★☆★JNSAメールマガジン 第88号 2016.6.10.☆★☆

こんにちは
JNSAメールマガジン 第88号 をお届けします。

いよいよ来週はJNSA2015年度活動報告会を開催します。
近日中に報告書を公開予定のWGもありますので、ぜひご期待下さい。

・日時:2016年6月17日(金)10:00〜15:40(受付開始 9:30)
・会場:ベルサール神田(千代田区神田美土代町7住友不動産神田ビル)
  <詳細・お申し込み>
  https://www.jnsa.org/seminar/2016/0617/index.html
 注:既に満席のセッションもございます。
さて、今回のリレーコラムは、JNSA教育部会長/日本アイ・ビー・エム株式会社の平山敏弘様に「セキュリティ人材育成における「情報セキュリティスキル分野(SecBoK)2016」のご紹介」をご寄稿いただきました。

【連載リレーコラム】
セキュリティ人材育成における「情報セキュリティスキル分野(SecBoK)2016」のご紹介

(JNSA教育部会長/日本アイ・ビー・エム(株)平山敏弘)

こんにちは、教育部会部会長の平山です。「情報処理安全確保支援士」制度が法案成立し、サイバー攻撃に対応するため、ホワイトハッカーなどの人材育成や高度な防御策の研究に取り組む新組織産業「サイバーセキュリティ推進機構」を創設する方針が固まる一方、セキュリティーの専門人材が2020年に20万人近く不足するとの調査結果が報告されるなど、セキュリティ業界に影響を与える様々な出来事が立て続けにおきています。そこで今回は、JNSA教育部会が4月に公表した「情報セキュリティスキル分野(SecBoK)2016」についても触れながら、セキュリティ人材の育成について考えていきたいと思います。

◆情報処理安全確保支援士制度の問題点とその影響

情報処理安全確保支援士制度については、良くも悪くもセキュリティ業界では話題になっていると思いますが、当制度創設にあたっては経済産業省から以下の背景や目的があげられています。

    1)政府機関や企業等のセキュリティ対策強化に向けては、専門人材の確保・育成が肝要であるが、その数は国全体で不足。
    2)現在、IPAや民間団体によりセキュリティの能力を測る試験が複数実施されているものの、人材の所在が見える化されておらず、日進月歩のセキュリティ知識を適時・適切に評価できるものとなっていない。
    3)最新のセキュリティに関する知識・技能を備えた、高度かつ実践的な人材に関する国家資格である「情報処理安全確保支援士」制度を創設。

1)の人材不足については、基本的には「情報セキュリティスペシャリスト試験」の置換えになるため、このままの制度では人材不足が解消されるとは言えないと思います。

2)の適切な評価に関しては、「情報処理安全確保支援士個人がサイバー攻撃等の標的となることも想定されることから、こうした点を十分に留意しつつ、登録事項の公開方法を検討する必要がある」とあります。危険性等についてはその通りであると思いますし、公開する側が公開することによるメリットがなければリスクだけ背負うことになるため、誰も対応しないのではないでしょうか。経済産業省では、「情報処理安全確保支援士の名称を有資格者に独占的に使用させる」としていますが、これだけでどれだけのメリットがあるのかは不明確です。

3)最新のセキュリティに関する知識・技能を備えた、高度かつ実践的な人材に関する資格を創設することには賛成ですが、セキュリティ人材を情報セキュリティスペシャリストから情報処理安全確保支援士へ移行し、一本化してしまうのはどうなのでしょうか?筆者は、セキュリティ人材には、技術を中心とした技術者人材のピラミッドと管理・監督を中心としたマネジメントのピラミッドがあるのではないかと考えています。もちろん双方のピラミッドは交差している部分があるのですが、役割は分かれると思いますので、その点も考慮した人材育成が必要ではないでしょうか。

もともと日本においては、米国などと比較してユーザー企業内のIT技術者比率が圧倒的に低く、ITベンダーやSIerに多くのIT技術者が所属する環境においては、技術の習得や発展には積極的であるが、特にユーザー企業内に必要とされるマネジメント系人材が不足しており、人材育成も進んでいないことがうかがえます。そのことは真のCISOの存在が少ないことからも明らかではないでしょうか。

このようにいろいろ問題もあり、皆さんもいろいろ仰りたい情報処理安全確保支援士ですが、法案で決まったことですのですぐに施行されますし、世間にも少しは注目されることとなり、セキュリティ業界としては追い風であることには間違いないので、我々としてはこの流れに乗って当制度を有用に使えるようにすることが重要ではないでしょか。筆者もこれから始まるIPAの情報処理安全確保支援士運営にかかわる有識者委員会のメンバーになっていますので、読者の皆さんもご意見があればJNSA事務局にご連絡いただければ、可能な限り委員会の席で、提案・意見を述べていきたいと思っていますので、よろしくお願いします。

◆「我が社に必要なセキュリティ人材が分かる資料:SecBoK2016」の公開

このようなセキュリティ人材育成に関して、もう1つ皆さんにご紹介したいのは、昨年から教育部会を中心に有識者の方々に委員として参画いただいて実施していた「情報セキュリティ知識分野(SecBoK)2016(以下SecBoK)」を、4月19日に発表させていただいたことについてです。

