ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. 座談会 第一部
ここから本文です。

座談会

サイバーセキュリティ人材育成の現実

~その成功のカギはどこにあるのか~

特定の企業や組織を狙い撃つ「標的型サイバー攻撃」の被害が世界中で急増しています。あらゆるモノがインターネットでつながるIoT時代では、サイバー攻撃の被害は一企業に止まらず社会全体に多大な影響を与える恐れすらあるのです。
NECはお客さまの重要な情報資産やシステムを守るため、長年にわたり多層的かつ動的なサイバーセキュリティ対策の維持・向上を図ってきました。その体制強化への取り組み、さらには高度なサイバーセキュリティ人材をどのように育成してきたのかを、最前線のキーマンたちが語ります。

ハードルの高いプロフェッショナル人材

ただし、プロフェッショナル人材の育成は容易な道のりではなかったという。NECが定義したスキルマップの技術要件を見てみると、高度な解析技術や広範な知識が求められていることがわかる。基本的なIT技術要件だけでも、プログラミング、ネットワーク、OS/DB、暗号・認証と、複数のレイヤーの知識を持つことを要求しているのだ。

CSIRT活動に必要な専門技術

「サイバー攻撃は複合的な技術を組み合わせてアタックをかけてくるため、こうした広範な知識を持っていないと対処できません。ネットワークだけ、OSだけといった断片的な知識で対処しようとすると必ず判断ミスを起こします。それに加えて、高度なプログラム言語と知見を持った人材でないと実際の解析と対処はできないのです」と谷川は語る。

それだけではない。判断力やコミュニケーション能力を向上させていく必要もある。マルウェアなどに侵入されたサーバを解析した後は、システム担当者に対象となるシステムを、短期的・長期的にどのように改善・運用していけばいいのか示していく必要があるからだ。

「一時的にサービスを停止しなければならない時は、どの時点で止める決断をするか、相手の立場も考えながら落としどころを探る交渉を行う必要もあります」と田上は話す。

そこで総合的な能力を養うため、NECのCSIRTメンバーは事業部からも人材を多く集めてきた。その後も多様なキャリアを積むことも多い。CSIRTを経た後、お客さま向けのセキュリティコンサルタント業務についたり、官庁における専門家の育成を担当したりもする。その後再びCSIRTに戻ってきた人もいれば、社内のセキュリティビジネスのさまざまな場面で活躍している人もいる。そうした幅広い実践経験を積むことで、プロフェッショナル人材を育成するわけだ。

「一般の企業でこれだけの要件を備えたサイバーセキュリティ人材を育成していくのは非常に難しいと思います。そういった人材は大手ICTベンダーとセキュリティ専業ベンダーに集中しています。NECは自社の情報システムを守る一方で、お客さまにも高度なサイバーセキュリティサービスを提供する企業ですから、もともとその適性や素質を持った人材が集まってきます。それも大きな要因になったと思います」と田上は述べる。

実践的な教育とキャリアパス制度を用意

もちろん、いくら優秀な人材を集めてトレーニングを開始しても、誰もがアナリストやトップガンに育つわけではない。重要なのは、企業全体で層の厚いサイバーセキュリティ人材をどう育てていくかだ。そのためNECは、各人のスキルに応じた育成プログラムを用意し、それぞれのレベルに応じたスキルアップを図れるように配慮している。

例えば、セキュリティ技術者は、メーリングリストや社内コミュニティで日常的に最新のインシデントやマルウェアの情報共有を行っており、それぞれのノウハウ蓄積や研究活動に利用している。またアナリスト向けには、2週間に1度、CSIRTが勉強会を開催。約100人が切磋琢磨しながらマルウェアの解析方法やフォレンジック手法、インシデント対応などを学んでいる。

「より高い実践力の育成として、毎週のように世界各地で開催されているCTF(Capture The Flag)というセキュリティコンテストに有志を募って参加することもあります。こうした世界的競技にはトップガンクラスのホワイトハッカーが参加するので、モチベーションが上がりますし、非常に勉強になります」(谷川)

同時にNEC独自で行う社内CTFも開催。2016年2月にはNECグループ全員を対象とした社内CTFをオンライン上で2週間にわたって開催し、暗号やOS、ネットワーク、Webアプリケーション、セキュリティインシデントの解析など全97問を出題した。

社内CTFの問題

表彰式の様子

「驚いたのは、最終的に約600人近くの社員が参加したことでした。セキュリティに対する意識がグループ全体に浸透していることの証だと思っています」と谷川は自信を示す。

