. 日本のセキュリティに関する課題と対応 3. 登録セキスペへの期待と役割 9

日本のセキュリティは低予算 人不足が課題 IT 予算に占めるセキュリティ予算の割合 (%) 経営層が CISO セキュリティ人材の不足 35.5% 86.9% 71.2% 16.2% 68.5% 10.6% 70.5% 14.3% 0% 20% 40% 60% 80% 100% 71.8% 10.4% 凡例 10% 未満 10% 以上不明 https://www.nri-secure.co.jp/report/2018/analysis_global2018.html を基に作成 10

インシデント対応とセキュリティ企画の要員不足が人材面の課題 自組織に不足していると考える人材種別 セキュリティ担当者として最も困っていること ログを監視 分析して危険な兆候をいち早く察知できるセキュリティ戦略 企画を策定するインシデントへの対応 指揮ができる 0% 20% 40% 60% 57% 53% 44% 日本 (n=93) セキュリティインシデント発生時の緊急対応 自社セキュリティ対策の遅れ ( 最新技術 動向の未反映 ) グループ会社 国内外拠点のセキュリティ統制 管理 サイバー攻撃高度化への対応 https://www.nri-secure.co.jp/report/2018/analysis_global2018.html を基に作成 11

サイバーセキュリティ戦略 サイバーセキュリティ 2018 新たなサイバーセキュリティ戦略 (2018 年 7 月 ) は 2020 年以降の目指す姿も念頭に 我が国の基本的な立場等と今後 3 年間 (2018 年 ~2021 年 ) の諸施策の目標及び実施方針を国内外に示すもの サイバーセキュリティ 2018 は 同戦略に基づく初めての年次計画であり 各府省庁はこれに基づき 施策を着実に実施 目的達成のための施策 ( 出典 )https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku2018-shousaigaiyou.pdf を元に作成 12

サイバーセキュリティ人材育成取組方針 経営層戦略マネジメント層実務者層 技術者層 役割 ビジネスやサービスの着実な遂行 ( 任務保証 ) が重要 事業継続と価値創出のためのリスクマネジメントの一環として 対策を推進 事業継続と価値創出に係るリスクマネジメントを中心となって支える役割 経営層の方針を踏まえた対策立案 実務者 技術者の指揮 方針を踏まえたセキュリティ対策の企画 構築 実施 課題 リスクマネジメントに向けた 経営層の理解と意識改革の推進 業種 業態の違いを踏まえた サイバーセキュリティの位置付けの明確化とリスクマネジメントの浸透 マネジメント機能の中でサイバーセキュリティリスクの考慮 戦略マネジメント層向けの適切な教材やプログラムが存在しない 経営層 戦略マネジメント層を支え 他の専門人材とチームの一員として対処できる人材の育成 新たな技術やシステム開発手法の知識 スキルの育成 取組に対する経営上のインセンティブ付与 ( 出典 )https://www.nisc.go.jp/conference/cs/jinzai/dai09/pdf/09shiryou0201.pdf 13

Agenda 1. セキュリティリスクに対する認識と実態 2. 日本のセキュリティに関する課題と対応 3. 登録セキスペへの期待と役割 14

登録セキスペはセキュリティ専門職 実務者 戦略マネジメント層をカバー 経営層戦略マネジメント層実務者層 技術者層 金融庁 Delta Wall III 演習 IPA 産業サイバーセキュリティセンター責任者向け短中期プログラム 演習 NISC 重要インフラ分野横断演習 警察庁重要インフラ業者等との共同対処訓練 NICT CYDER サイバーコロッセオ 教育 資格 評価基準 IPA 産業サイバーセキュリティセンター中核人材育成プログラム東京電機大 Cysec IPA 情報処理安全確保支援士 IPA 情報セキュリティマネジメント試験 ( 出典 ) https://www.nisc.go.jp/conference/cs/jinzai/dai09/pdf/09shiryou0201.pdf 15

セキュリティ人材の活躍が期待される場所 システム技術者 実務者 利用者 経営者 通信工学 情報学 システム工学 計算機経営学経済学法学 政治学科学 システム サービス仕様 セキュリティ仕様 3 ギャップの最適化 解消したい課題 ニーズ セキュリティ課題 ニーズ 2 仕様の具体化 4 仕様に従った実装 運用 1 課題 ニーズの具体化 先端 IT の利活用 トレンドの変化 セキュリティの社会認識 16

セキュリティ人材に期待される役割 1 課題 ニーズの具体化 法令 業界ガイドライン等を踏まえ セキュリティとして取り組むべき課題 ニーズを具体化できる セキュリティ課題 ニーズ解消の必要性を訴求し 人 予算の確保も含め関係者との合意形成できる 2 仕様の具体化 法制 セキュリティガイドライン等を踏まえ システム サービスの仕様に取り込むべきセキュリティの仕様を具体化できる 新たな IT 利活用 新技術 セキュリティに対する社会認識の変化を捉え 自組織に必要 不要なセキュリティの仕様を選択し システム サービス仕様との整合性が確保できる 3 ギャップの最適化 課題 ニーズとセキュリティ仕様を双方向で擦り合わせし ギャップを明確にできる ギャップがもたらすリスクを具体化し 対策の採否 優先度を課題 ニーズと仕様の双方から検討 調整できる 調整結果をもとに セキュリティ人材以外への説明 合意形成ができる 4 仕様に従った実装 運用 セキュリティに関する技術力を活かし システム サービスにセキュリティ仕様を実装することができる 技術力を活かし実装したものが期待通りに動作するよう運用し 仕様通りに動作しない時 ( 障害発生時 ) や 仕様では想定していないがシステム サービスの安心 安全を脅かす時 ( インシデント発生時 ) に速やかにその影響を排除し その原因を解明し 再発防止ができる 17

セキュリティ人材への将来 期待は多様 登録セキスペはゴールでありスタート 試験合格者 = レベル 4 の実力あり 登録 専門性の広域化 専門性の進化 深化 + + 人材の可視化 安心感の提供 + 講習 研修の受講 実務経験 サイバー演習 CTF 外部発表等 トップガン人材 IT 戦略 アーキテクチャ PM システム開発 システム運用 ネットワーク AI 従来 IT 先端技術との組み合わせ CISO セキュリティにも強い経営者 会計法務広報 企業 組織運営に必要な技術との組み合わせ 18

( 参考 ) セキュリティ関連の年俸は幅広く 上限も他職より高い傾向 転職会社調査結果 (2019) にみる国内正社員年俸レンジの一例 情報セキュリティ ( 銀行 証券 投信以外のサービス ) プロジェクト プログラムマネージャー ( 銀行 証券 投信以外のサービス ) データアナリスト サイエンティスト ( 銀行 証券 投信以外のサービス ) セキュリティ エンジニア ( ベンダー コンサルティング ) システム エンジニア ( ベンダー コンサルティング ) RPA コンサルタント ( ベンダー コンサルティング ) 500 800 1100 1400 1700 2000 単位 : 万円 ( 出典 )https://www.robertwalters.co.jp/content/dam/robert-walters/country/japan/files/salary-survey/j-book2019.pdf より一部抜粋 19