SecBoKは、セキュリティ業務に携わる人材が身につけるべき知識・スキルを体系的に整理したスキルマップになります。2009年以来の更新で、セキュリティ脅威や技術の変化に対応するよう、情報セキュリティ人材として16種類の役割を抽出し、役割ごとに必要となる知識項目を整理するなどの改訂を行ないました。具体的には、世界基準にも対応するために、必要な知識やスキル・能力については、米国国立標準技術研究所(NIST)が作成している「NICE CybersecurityWorkforce Framework」に準拠するように項目を設けました。また主にベンダー企業向けだった従来のスキルマップから、ユーザー企業での使用も考慮するために、役割(ロール)については、日本シーサート協議会の「CSIRT 人材の定義と確保 Ver.1.0」にて定義されているCSIRTに求められる役割を参考とするなどの改訂をしています。このSecBoKは、IPAから2015年に公開されている、新しいITスキルスタンダードであるiコンピテンシ・ディクショナリ(以下iCD)と相互互換できるように連係しています(iCD2017とは、さらに今年度において連係作業を実施中です)。iCDと連係することでのメリットとしては、大きく以下の2点があげられます。

    1)自社で必要な人材のロールを決めると、そこから必要なスキルが導き出されて、それに関連する資格が情報処理技術者試験だけでなく、ベンダーや教育事業者から提供されている資格や研修ともマッピング可能なため、人材育成計画がたてやすくなる

    2)ベンダーや教育事業者が、SecBoKを参照することで間接的にiCDも参照することとなり、自社提供の資格や研修などの該当スキル項目がiCD標準に則り明確にすることが可能となる。

iCDは今後、情報処理安全確保支援士の保有スキルとのマッピングを検討していますので、マッピング後は、SecBoKとも連携されることになります。まだ検討が開始されていないので何とも言えませんが実際には、情報処理安全確保支援士は複数のロールを担う事になるのではないかと思います。改訂版SecBoK2016はユーザー企業側での使用も想定していますので、ユーザー企業側への情報処理安全確保支援士普及に向けて少しでも貢献できれば幸いです。

SecBoK2016は、既にユーザ企業側での利活用について具体的に複数社で検討を開始していただいており、セキュリティ技術者の人数が足りないと言われている多くが対象となっているユーザー企業内におけるセキュリティスキルを持った人材の育成に役立つことが可能となります。ここではあえて技術者と言う言葉を使わないようにしていますが、それは前半にお話した「技術を中心とした技術者人材のピラミッドと管理・監督を中心としたマネジメントのピラミッド」のように、例えば技術者でなくても管理・監督責任のある方には、セキュリティスキルが必要であるケースがあるためです。

ただし、「8万人足りない」「20万人足りない」と言われているセキュリティ技術者ですが、当然のことながら「人数を増やすことだけが目的ではありません」。質の向上をどうすれば図れるのかが重要であり、増強したい人材やスキルについて、可能な限り明確にして取り組む必要があります。そのような場合に、役割ごとに必要となる知識項目を整理しているSecBoK2016は、有効なツールとして利用することが可能になりますので、皆さん一度ご覧になってください。

技術の進歩や便利さの追求が先行され、バランスが崩れている点が多々見受けられる現代社会においてセキュリティ人材の育成は急務であり、セキュリティ業界的にも追い風が吹く状況ですが、2020年東京オリンピック・パラリンピックで終わりではないので、その後も見据えた組織作りや人材育成が重要であると考えます。「第4次産業革命」と呼ばれるIT利用による技術革新を我が国がリードすることこそが、新たな成長フェーズに移行するためのキーとなる一方、その革新を支える重要なファクターがセキュリティであることは明らかです。そのためには、セキュリティ業界に携わる我々皆で盛り上げながら人材育成にも取り組もうではありませんか。


#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】

★社会活動部会ではJNSAセキュリティしんだん第20弾を公開しました。
「Good men go OUT / Bad men come IN
〜ヒト・デバイス・ファイルの認証と認可に基づいたセキュリティ〜」
https://www.jnsa.org/secshindan/


★「アイデンティティ管理WG」では、今年度の活動メンバーを募集しています。
 今年度第1回目のWGが以下の日程で開催されますので、参加希望の方は、事務局までご連絡下さい。
     <第1回WG>
 日時:6/24(金) 16:00-18:00
 場所:日本マイクロソフト 品川本社
  ※終了後懇親会(会費制)もあります。

★人材育成検討会によるJNSAインターンシップ実施中です。
現在7社がインターンシップの募集を行っています。JNSA会員の方でしたらどなたでもJNSAインターンシップの仕組みを御利用いただけます。
https://www.jnsa.org/internship/

【事務局からの連絡、お知らせ】

★2016年度JNSA定時総会を開催いたします。
   日時:2016年6月17日(金)16時より
 会場:ベルサール神田(東京都千代田区)

★JNSAソリューションガイドはJNSA会員の製品・サービスの検索サイトです。
ぜひ多くの企業さまのご登録をお待ちしています。
https://www.jnsa.org/JNSASolutionGuide/

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第88号
発信日:2016年6月10日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C) Japan Network Security Association. All rights reserved.