こうした育成プログラムに加え、多様なキャリアパス制度も用意している。セキュリティの監視や解析をする「セキュリティアナリスト」から、セキュリティの製品開発、システムインテグレーション、サービス運用を担当する「セキュリティアーキテクト」、お客さまの課題をセキュリティ視点で可視化し、課題解決のためのロードマップや施策を提案する「セキュリティコンサルタント」、そしてサイバーセキュリティの事業開発や、ソリューション企画を行う「セキュリティプランナ」まで、さまざまな人材を細かく定義し、それぞれのキャリアに向けた人材育成体制を整えているのだ。

さらに、各人が身に付けたスキルは「NEC プロフェッショナル認定制度」を通じて、情報システムのセキュリティ品質を保証する「システムズアーキテクト」、セキュリティマネジメントやインシデント対応を行う「サービスマネジメントアーキテクト」といったセキュリティプロフェッショナルとして評価されていく。

「サイバーセキュリティ人材は、NECの幅広い事業領域の中で多様な役割を期待されますから、さまざまな選択肢の中で自身のキャリアを形成し、経験値を高めていけるように工夫しています」と田上は言う。

  • システムズアーキテクト(セキュリティ):情報システムのセキュリティ品質を保証
    • 脅威/脆弱性分析、セキュリティ要件定義/アーキテクチャ設計など
  • サービスマネジメントアーキテクト(セキュリティ):ITサービス運用のセキュリティ品質を保証
    • セキュリティマネジメント、モニタリング、インシデント対応など

プロフェッショナル認定制度(セキュリティ)

セキュリティ要員を1200名に拡充

NECが育てるサイバーセキュリティ人材は、グループの情報システムを守るだけでなく、企業や政府・自治体、そして個人のお客さまにも提供する製品やシステム、サービス全体のセキュリティ設計や実装、提案など、すべて関わっている。そのため現在のセキュリティ要員を2018年度までに倍増する計画だ。

人材育成には長い期間が必要なため、もちろん社内育成だけでは足りない。そのためNECでは数年前から、国内トップクラスのサイバーセキュリティ技術者を擁する「サイバーディフェンス研究所」や、企業リスクマネジメントのプロフェッショナル集団である「インフォセック」といった企業をグループ会社に迎え、高度な人材確保に努めてきた。

またNECグループや外部のセキュリティパートナー企業を連携させ、高度なサイバーセキュリティ対策をワンストップで行う「サイバーセキュリティ・ファクトリー」も運用。サイバーセキュリティに精通した専門家が集結するこの組織を、NECのセキュリティプロフェッショナル育成の場としても有効に活用しているのだ。

「当然のことですが、サプライチェーンや社会全体に被害を及ぼすサイバー攻撃には1社だけでは対抗できません。そこでNECのCSIRTではJC3(日本サイバー犯罪対策センター)、NCA(日本CSIRT協議会)などの公的機関や企業、大学などとも日常的にインシデント情報などを共有し、セキュリティ対策の立案、分析などに役立てています」(谷川)

「さらにこれらのサイバーセキュリティ人材の育成や知見はNECの海外現地法人にも順次拡張していきたいと考えており、すでに現地担当者の人材育成を推進しています」と田上は述べる。

今後もNECではこうしたさらなるプロフェッショナル人材の強化を図り、お客さま向けのコンサルティング、対策、運用、インシデント対応までのトータルソリューションを提供していく考えだ。

CTFを通じた情報セキュリティ技術の向上

CTF(Capture The Flag)は、情報セキュリティ技術を競い合う競技大会です。多くの場合、競技者が問題に隠された答え(フラグ)をセキュリティ技術を駆使して解析し、競技サーバに答えを送信する形式が一般的で、インターネットを介して海外のさまざまなCTF大会に参加することも可能です。有名な大会には、日本では SECCON、海外では DEFCON などがあり、新たなセキュリティ人材発掘の場にもなっています。NEC社内では、サイバーセキュリティに関する情報を配信しており、CTF問題も配信しています。CTF情報配信の目的は、CTF参加者のすそ野を広げ、社員の情報セキュリティ技術の向上にあります。また、実技方式で初級者向けと中上級者向けの社内CTF勉強会を毎月実施しています。CTF勉強会では、楽しみながら情報セキュリティ技術を習得し、攻撃者視点の考え方も併せて学習することにより、従来のシステム設計・構築の視点とは別の知見を得て、より現実的なセキュリティ対策に活かしています。

おすすめコンテンツ

ページの先頭へ戻る