PowerPoint プレゼンテーション

ＩＰＡの活動紹介

～情報セキュリティを中心として～

２０１5年１２月４日

独立行政法人情報処理推進機構

IT人材育成本部長

理事 田中 久也

1

本日お話すること

１．

_{IPAの事業概要}

２. 情報セキュリティに関する事業

３. 人材育成事業

（１）ＩＰＡの人材育成事業

（２）情報セキュリティ人材の育成

2

3

4

IPAは

「頼れるIT社会」

の実現を目指します

国民のだれもがITのメリットを実感し、享受で

きる社会の実現を目指し、ソフトウエアおよび

情報システムの安全性・信頼性の向上や優

れたIT人材の育成を通じ我が国のIT戦略を

推進します。

理念

5

ＩＰＡの組織と主な活動

技

術

本

部

セキュリティセンター

ソフトウエア高信頼化センター

国際標準化推進センター

Ｉ

Ｔ

人

材

育

成

本

部

ＩＴ人材育成企画部

イノベーション人材センター

ＨＲＤイニシアティブセンター

情報処理技術者試験センター

Ｊ－ＳＩＰ（サイバー攻撃の情報共有） Ｊ－ＣＲＡＴ（サイバー攻撃のレスキュー隊） セキュリティ認証（ＣＣ） 暗号認証（ＪＣＭＶＰ） ｾｷｭﾘﾃｨ啓発 ｾｷｭﾘﾃｨ対策 ソフトウエア信頼性の見える化、第三者認証 重要ｲﾝﾌﾗ障害対策 文字情報基盤整備 共通語彙基盤整備 ＩＴ人材白書 ＩＴＰＥＣ（アジア地区統一情報処理技術者試験） 突出した技術者の発掘･育成 （未踏 セキュリティキャンプ） スキル標準の制定 普及 試験問題の作成 試験の運営 試験の普及促進

6

２. 情報セキュリティに関する事業

セキュリティセンター（ＩＳＥＣ）

SSL/TLS暗号設定 ガイドライン発行 CRYPTREC暗号リスト公開 第1回 第2回 第3回

暗号技術の標準化と普及活動概要

暗号技術検討会 ◇安全性・実装に関する監視 ◇暗号の利活用 ◇国産暗号の普及促進 2015年度 第2回 暗号技術検討会 第1回 暗号技術検討会 CRYTPRECレポー ト2014発行 暗号評価委員会 暗号活用委員会 上期実績 下期計画 IPA主担当 NICT主担当 学会監視活動 CRYPTRECのあり方に関す る検討グループ 第1回 第2回 第3回 第4回 第1回 第2回 重点課題検討 タスクフォース 今後の活動内容・ 対象範囲の議論 活動全般の方向 性・体制等の議論 7

暗号利用による安全性の向上

SSL/TLS暗号設定ガイドラインの改訂

情報を暗号化して、安全に利用するためのガイドライン • 安全性と可用性のバランスを考慮した用途別の設定基準 • 複雑でわかりにくい設定を具体例を用いて製品毎に解説 • TLSを設定・利用するうえで配慮すべき事項 以上に最新動向を反映 >>

new

• 詳細な設定ができない製品での最適な設定例 >>

new

 具体的な製品設定方法を拡充 • 詳細な設定ができない製品（ロードバラン サーなど）を追加  あわせて最新動向を反映 • RC4／SSL3.0に関する動向 • SHA-1の取り扱いに関する動向 2015年5月に公開 1ヶ月間で1万件のダウ ンロード数（暗号関係とし ては異例）。

① 「SSL/TLS暗号設定ガイドライン」を一般向けに公開し、実際の環境・状況に

応じた適切な設定を示すことでWebサイト等の安全性向上に寄与。

② 解説する製品を拡充させ、適用範囲を拡大すべく、改訂案策定に着手。

8

MFPの課題 ◆MFP特有の潜在脆弱性について、一般的なツールでは確認が困難 ◆国際標準化によるセキュリティ要件の画一化 脆弱性検証環境 MFPに特有な印刷ジョブや 連携機能に対する脆弱性 検査シナリオを入力し、応 答を確認する。 テストデータ送信 応答・サーバ間通信データ解析 MFP開発者

デジタル複合機（MFP）のための

脆弱性評価リファレンスツール

ＭＦＰ特有の脆弱性について、攻撃シナリオを作成 ●調査及び認証作業におけるノウハウの活用、MFPベンダ各社との協 力による情報交換（JBMIA*協力）により、攻撃シナリオの内容を確定 ●シナリオ内容を例示するツールを開発し、MFPベンダに提供 検査対象MFP MFP利用者により 安全な製品を提供 国際的な競争力の確保 *JBMIA:一般社団法人ビジネス機械・情報システム産業協会 MFPの脆弱性検査範囲 汎用インタフェース、汎用プロトコル 外部記憶メディア （HDD, USB） MFP特有のアーキテクチャ ファイル転送 （SMB, FTP） 暗号通信 （IPSec, SSL ） 印刷、ジョブ管理プロトコル PCL PostScrip t 装置管理 UPnP ユーザ認 証 AD ベンダ独自アーキテクチャ 操作パネル メンテナンス 従来の汎用 ツールによ り対応可 本ツールを 拡張し対応可 Webコンソール （HTTP） 9

