★☆★JNSAメールマガジン 第110号 2017.4.28 ☆★☆

こんにちは
JNSAメールマガジン 第110号 をお届けします。

読者のみなさまは、日本政策金融公庫による「IT活用促進資金(企業活力強化貸付)」に、2017年4月より、特利を得る要件として、ネットワークセキュリティの実施が盛り込まれたことをご存じでしょうか?
https://www.jfc.go.jp/n/finance/search/11_itsikin_m_t.html

それに伴い、JNSAでは、特利を得る要件に合致する製品・サービスを呈示し、融資利用の際の参考となる製品紹介サイトを作成しております。近日中に公開予定ですので、ぜひご活用いただければと思います。

さて、今回のリレーコラムでは、JNSA社会活動部会でみずほ情報総研株式会社の冨田高樹様に「ITSS+と情報セキュリティ人材育成」というテーマでご寄稿いただきました。


【連載リレーコラム】
「ITSS+と情報セキュリティ人材育成」

(みずほ情報総研株式会社 冨田 高樹)

2017年4月7日にIPA(独立行政法人情報処理推進機構)より、「ITSS+(プラス)」(*1)が公表されました。これは、「セキュリティ領域」と「データサイエンス領域」の2領域について、従来からIPAが公開しているスキル標準である「ITSS」とは別に、それぞれの領域で求められるスキルに関するとりまとめを行ったものです。主な用途として、情報サービスの提供やユーザ企業の情報システム部門に関わっている人材が、これらの領域に関するスキルの強化を図るための学び直しをする際の指針として活用することが示されています。このうち、セキュリティ領域については専門分野として13種類が定義されていますが、この内容は今後の情報セキュリティ人材の育成を考える上で示唆に富むものと思われますので、簡潔な紹介と意見を述べてみたいと思います。

まず注目されるのが、データサイエンス領域が「ビジネス」「データサイエンス」「データエンジニアリング」の3つの専門分野で構成されているのに対し、セキュリティ領域が次の13種類の専門分野で構成されることでしょう。

<情報システムの企画・設計・開発フェーズ関連>
「情報リスクストラテジ」「情報セキュリティデザイン」「セキュア開発管理」
<情報システムの運用・保守フェーズ関連>
「情報セキュリティアドミニストレーション」「情報セキュリティアナリシス」
「脆弱性診断」
<緊急対応関連>
「CSIRTキュレーション」「CSIRTリエゾン」「CSIRTコマンド」
「インシデントハンドリング」「デジタルフォレンジクス」
「情報セキュリティインベスティゲーション」
<情報セキュリティ監査関連>
「情報セキュリティ監査」

このように多くの専門分野に分かれるのは、一口にセキュリティ領域と言っても、その担うべき役割や身につけておくべき知識・スキルは様々であることを反映しているものと考えられます。個々の専門分野がどのような人材のことを表しているかについては、上記の公開ページをご覧いただきたいのですが、CSIRT(コンピュータセキュリティインシデント対応チーム)関連のものはややわかりにくいかもしれません。「キュレーション」というのは美術館等のキュレーターからの連想の通り、収集された情報から活用すべきものの選別、「リエゾン」は連絡窓口、「コマンド」はインシデント対応の全体統制をそれぞれ主たる業務とする専門分野を表しています。このほか、「インシデントハンドリング」はサイバー攻撃などへの初動対応や復旧処理、「デジタルフォレンジクス」は攻撃に関する証拠の保全、「情報セキュリティインベスティゲーション」はサイバー犯罪に関する捜査等を扱う専門分野であり、これらも名前にCSIRTが付きませんがCSIRTが担う業務に含まれます。このように、CSIRTは異なる専門性を備えた人材がチームを組むことで有効に機能するものであり、「CSIRT人材」という単一のスキルセットがあるわけではありません。このあたりはまだ誤解も多いようなので強調しておきたいと思います。なお、ITSS+には既存のITSSで対応可能なものは含まれていません。たとえばセキュリティ領域には「ITスペシャリスト」「コンサルティング」「教育・トレーニング」などの専門分野も存在しますが、これらは既存のITSSで表現できるので対象外となっています。

