2019年7月 国家資格『情報処理安全確保支援士』がわかる!制度 … ·...
TRANSCRIPT
セキュリティの実態から紐解く必要な人材像
集合講習講師 藤井仁志
国家資格『情報処理安全確保支援士』がわかる!制度説明会
2019年7月
- 登録セキスペへの期待と役割 -
情報処理安全確保支援士
Agenda
1.セキュリティリスクに対する認識と実態
2.日本のセキュリティに関する課題と対応
3.登録セキスペへの期待と役割
2All Rights Reserved, Copyright © IPA 2019
3
世界の経営者はVUCA時代をどう認識しているか?サイバー攻撃の影響は感染症より大、発生可能性は資産バブルより大
サイバー攻撃
感染症の広がり
主要国における資産バブル
大量破壊兵器
テロ攻撃
(出典)https://jp.weforum.org/reports/the-global-risks-report-2019
All Rights Reserved, Copyright © IPA 2019
4
情報漏洩を自ら発見するのは困難、インシデント未発見期間は数か月の単位
情報漏えいを発見する主体
法的機関
第三者
不正利用検知
内部
出典: Verizon 2016 Data Breach Investigation Report
70%を超える情報漏えいが法的機関や外部の専門家による指摘にて発覚
インシデントの所要時間
秒 分 時 日 週 月 年
感染(対象=127)
発見(対象=390)
侵入(対象=140)
脱出(対象=87)
出典: Verizon 2019 Data Breach Investigation Report
攻撃者は自由に行動
All Rights Reserved, Copyright © IPA 2019
5
機械学習を応用したセキュリティ製品の登場で人材不足解消とはならず
サイバー攻撃情報の収集・分析• 表層Web解析(SNS、セキュリティブログ・レポートなど)• 深層Web解析(ダークマーケット、ダークフォーラムなど)
不正侵入検知(IDS/IPS)• 異常検知• 攻撃分類・検知• ハニーポット観測・分析
(出典)https://www.darpa.mil/program/cyber-grand-challenge
Webベース攻撃検知• 悪性サイト・悪性スパムメール検知• 悪性JavaScript検知
広域攻撃観測・ダークネット分析• 異常検知• 攻撃分類・検知• ボットネットの活動検知・分析
マルウエア解析(静的/動的)• マルウエア検知・分類
All Rights Reserved, Copyright © IPA 2019
6
AI、IoTの発展が新たな脅威を“実世界”にもたらす
AIエンジン(学習・予測・推奨)
AIエンジン(状態・行動認識)
センサーログ
ケア履歴
ケア提案
クラウドサービス
AIモデル撹乱・盗取
データ改ざん
データ改ざん
個人情報/機微情報盗取
AIとIoTで実現する新たなケアサービスの一例
All Rights Reserved, Copyright © IPA 2019
7
必要な専門性は高度化・多様化する、だからチームで対処
ウイルス対策
IPS/IDS
検疫NW
AI・SOAR
サンドボックス解析
脅威インテリジェンス
IAM・SSO
FW
監
視
に
必
要
な
専
門
性
NW
OS
システム構成
マルウェア解析
脅威情報
高度化・多様化するセキュリティ人員の専門性
※ IPA -情報セキュリティ人材不足数等に関する追加分析について
API・マイクロサービス
All Rights Reserved, Copyright © IPA 2019
8
今後、データ・デジタルを重視すると倫理は今以上に重視されるべき
医師の倫理・任務などについての、ギリシア神への宣誓文。現代の医療倫理の根幹を成す患者の生命・健康保護の思想、患者のプライバシー保護のほか、専門家としての尊厳の保持、徒弟制度の維持や職能の閉鎖性維持なども謳われている。
ヒポクラテスの誓い
(出典)https://www.kantei.go.jp/jp/singi/tougou-innovation/dai4/siryo1-1.pdf
(出典)https://ja.wikipedia.org/wiki/%E3%83%92%E3%83%9D%E3%82%AF%E3%83%A9%E3%83%86%E3%82%B9%E3%81%AE%E8%AA%93%E3%81%84
