必要なのは「セキュリティ人材」なのか? 企業・組織におけるインシデント対応と人材育成


セキュリティ人材の不足が叫ばれて久しい。従来、情シス部門やIT部門が企業のセキュリティ対策を担当することが多かったが、兼任では十分な活動が難しい側面も否めなかった。そこで、専任の責任者を置き、その下に対策チームを設けることで、インシデント対応にもスムーズに当たれる方向へと、考え方が変わってきている。

文/中尾 真二


セキュリティ人材不足の声に企業はどう対応してきたか

2016年に、経済産業省が公表している「IT人材の最新動向と将来推計に関する調査結果」の中で指摘されて以来、セキュリティ人材不足が叫ばれて久しい。その後の調査で、同レポートはAI人材不足など新しい分野での動向を指摘しているが、もちろんセキュリティ分野の人材不足が解消したわけではない。

2016年の同レポートでは、2020年の時点で19.3万人の不足が試算されている。現在の不足実数は発表されていないが、2020年以降、企業等が実施するアンケートにおいて「セキュリティ人材の不足」は継続的に指摘されている。しかし、政府や業界が無策のまま、手をこまねいているわけでもない。学生や若手育成のためのセキュリティキャンプや各種表彰制度、従来からあるセキュリティ関連資格、情報セキュリティ安全確保支援士の設置および推進策に加え、業界コンソーシアムの取り組みなど、さまざまな施策が官民で展開されている。

情報セキュリティ人材の人数数・不足数に関する推計(経済産業省「IT人材の最新動向と将来推計に関する調査結果」2016年より)

高まるニーズが生んだCISO/CSOや企業内CSIRT

IT系エンジニアの不足、セキュリティ人材の不足については、業界の構造的問題や歴史的な問題など要因は複合的で、ここではそこに踏み込まない。現実問題として不足するセキュリティ人材にはどんなスキルや能力が求められるのか、この点について掘り下げたい。

以前は、企業や組織における情報セキュリティは、IT部門や情シス部門が担当することが多かった。専任のセキュリティ要員を確保する企業は極めて異例だったともいえる。

しかし、近年のサイバー攻撃やセキュリティインシデントの高まりは、業務の傍ら兼任の担当者で情報漏えいやサイバー攻撃に対処できない状況を広げている。特に被害が発生したとき、その対応や復旧ができない、二次被害が発生するといった事態を招きかねない。最悪、ビジネスや事業そのものが継続できなくなることさえ起きている。

そこで、セキュリティ人材へのニーズの高まりとともに注目されたのがCISO(Chief Information Security Officer)、CSO(Chief Security Officer)と呼ばれるセキュリティ担当役員・責任者、および企業内CSIRT(Computer Security Incident Response Team)と呼ばれるセキュリティ対応チームの存在だ。企業IT戦略を担当するCIOとは別にセキュリティ対策・対応を専門とする執行役員や事業責任者をアサインし、業務部門やIT部門とは別に、日々のセキュリティ対策やインシデント対応を行う体制を整える動きが広がった。

多岐にわたるスキルセット

CSOやCSIRTスタッフに求められるスキルは多岐にわたる。CSO/CISOといった経営層に近い立場の場合、セキュリティやネットワークに関する技術的知識をベースとして、企業や組織のステークホルダーまで見据えた業務への理解、業務や個人情報、サイバー関連法の知識が最低限の知識レベルとなる。セキュリティ業務は、事業全体にかかわり部署横断の業務や調整が発生する。そのため、内外との交渉・調整能力、マネジメント力も求められる。なお、調整力を発揮させセキュリティ対策・インシデント対応を機能させるには、担当者に部門横断の権限を与える必要もある。

CSIRTスタッフのスキルも基本的には同じだ。ただ、知識やスキルがより現場指向になるため、専門性が高まる。CSIRTの業務には、たとえば以下のようなものがある。

・組織のセキュリティポリシーの策定支援
・リスクアセスメントの支援
・セキュリティ対策の立案と実施
・セキュリティ関連技術・動向の調査・キャッチアップ
・サイバー攻撃技術・動向の調査・キャッチアップ
・早期警戒・警報(攻撃動向や攻撃情報の収集とその周知)
・脆弱性ハンドリング(情報収集、脆弱性報告、セキュリティアップデート)
・インシデント対応(初期対応・被害分析・対外対応・情報公開・復旧・原因分析と改善)
・マルウェア解析
・フォレンジック(攻撃手法分析・被害分析・証拠収集)
・外部機関との連携・情報共有(コミュニティ、コンソーシアム、規制当局、法執行機関他)
・脆弱性診断・ペネトレーションテスト
・教育・啓発活動