このように説明していくとおわかりかと思いますが、上述の13種類の専門分野をひとりですべて網羅するのは大変、というより無理です。実際にセキュリティ領域で活躍している人達も、これらの専門分野をすべてカバーするのではなく、多くても3?4種類の中で活躍されている人がほとんどかと思います。セキュリティ領域の専門分野はこのように多種多様なので、実際に働いている人のキャリアパスも様々です。「ITの一分野であり、なおかつ暗号のような高度な数学の応用知識が必要だからバリバリの理系分野」と認識されがちですが、現場にはいわゆる文系出身者もたくさんいますし、上述の13種類の専門分野にも示されているように、ITよりも人間を対象とする業務も多く、理系のスキルだけでは業務が回りません。それでも、情報セキュリティ人材の育成が大学の理系学部などを中心に行われているのは、理系の素養を身につけている人材に文系の業務知識を教えるほうが、その逆よりも簡単と考えられていることによります。ITSS+の目的にも示されているように、今後はITスキルを身につけている社会人が、学び直しを通じて新たに専門知識・スキルを習得することを通じて、セキュリティ領域で活躍することが期待されていますが、多様な人材を集めるという観点からすると、文系キャリアからセキュリティ専門家を目指すキャリアパスを支援する教育なども考える必要があるかもしれません。

一方、世間ではセキュリティの専門家というと、「高度な技術を駆使してサイバー攻撃と対決」というイメージでしょうか。こうした業務はITSS+でいう「情報セキュリティアナリシス」や「デジタルフォレンジクス」に相当します。
これに対して、「情報リスクストラテジ」「情報セキュリティデザイン」「セキュア開発管理」といった専門分野は、情報システムの企画・設計段階からセキュリティ対策を考慮する「セキュリティ・バイ・デザイン」のコンセプトを実現したり、IoTのセキュリティを確保したりする上で欠かすことのできない役割でありながら、これまで十分な社会的関心を集めていたとはいえません。
今回公表されたITSS+は、今月から登録者の公表がはじまった「情報処理安全確保支援士」の想定業務や担当分野を示す手段としての活用も想定されています。「情報処理安全確保支援士」の普及を通じて、セキュリティ領域におけるさまざまな専門分野が「見える化」されることで、これまであまり注目されていなかった分野についても社会的な関心が高まる効果が期待されます。

最後に、このようにセキュリティ領域で多様な専門分野が定義されることによって、社会で求められるスキルを備えた人材が増えていくことが見込まれますが、同時にそうした人材を活用して成果につなげるマネジメントの重要性も高まります。特に、運用の現場では平常時とインシデント対応時とでこれらの人材が担うべき役割が変化することもあって、適切にマネジメントするための知見やスキルを共有していくことも必要でしょう。JNSAでも、セキュリティ知識分野(SecBoK)の作成で得た知見を活かしつつ、情報セキュリティ人材の育成と活躍のための活動を続けていきたいと考えています。

(*1) https://www.ipa.go.jp/jinzai/itss/itssplus.html


#連載リレーコラム、ここまで

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。



【部会・WG便り】

★JNSA電子署名WGでは年2回の祭り(勉強会)を開催します。
 電子署名の利活用や利用/運用に興味がある方は是非、ご参加ください。
 ※ 技術者/開発者以外に非技術な一般の方も歓迎です。
 
 日時:2017年5月22日(月)16:20-18:50 (16:00開場)
 場所:虎ノ門スクエア2F会議室(東京都港区虎ノ門1-15-10 名和ビル)
 参加申込:connpassイベントにてお申込みください。
    https://maturi-eswg-jnsa.connpass.com/event/55785/

★日本セキュリティオペレーション事業者協議会(ISOG-J)の
セキュリティオペレーションガイドラインWGとOWASP Japanとの共同WG
で「Webアプリケーション脆弱性診断ガイドライン」を整備、公開しました。
詳細は以下のURLをご覧ください。

 ISOG-J http://isog-j.org/index.html
OWASP Japan https://www.owasp.org/index.php/Pentester_Skillmap_Project_JP

