Special
» 2017年12月05日 10時00分 公開

“セキュリティの分かる人材”を社内に:ますます深刻化する情報セキュリティ人材不足――2020年に向け、企業はどのように“自己防衛”を進めていけばよいのか

人材不足の影響はセキュリティベンダーにも及んでいる。ユーザー企業がベンダーにセキュリティ対応を依頼しても“袖にされる”ケースが増えてきているのだ。そのような状況下、企業に「自己防衛」を勧めているのがグローバルセキュリティエキスパート(GSX)だ。EC-Councilの国内総代理店である同社は、これまでにない企業向け情報セキュリティ人材トレーニングプログラム「CND(認定ネットワークディフェンダー)」の国内提供を開始。今、なぜ“人材育成に基づく自己防衛”が重要なのか。その理由は。

[PR/@IT]
PR

拡大を続ける“目に見えない”サイバー攻撃

ALT グローバルセキュリティエキスパート 取締役
経営企画本部長 兼 営業本部長 青柳史郎氏

 サイバー攻撃による被害が止まらない。情報漏えい事故は連日のように報道され、目にしない日はないほどだ。

 警察庁やIPA(独立行政法人 情報処理推進機構)、JPCERTコーディネーションセンター(JPCERT/CC)などの調査によると、サイバー攻撃の発生件数や相談件数は年々増え続けている状況だ。検挙件数も増加傾向にあり、警察庁の統計情報によると2016年の検挙件数は8324件に達し、2017年はその数をさらに上回る見込みだ。

 しかし、サイバー犯罪が認知、検挙されるのは基本的に“まれ”なこと。水面下では、発生件数の数十倍から数百倍のサイバー犯罪/攻撃が行われていると見られている。実際、警察庁の統計によると、インターネットとの接続点に設置したセンサーに対するアクセス件数は、1IPアドレス当たり1日2000件に達している(2017年上半期)。

 これはどういう事態なのだろうか――。脆弱(ぜいじゃく)性診断やコンサルティング、セキュリティ運用サービス、教育サービスなどを手掛けるセキュリティ企業、グローバルセキュリティエキスパート(GSX)の青柳史郎氏(取締役 経営企画本部長 兼 営業本部長)は、次のように説明する。

 「1IPアドレス当たりで1日2000件スキャンされているということは、企業の施錠されたドアに、1分おきにガチャガチャとカギを入れてこじ開けようとしているようなものです。現実のシーンを考えると、中にいる人にとっては恐怖でしかありません。ただ、その恐怖を身近に感じにくいところがサイバー攻撃の本当の恐ろしさなのです。表面化していない攻撃は、私たちが想像している以上に多いことに注意すべきです」(青柳氏)

 “目に見えない”サイバー攻撃の恐怖が広がっていることは、他の調査結果からも明らかになっている。GSXの武藤耕也氏(経営企画本部 部長)は、2016年来、国内でも多数の被害を出しているランサムウェア「WannaCry」の実例を挙げながら、次のように説明する。

 「WannaCryは、攻撃にTCPポートの445番が使われていて、マイクロソフトが提供する修正プログラムを適用していれば防ぐことができます。ただ、JPCERT/CCの定点観測システムは、日本国内に向けたTCPポート445番宛のスキャンが増えていることを確認しています。攻撃者は修正プログラムが適用されておらず、脆弱性が放置されたままの端末を探し、狙いを定めて攻撃してくるのです」(武藤氏)

 大規模なサイバー攻撃の被害発生前には、常にこうした“攻撃者による事前調査”が行われていることが多いという。「2〜3年前とは明らかに攻撃の状況が変わっています。今後、日本で予定されている大規模なイベント開催に向けて、サイバー攻撃の被害はより一層増加、深刻化していくはずです」と青柳氏、武藤氏は警告する。

ベンダー自体が人材不足に悩んでいる

ALT グローバルセキュリティエキスパート 経営企画本部
部長 武藤耕也氏

 こうした“目に見えない”サイバー攻撃に対し、企業は自力での対抗策を取ることが難しくなっている。

 その理由は、攻撃が大規模化、高度化し、効果的なセキュリティ対策を実施するには複数の製品やツール、サービスを組み合わせて、多層的な防御体制を構築することが必須になってきたからだ。IT予算に余裕のある企業であれば、ある程度の投資を行えるが、中堅中小規模の多くの企業では、セキュリティ対策に予算を割り当てる余裕がほとんどないのが実情だ。

 また、情報セキュリティに関する高度なスキルと経験を有する人材が不足していることも、現在のサイバー攻撃への対応を困難にしているといえる。特に、中堅中小規模の企業では、情報システムの管理を1人で切り盛りしているケースも多く、専任でセキュリティ対応全般を担うことは難しい。スキルやノウハウの蓄積も進みにくく、まして新人を育成する余裕もないというところだ。