All Rights Reserved, Copyright © IPA 2019
Agenda
1.セキュリティリスクに対する認識と実態
2.日本のセキュリティに関する課題と対応
3.登録セキスペへの期待と役割
9All Rights Reserved, Copyright © IPA 2019
日本のセキュリティは低予算、人不足が課題
0% 20% 40% 60% 80% 100%
【凡例】
10%未満 10%以上 不明
IT予算に占めるセキュリティ予算の割合(%) 経営層がCISOセキュリティ人材の
不足
35.5%
71.2%
68.5%
70.5%
71.8%
86.9%
16.2%
10.6%
14.3%
10.4%
https://www.nri-secure.co.jp/report/2018/analysis_global2018.htmlを基に作成
10All Rights Reserved, Copyright © IPA 2019
インシデント対応とセキュリティ企画の要員不足が人材面の課題
57%
53%
44%
0% 20% 40% 60%
ログを監視・分析して危険な兆候をい
ち早く察知できる
セキュリティ戦略・企画を策定する
インシデントへの対応・指揮ができる
日本(n=93)
自組織に不足していると考える人材種別 セキュリティ担当者として最も困っていること
セキュリティインシデント発生時の緊急対応
自社セキュリティ対策の遅れ(最新技術・動向の未反映)
グループ会社・国内外拠点のセキュリティ統制・管理
サイバー攻撃高度化への対応
https://www.nri-secure.co.jp/report/2018/analysis_global2018.htmlを基に作成
11All Rights Reserved, Copyright © IPA 2019
サイバーセキュリティ戦略・サイバーセキュリティ2018
新たなサイバーセキュリティ戦略(2018年7月)は、2020年以降の目指す姿も念頭に、我が国の基本的な立場等と今後3年間(2018年~2021年)の諸施策の目標及び実施方針を国内外に示すもの。サイバーセキュリティ2018は、同戦略に基づく初めての年次計画であり、各府省庁はこれに基づき、施策を着実に実施。
目的達成のための施策
(出典)https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku2018-shousaigaiyou.pdfを元に作成
12All Rights Reserved, Copyright © IPA 2019
13
サイバーセキュリティ人材育成取組方針
(出典)https://www.nisc.go.jp/conference/cs/jinzai/dai09/pdf/09shiryou0201.pdf
経営層 戦略マネジメント層 実務者層・技術者層
• ビジネスやサービスの着実な遂行(任務保証)が重要
•事業継続と価値創出のためのリスクマネジメントの一環として、対策を推進
•事業継続と価値創出に係るリスクマネジメントを中心となって支える役割
•経営層の方針を踏まえた対策立案、実務者・技術者の指揮
•方針を踏まえたセキュリティ対策の企画・構築・実施
役割
課題
• リスクマネジメントに向けた、経営層の理解と意識改革の推進
•業種・業態の違いを踏まえた、サイバーセキュリティの位置付けの明確化とリスクマネジメントの浸透
•取組に対する経営上のインセンティブ付与
•マネジメント機能の中でサイバーセキュリティリスクの考慮
•戦略マネジメント層向けの適切な教材やプログラムが存在しない
•経営層・戦略マネジメント層を支え、他の専門人材とチームの一員として対処できる人材の育成
•新たな技術やシステム開発手法の知識・スキルの育成
All Rights Reserved, Copyright © IPA 2019
Agenda
1.セキュリティリスクに対する認識と実態
2.日本のセキュリティに関する課題と対応
3.登録セキスペへの期待と役割
14All Rights Reserved, Copyright © IPA 2019
登録セキスペはセキュリティ専門職、実務者・戦略マネジメント層をカバー
15
(出典)https://www.nisc.go.jp/conference/cs/jinzai/dai09/pdf/09shiryou0201.pdf