★「全国横断セキュリティセミナー2017」開催します!
JNSAでは、2017年6月-7月にかけて、福岡・名古屋・大阪・仙台・東京の
5都市にて全国セミナーを開催します。午前中はSIer・セキュリティ事業者様向け
セミナー、午後は一般企業向けのセミナーです。本セミナーでは経済産業省さま
による「情報セキュリティ投資の手助けとなる諸制度の紹介」 もございますので、
ぜひ多くの方の御参加をお待ちしています。

・SIer・セキュリティ事業者様向け(午前) https://www.jnsa.org/seminar/2017/cross01/
・一般企業向け(午後)https://www.jnsa.org/seminar/2017/cross02/


【事務局からの連絡、お知らせ】

★JNSA活動報告会のお知らせ
 JNSA活動報告会を6月12日(月)に秋葉原UDXで行います。
 詳細は後日ご案内しますのでお楽しみに!

★JNSA会員ご紹介のページを更新しました。ぜひご覧下さい。
https://www.jnsa.org/aboutus/join/


☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

↓ 以下、 JNSA会員企業からのご案内です
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
R-ISAP 情報セキュリティ研修のお知らせ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
いつも研修サービスにご愛顧賜りありがとうございます。
リコージャパン 研修事務局です。
私達はPMS、ISMSの審査員研修や情報セキュリティ監査人研修等を
定期的に開催しています。企業内の運営事務局担当者にも有益な
資格になります。
詳細は下記URLより確認して、お申し込みください。
※オンサイト研修も個別対応致します。

■□お問合せ先
東京都中央区築地5-6-10 浜離宮パークサイドプレイス
リコージャパン株式会社
リコー情報セキュリティ研究センター
TEL:0120-165-340
E-mail: inquiry_training@ricoh-japan.co.jp
WEBサイト: http://www.ricoh.co.jp/sales/solutions/training/index.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2017年7月開催SANSトレーニングの受付を開始しました
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
□■SANS Cyber Defence Japan 2017■□
・7/5-7、12-14
SEC401:Security Essentials Bootcamp Style
JNSA会員割引504,000円(税抜) 早期5/22まで
・7/10-15
SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
SEC575:Mobile Device Security and Ethical Hacking
SEC660:Advanced Penetration Testing, Exploit Writing,
and Ethical Hacking★日本初開催★
JNSA会員割引513,000円(税抜) 早期5/26まで
早割期間中!お早めのご検討・お申込みをお待ちしております。
お申込みはこちらhttps://www.jnsa.org/member/discount.html
詳細はこちらhttps://sans-japan.jp/training/cybe_defence_japan2017.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【検証レポート贈呈】
Symantec CASB ホントのところ検証してみました!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
日商エレクトロニクス株式会社は、今回CASB(Cloud Access
Security Broker)のホントのところを実証検証してみました。
SaaSを使用する企業が急速に増加しています。
これに伴い、SaaSをセキュアに利用するための対策としてCASBが
注目されています。CASBのリーディングカンパニーである
Symantec社よりリリースされた CASBを検証し、SaaSの分析、
検知、制御、調査の機能で実現できることを整理しました。
詳細は以下よりコンテンツダウンロードしてご確認ください。
http://mail.nissho-ele.co.jp/c00030MJ0OvD04ZXs0uzV00

【本レポートに関するお問合せは以下までご連絡お願いいたします。】
TEL : 03-6272-5281 E-MAIL:cyber_security@nissho-ele.co.jp

■□■━━━━━━━━━━━━━━━━━━━━━━━━━
┏┓    Cylance PROTEST
┏┛┗━━━┓AIを活用した新しいマルウェア対策ソフト
┛ ┏━┳━┛━━━━━━━━━━━━━━━━━━━━
┣━┫ 新型マルウェアにも 検知率 99.7%を記録
┓ ┣━┫
┗━┗━┛
■検知が難しい亜種・新型マルウェアにも変わらない検知率
■PC利用者の業務に影響を与えない圧倒的低負荷
■シグネチャ更新不要・定期スキャン不要

株式会社メトロ データ&セキュリティ営業部
TEL:03-5484-1022 E-mail:sol-sales@metro.co.jp
━━━━━━━━━━━━━━━━━━━━━━━━━■□■
------------------------------------------------------------------
JNSA会員企業からのご案内ここまで。

*************************************
JNSAメールマガジン 第110号
発信日:2017年4月14日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.