それぞれについて現場対応できるレベルの知識、スキルが必要となる。そのため、CSIRTはそれぞれのスキルを持った人間によるチームとして構成される。それでも、上記すべてをカバーする人材を用意するのは、よほどの大企業でなければ不可能だ。通常は、組織が抱えるリスクやステークホルダーを勘案して必要業務の優先度をつける。足りない部分はセキュリティベンダーや外部スタッフによるアウトソースを行うことになる。

スキルセットと知識レベルの参考になる標準文書

セキュリティ人材に必要な知識レベルやスキル体系について、参考となる資料や文書が公開されている。

CSIRT業務については、官民のCERT/CSIRT組織の国際的団体であるFIRSTが策定した、「CSRIT Services Framework Ver. 2.1」に詳しく書かれている。この文書では、CSIRTスタッフが各部門に対して提供するセキュリティサービスという視点で必要要件やポイントをまとめている。また、この文書については、日本語抄訳も公開されている。

IPAは「情報セキュリティスキルマップ」を作成・公開している。分類が比較的シンプルで多くの企業や組織にとって、採用や人材育成の指標として活用できるだろう。ガイドブックや関連資料も公開されているので、セキュリティ人材の確保や体制整備を始めたい企業のたたき台として活用できる。

JNSAは「SecBoK2019」という文書を公開し、セキュリティ業務に必要なスキルセットと知識レベルを体系的にまとめている。この文書は、NIST SP00-181に規定された1100以上のスキル項目とSecBoKが規定する16のロール(業務での役割)の対応を整理する形で、セキュリティ業務に不可欠な要件がわかるようになっている。

●セキュリティスペシャリスト育成から業務スキルとしてのセキュリティへ

NISTの文書が1000以上のスキル項目を持っているのは、一般的なビジネススキル全体を網羅する形になっているからだ。つまり、セキュリティ対策やインシデント対応業務に必要な知識やスキルからの視点ではなく、平均的な企業や組織が行っている業務スキルから、それぞれに必要なセキュリティ知識やスキルを考えている。

SwcBok2019の特徴(JNSA「SecBok2019」より)

セキュリティついて、その専門家を集めて専任部隊で対応するのではなく、経営層から現場まで、それぞれの業務に必要なセキュリティスキルを考えるアプローチと言ってもよい。別の言い方をすれば、セキュリティに関する知識やスキルは(職能や業務による差はあるが)、専門家が身につけるものではなく、組織で業務を行う人間すべてが身につけるものだということだ。

とはいえ、現実には従業員全員に、マルウェア解析能力やフォレンジック調査のスキルを求めるのは無謀すぎる。インシデント対応なども専門チームが迅速に動く必要があり、現場全員が有事に対応できる体制は(理想ではあるが)現実的ではない。さまざまな業界・業種でセキュリティ人材の不足が常態化する中、対策のアプローチが人材育成や専門家の増強だけで追いつくとも限らない。このため、現場スタッフが、情報セキュリティに対して広く当事者意識を持つことはソリューションのひとつになりうる。特に専門人材を確保できにくい組織ほど、現場のセキュリティレベルの底上げは必然でもある。

組織としては、セキュリティ関連業務をこなせるスペシャリストの育成、確保、そしてスペシャリストのキャリアパスを含めた体制づくりは当然の責務だが、同時に現場スタッフも、マウスやキーボードの操作と同じレベルで、最低限のセキュリティリテラシーを身につける必要がある。担当者や専門家に任せるという発想では、現代のサイバー攻撃リスクへの備えとしては不十分といえるだろう。

筆者プロフィール:中尾 真二(なかおしんじ)

フリーランスのライター、エディター。アスキーの書籍編集から始まり、翻訳や執筆、取材などを紙、ウェブを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは当時は言わなかったが)はUUCP(Unix to Unix Copy Protocol)の頃から使っている。