 このような状況下、企業の間で広がってきたのが、セキュリティに関するさまざまな業務のアウトソーシングだ。現在、企業で増えているのは、運用でのSecurity Operation Center(SOC)サービスの利用やポリシー作成、設定、脆弱性調査、ログ分析などをセキュリティベンダーに依頼して対応するというケースだ。社内の人材で対応できないため、セキュリティの専門知識とノウハウを持ったセキュリティベンダーに頼らざるを得ないのだ。

 しかし、情報セキュリティ人材の不足は国レベルの課題でもある。経済産業省が2016年取りまとめた調査報告では、情報セキュリティ人材は、2020年に約19.3万人不足するとされている(図1)。

図1 図1 深刻化する情報セキュリティ人材不足。2020年には約19.3万人不足するとされている(出典:経済産業省『IT人材の最新動向と将来推計に関する調査結果を取りまとめました』)《クリックで拡大します》

 その中で、セキュリティ専門ベンダーやITベンダーに課題を聞いたところ、「検査・監査系業務やコンサルティング系業務を担当する人材の不足感が強くなっている」「募集をしても必要な経験やスキルを有する応募者が少ない」といった回答が得られている(出典:経済産業省「IT人材の最新動向と将来推計に関する調査結果」P.14)。

 「つまり、人材はユーザー企業だけでなく、ITベンダー、セキュリティ専門ベンダーでも不足しているということです。ここ数カ月は、そうした声を本当によく聞くようになりました。ユーザー企業が何とか予算を確保してセキュリティベンダーに依頼したとしても、やんわり断られたり、人の手配をほとんどしてくれなかったりといったケースが増えています。大手企業への対応だけで人材が不足してしまい、中堅中小規模の企業までカバーできなくなっているのです」(青柳氏)

 泥棒が今まさにカギを開けて押し入ろうとしているのに、専門家に頼ろうと連絡しても来てくれない状況なのだ。

今こそ、企業は「自己防衛」の準備をすべき

 こうした喫緊のセキュリティ課題に、企業はどう立ち向かっていけばよいのだろうか――。そこで、GSXが提案するのが企業自身の「自己防衛」だ。

 「ベンダー側の人材不足は、ベンダー側の都合に過ぎません。何とか対応してくれるベンダーを見つけても足元を見られてしまうくらいなら、自力で防衛していくことを真剣に検討すべきです。とはいっても、セキュリティ対策の全てを自分で構築していくのは現実的ではありません。そのための第一歩を踏み出すには何が必要か。そんな考えを巡らす中で行き着いたのが“社内にセキュリティが分かる人材を作る”というアイデアでした」(武藤氏)

 社内にセキュリティが分かる人材を作れば、自社の対策で何が足りないかを確認し、必要なセキュリティ対策を効率的に講じることができる。ベンダーがいなければ何もできないのではなく、ベンダーをうまくコントロールしながら、足元を見られずに協力を取り付けることができるようになる。社内のセキュリティ戦略を立案し、経営や事業部門、IT部門の取り組みをバックアップするような、企業に欠かせないリーダー的存在になる可能性も見えてくる。

 「今、ベンダーが頼りにならない以上、多少時間をかけてでもセキュリティ人材を自社で育てていくことこそが、やはりセキュリティ対策の近道になるはずです。そこで弊社では、企業の現状に合った、最適なセキュリティ人材育成トレーニングを提供することを目指しました」(青柳氏)

 青柳氏は、世界中にあるさまざまなトレーニングを検討する中、分かったことがあるという。それは、セキュリティ人材を育成するための“網羅的なトレーニングが存在しない”ということだった。

 例えば、日本国内で有名なセキュリティ資格としては、IPAが実施する「情報処理安全確保支援士試験(情報セキュリティスペシャリスト試験)」がある。また、国際的には、International Information Systems Security Certification Consortiumが実施する「CISSP(Certified Information Systems Security Professional)」がある。ただし、どちらも高度なセキュリティ専門家を養成するという意味合いが強く、一般企業が目の前にあるセキュリティ課題をいかにして解決するかということに、直接的な回答を示すものとは言い難い。

 「一般企業向けの網羅的なトレーニングが存在しないことに気が付き、新たに開発したのが米国のEC-Council International(以下、EC-Council)でした。EC-Councilは、実際のサイバー攻撃手法を学ぶ『CEH(Certified Ethical Hacker:認定ホワイトハッカー)』という資格を運営している団体です。CEHは、座学だけではなく、実践形式のトレーニングで実際に手を動かして学べることが大きな特徴。米国の国防組織への就職では応募条件の1つになるなど、国際的に知名度の高く人気のある資格になっています。そして、2016年9月には一般向けの網羅的なトレーニングコースとして『CND(Certified Network Defender:認定ネットワークディフェンダー)』を開設しました。そこから急速に資格取得者を拡大しています」(武藤氏)