経営層 戦略マネジメント層 実務者層・技術者層
演習
教育
資格・評価基準
NISC 重要インフラ分野横断演習
金融庁Delta Wall III演習
警察庁重要インフラ業者等との共同対処訓練
IPA産業サイバーセキュリティセンター責任者向け短中期プログラム
NICT CYDER、サイバーコロッセオ
東京電機大 Cysec
IPA産業サイバーセキュリティセンター中核人材育成プログラム
IPA情報処理安全確保支援士
IPA情報セキュリティマネジメント試験
All Rights Reserved, Copyright © IPA 2019
16
セキュリティ人材の活躍が期待される場所
システム技術者 実務者・利用者・経営者
システム・サービス仕様
トレンドの変化
先端ITの利活用 セキュリティの社会認識
セキュリティ仕様
解消したい課題・ニーズ
セキュリティ課題・ニーズ
通信工学
情報学システム工学
計算機科学
・・・ 経営学 経済学 法学 政治学・・・
③ギャップの最適化
①課題・ニーズの具体化②仕様の具体化 ④仕様に従った実装・運用
All Rights Reserved, Copyright © IPA 2019
セキュリティ人材に期待される役割
17
③ギャップの最適化
①課題・ニーズの具体化
②仕様の具体化
④仕様に従った実装・運用
•法令、業界ガイドライン等を踏まえ、セキュリティとして取り組むべき課題・ニーズを具体化できる。
•セキュリティ課題・ニーズ解消の必要性を訴求し、人、予算の確保も含め関係者との合意形成できる。
•法制、セキュリティガイドライン等を踏まえ、システム・サービスの仕様に取り込むべきセキュリティの仕様を具体化できる。
•新たなIT利活用、新技術、セキュリティに対する社会認識の変化を捉え、自組織に必要・不要なセキュリティの仕様を選択し、システム・サービス仕様との整合性が確保できる。
•課題・ニーズとセキュリティ仕様を双方向で擦り合わせし、ギャップを明確にできる•ギャップがもたらすリスクを具体化し、対策の採否・優先度を課題・ニーズと仕様の双方から検討・調整できる。
•調整結果をもとに、セキュリティ人材以外への説明、合意形成ができる。
•セキュリティに関する技術力を活かし、システム・サービスにセキュリティ仕様を実装することができる。
•技術力を活かし実装したものが期待通りに動作するよう運用し、仕様通りに動作しない時(障害発生時)や、仕様では想定していないがシステム・サービスの安心・安全を脅かす時(インシデント発生時)に速やかにその影響を排除し、その原因を解明し、再発防止ができる。
All Rights Reserved, Copyright © IPA 2019
セキュリティ人材への将来・期待は多様、登録セキスペはゴールでありスタート
• 人材の可視化• 安心感の提供
専
門
性
の
進
化
・
深
化
専門性の広域化
+ ・・・ ・・・
会計 法務 広報
従来IT・先端技術との組み合わせ
企業・組織運営に必要な技術との組み合わせ
試験合格者=レベル4の実力あり
トップガン人材
登録
CISOセキュリティにも強い経営者
✓講習・研修の受講✓実務経験✓サイバー演習✓CTF、✓外部発表 等
+
+
AI
✓IT戦略✓アーキテクチャ✓PM✓システム開発✓システム運用✓ネットワーク・・・
18All Rights Reserved, Copyright © IPA 2019
19
(参考)セキュリティ関連の年俸は幅広く、上限も他職より高い傾向
500 800 1100 1400 1700 2000
単位:万円
情報セキュリティ(銀行・証券・投信以外のサービス)
プロジェクト・プログラムマネージャー(銀行・証券・投信以外のサービス)
データアナリスト・サイエンティスト(銀行・証券・投信以外のサービス)
セキュリティ・エンジニア(ベンダー・コンサルティング)
システム・エンジニア(ベンダー・コンサルティング)
RPAコンサルタント(ベンダー・コンサルティング)
(出典)https://www.robertwalters.co.jp/content/dam/robert-walters/country/japan/files/salary-survey/J-Book2019.pdfより一部抜粋
転職会社調査結果(2019)にみる国内正社員年俸レンジの一例
All Rights Reserved, Copyright © IPA 2019