みずほ情報総研株式会社　冨田 高樹

情報セキュリティ知識項目（SecBoK）2019(*1)は、情報セキュリティに関する業務に携わる人材が身につけるべき知識とスキルを整理した知識の体系として2019年3月に公表されました。これは以前SecBoK 2017として公表したものの改訂版なのですが、今回の改訂では、米国の政府機関等で働くサイバーセキュリティ関連の人材の役割やスキルを定義するフレームワークであり、SecBoK 2017のベースにもなっているNICE Cybersecurity Workforce Framework（以下、「NICEフレームワーク」と呼びます。）(*2)が2017年8月に全面改定されたのを受けて、同フレームワークへの対応を中心に見直しを行いました。今回は、その改訂作業を通じて気づいたことのうち、サイバーセキュリティの教科書ではあまり触れられていないけれども、今後重要になるのでは、と思われること２点についてご紹介します。

１．Operationには２つの意味がある！

一般に、情報システムやネットワークの世界でOperationといえば「運用」のことです。しかし、NICEフレームワークに書かれている内容を、すべて「運用」と訳したのでは意味が通じない場合があることに気づきました。すなわち、いわゆる「サイバー戦争」の文脈では、「Operation＝作戦行動」なのです。
湾岸戦争のときの"Operation Desert Storm"（砂漠の嵐作戦）ですね。言われてみればその通りなのですが、以前のNICEフレームワークではこうした「作戦行動」に関する知識・スキルの定義が少なかったこともあって、SecBoK 2017まではこの２つを訳し分けていませんでした。Cyber Operationsとあるところで、「サイバーな運用と普通の運用で何が違うのだろうね？」などと議論していたのです。最近かなり賢くなった機械翻訳でもすべて「運用」と訳されてしまうのですが、SecBoK 2019では情報システムのOperationは「運用」、サイバー戦争の文脈でのOperationは「作戦行動」ときちんと訳し分けましたので、今後はこちらをご利用ください。

なお、NICEフレームワークでは前述の通り、米国政府機関で働く人材を対象にしているので、「作戦行動」のような業務も含まれていますが、日本の民間企業に勤める従業員が、「作戦行動」に相当するスキルを実践してしまうと法律違反になる恐れがあります。一方で、こうした業務やそれに必要な知識・スキルの整理は日本の民間企業では無用か、というとそれも違うと思います。日本企業を対象としたサイバー攻撃の実行部隊は、このような知識やスキルを駆使して情報収集や攻撃を行っているわけですから、内部不正防止を含む対策を検討するときの参考として活用すべきでしょう。

２．日本企業には米国の役割定義をそのまま適用できない？

NICEフレームワークでは、米国政府機関で実際に用いられているサイバーセキュリティ対策業務に関する52種類の役割定義が示されています。一方SecBoK2019では、日本企業を対象としたCSIRTの団体である日本シーサート協議会（NCA）の協力を得て、同協議会が策定した人材の役割定義(*3)を取り込むことで、日本企業にとってなじみやすいと思われる18種類の役割定義を設けています。今回の改訂のタイミングで役割定義を見直し、米国の役割定義に合わせることも検討したのですが、結局見送りました。このように判断した背景として、日本と米国では企業の組織構造が異なるため、米国で用いられている役割定義をそのまま国内に適用するのが難しいのではとの考えがあります。

ご存じの方も多いと思いますが、米国の組織では経営層と実務者層は明確にキャリアが分かれており、経営層はMBA（経営学修士）をとって、組織経営でキャリアを積んだ人を中心に構成されています。サイバーセキュリティ対策等の実施は、経営層から実務者層に対してトップダウンの形で指示されるのが普通です。他方、伝統的な日本の組織では実務者として成果を挙げた人が経営層に昇進するキャリアが多く、さらに経営層と実務者層の間にいる「ミドル層」が経営層を支えています。対策実施に際しても、米国ではトップダウンで行われると思って間違いないですが、日本ではトップダウンで動く組織がある一方で、いってみれば「名ばかり」のCISOがいて、その下でミドルが頑張っている組織もあったりします。こうした違いを考えると、日本企業向けに海外の役割定義をそのまま適用しても、うまく機能しない恐れがあります。内閣サイバーセキュリティセンター（NISC）において、サイバーセキュリティ対策に従事する人材として、新たに「戦略マネジメント層」を定義(*4)し、その普及を図っているのも、日本の組織におけるこうした実態を踏まえたものといえます。
このような背景を踏まえ、SecBoKにおける役割定義の見直しにはもう少し時間をかけることにしました。

３．今後に向けて

SecBoK 2019において定義されている役割は、2016年頃の時点で人材の不足が顕著であったものを中心としているため、開発系の役割がないなど少々偏りがあります。前述のNICEフレームワークにおける役割定義や国内における他のスキル標準などの動向を踏まえつつ、より国内企業で役に立つものとするために、JNSA教育部会では今後もSecBoKの改訂を行っていく予定です。さらに、SecBoKには海外でも使いたいとの声が寄せられています。英語で表現されたNICEフレームワークがあるのにあえてSecBoKが注目される背景として、SecBoKでは知識やスキルのカテゴライズをしていたり、役割定義の数がNICEよりも少なかったりすることが評価されているようです。将来的には、日本企業がサイバーセキュリティ体制の整備において工夫している点などを反映していくことで、国際的にも価値ある知識の体系として展開できるかもしれません。

(*1) SecBoK 2019公開ページ
https://www.jnsa.org/result/2018/skillmap/

(*2) NICE Cybersecurity Workforce Framework
https://www.nist.gov/itl/applied-cybersecurity/nice/resources/nice-cybersecurity-workforce-framework

(*3) CSIRT人材の定義と確保
https://www.nca.gr.jp/activity/training-hr.html

(*4) サイバーセキュリティ人材の育成に関する施策間連携ワーキンググループ報告書　〜「戦略マネジメント層」の育成・定着に向けて〜
https://www.nisc.go.jp/conference/cs/pdf/jinzai-sesaku2018set.pdf

 

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

＜ワンクリックアンケートお願い＞
今回のメールマガジン166号の感想をお寄せください。
https://bit.ly/2YIHYpi
※googleアンケートフォームを利用しています。

【事務局からのお知らせ】
★プレス限定「JNSA時事ワークショップ｜記者懇談会」
　日程：2019年7月18日（木）14：00〜16：30
　ご参加ご希望の方には会場をご案内させていただきますので、JNSA事務局　( office@jnsa.org )までご連絡下さい。
※報道ご関係者に限らせていただきます。

★「JNSA全国横断セキュリティセミナー2019」を名古屋市、東京、大阪市、札幌市、那覇市の5地区で開催。JNSA会員限定で「協賛企業」を募集中です。
協賛に関するお問合せは、JNSAセミナー企画事務局( seminar-sec@jnsa.org)まで。

★7月16日-18日開催の「RSA Conference 2019 APJ 2019」Full Conferenceにご登録される場合、JNSA会員の方はディスカウントコードが使えますので、ご希望の方は事務局までお問合せ下さい。

★JNSAは、（ISC）2やSANSの代理店として、会員企業の方へトレーニングの割引販売を行っております。
受講の際にはぜひ事務局までご連絡下さい。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第166号
発信日：2019年7月12日
発　行：JNSA事務局　
*************************************