 GSXはEC-Councilの国内総代理店として、2016年4月からCEHを展開。CNDが発表されてからは「求めていたものはこれだ」と、いち早く日本語を進め、2017年1月に提供を開始。瞬く間に人気のトレーニングコースになったという。

CNDで社内に「セキュリティが分かる人材」を作る

 「CND(Certified Network Defender:認定ネットワークディフェンダー)」は、セキュリティインシデントの初期段階から、セキュリティに関する「防御」「検出」「対応」を行うことができるスキルを習得するための実践的なトレーニングコース(講座+認定試験)だ(図2図3)。青柳氏は、CNDの特徴について、次のように説明する。

図2 図2 CNDは「防御」「検出」「対応」を行えるスキルを取得できる実践的なトレーニングコース(講座+認定試験)《クリックで拡大します》
図3 図3 集中講座、実践式トレーニング、テキスト、認定試験で実務に求められるセキュリティの知識と実技のスキルを身に付けられる《クリックで拡大します》

 「セキュリティに必要な要素が全て詰まっていることが大きな特徴です。そのため、CNDを取得することで、セキュリティの度重なる投資からムダを省けるようになったり、セキュリティリスクを自分で見えるようになったりします。結果として、コストを圧縮し、ベンダーの言いなりにならずに済みます。実践的なスキルを身に付けられるので、自社の意思決定方針を明確にして、場合によっては、攻撃者と直接対峙することも可能になります」(青柳氏)

 CNDは、3日間からの座学による講習と6カ月間利用可能な演習環境の提供、認定試験で構成されている。講習内容は、コンピュータネットワークの防衛の基礎から、IDS(侵入検知システム)/IPS(侵入防御システム)、VPN、ファイアウォール、Wi-Fiなどの設定や管理、トラフィック分析、脆弱性管理、インシデント対応など、について、実際にコンソールをたたいて学ぶ実戦的なものだ。実務に求められるセキュリティの知識と実技のスキルを効率よく身に付けることができる。

 特にユニークなのが、独自の実習システム「iLabs」を使用した演習環境だ(図4)。会社や自宅などからWebブラウザ経由でiLabsにアクセスし、実際のネットワーク機器が接続された仮想化環境の中で、有効な防御を実現するポリシー設定やログ分析、機器の設定、監視、検出、インシデント対応などを実践形式で学ぶことができる。これはデモ環境ではなく、著名ベンダーのIDS/IPSやファイアウォールなど実際に接続された“本番環境”だ。

図4 図4 独自の実習システム「iLabs」で、ポリシー設定やログ分析、機器の設定、監視、検出、インシデント対応などを実践形式で学べる

 「CNDは提供を開始してから、既に400人を超える申し込みをいただいています。今までにない“網羅的なセキュリティトレーニングコース”ということもあり、エンジニアの方だけでなく、CSIRTを作って担当者になったがどうしていいか分からず困っていた方、経営幹部やマネジャー層でセキュリティを一から学びたい方などさまざまな方が受講されています。受講者からは『セキュリティには自信があったが、実際には知識が抜け落ちていたことが確認できた』『全く知識のないところから、どのようにしてセキュリティ対策を勧めていけばよいかを体系的に整理できた』『ツールの使い方だけでなく、企業としての戦略や運用の在り方まで学ぶことができるのがよい』といった評価を得ています」(武藤氏)

 サイバー攻撃の脅威は日々進化しており、これまでのやり方が通用しなくなるペースも速い。CNDはそうした変化に対応できるように、日々アップデートされている。世界的に知られたCEHは既にバージョン9にアップデート済みだが、CNDはまだバージョン1だ。それでも、CNDの世界的な認知度はCEH並みになっているという。青柳氏は「企業はCNDをうまく活用して、自己防衛の第一歩を踏み出してほしい」とし、次のように話す。

 「CNDは、マネジメント観点からでも、現場目線からでも理解し実戦できる資格です。まずは国内で1000人の認定者を作りたいですね。彼らがそれぞれの企業のセキュリティリーダーになり、そこからスキルやノウハウを引き継いでいくことで、裾野がどんどん広がっていくでしょう。少しずつですが、一歩ずつ、セキュリティ人材の育成に貢献していきたいと思っています」(青柳氏)

Copyright© 2017 ITmedia, Inc. All Rights Reserved.


提供:グローバルセキュリティエキスパート株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年1月4日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。