ICカードのハードウェア評価

最先端の評価技術 評価基準の追従 評価機関への貸_{与環境を整備} マイナンバーカード パスポートの認証に 活用予定 ・国民の生活に広く浸透しているICカードは、金融、公共、交通等様々な分野に活用さ れる基盤製品となっており、「個人番号カード」もICカードでの交付を予定。 ・近年ICカードに対する攻撃手法は高度化し、新しい攻撃手法が次々と出現しており、 我が国において、これらへの耐性を評価する人材の育成が必須となっている。 レーザー照射評価装置 高度な回路解析 ダブルレーザー照射評価装置 電磁波照射評価装置 レーザー顕微鏡 レーザー照射 故障利用攻 撃 ダブルレーザー照 射故障利用攻撃 電磁波照射 故障利用攻 撃 故障利用攻撃とは、動作中のIC チップに物理的な操作を行い、故障を意図的に発生させることで秘密情報の漏えいを誘発する攻撃。 横浜国大、電通大、神戸大、 立命館大、名城大による20回、 延べ34名が評価装置を利用。 技術セミナー（入門編）を実 施。座学に加えて評価装置 を使用したデモを行い、企業、 大学等の約100名が参加。 ＜上期の利用実績＞ 10

サイバー情報共有イニシアティブ（J-CSIP)

2012年4月、標的型サイバー攻撃の情報共有と早期対応の場として、J-CSIPを発足。

7

Initiative for Cyber Security Information sharing Partnership of Japan http://www.ipa.go.jp/security/J-CSIP/index.html

J-CSIPの活動成果と情報共有実績

2012年度 2013年度 2014年度 参加組織からIPAへ の情報提供件数 246件 385件 626件 標的型攻撃メールと みなした件数 201件 233件 505件 参加組織への情報 共有実施件数 160件 180件 195件 同種の攻撃が業界内の複数 組織に行われている実態を把握 競合他社間でも情報を共有し、 共同で検知・防御を実現 情報の集約・分析により、 「やり取り型」攻撃の実態を解明

J-CSIP

は、公的機関であるIPAを情報ハブ（集約点）の役割として、

参加組

織間で情報共有

を行い、高度なサイバー攻撃対策に繋げていく取り組みで、

現在６業界、61組織が加入している。

具体的には、IPAと各参加組織（あるいは参加組織を束ねる業界団体）間で締結した 秘密保持契約（NDA）のもと、参加組織およびそのグループ企業において検知された サイバー攻撃等の情報をIPAに集約。情報提供元に関する情報や機微情報の匿名化 を行い、IPAによる分析情報を付加した上で、情報提供元の承認を得て共有可能な情 報とし、参加組織間での情報共有を行っている。 https://www.ipa.go.jp/security/J-CSIP/ 詳しくは 2014年度レポート http://www.ipa.go.jp/files/000046018.pdf 多数の攻撃の相関分析により、 執拗な「攻撃者X」の絞込み

J-CSIPにおける分析事例～攻撃者「X」～

攻撃者「X」

114通

の攻撃メール

31ヵ月

に渡り攻撃を継続

9組織

へ攻撃

4種

のウイルス

多様な

騙しの手口 問い合わせ… 連絡帳… クレーム…

浮かび上がった執拗な攻撃者の存在

活動開始から3年、これまでIPAに提供された情報は1,257件、

そのうち標的型攻撃メールとみなしたものは939件、

これら得られた攻撃メールを分析した結果、12%に相当する114件が

同一の攻撃者（またはグループ）による一連の攻撃行為と推定される

14

サイバーレスキュー隊(J-CRAT)

公的機関 業界団体、 社団・財団 重要産業 関連企業 重要産業 取引先 アドバイス 情報発信 情報提供 支援相談 Web検索 サイト巡回 標的型サイバー攻撃 特別相談窓口 公開情報の 分析・収集 公開情報 ケース１ ケース２ ケース３ サイバーレスキュー隊 (J-CRAT) サイバーレスキュー活動 支援内容 解析 攻撃・被害 の可視化 情報収集

JPCERT/CC

情報提供 着手アプローチ エスカレーション エスカレーション ケース1： 標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談 ケース2： 受付した相談から、連鎖的な被害（の可能性のある）組織が推定された場合 ケース3： 公開情報の分析、収集により被害（の可能性のある）組織が推定された場合 攻撃・被害 の把握 助言 レスキュー活動 その他

J-CSIP

セキュリティ対策ベンダ 技術連携

2014年7月発足、標的型攻撃の把握、被害の分析、対策の早期着手を支援

Cyber Recue and Advice Team against targeted attacks of Japan http://www.ipa.go.jp/security/J-CRAT/index.html

サイバーレスキュー隊の目的と活動実績

活動内容： 攻撃を検知できずに「潜伏被害」を受けている組織や、検知した「

インシデント発生」の状況や深刻度が認識できずにいる組織に対して、以下を

支援：

・

攻撃の把握

・

被害の分析

・

対策の早期着手

活動の目的： 標的型サイバー攻撃に対する相談対応、事案によりレスキュー

活動を実施することで、以下を達成する：

① 標的型サイバー攻撃被害の拡大防止、被害の低減を図る

② 攻撃の連鎖を解明、遮断する

レスキュー活動の実績：

■

昨年度実績(2014年度 )：

相談件数107件、レスキュー対応38件(うちオンサイト11件)

■今年度上半期（2015/4～9）： 6月の

年金機構事案以降、相談件数急増

。

相談件数246件、レスキュー対応104件(うちオンサイト31件)

15 2014年度レポート http://www.ipa.go.jp/files/000047193.pdf

J-CRATにおけるレスキュー事例

16 組織D 攻撃者 ①組織Bを騙った 攻撃を確認 ②新たな攻撃先 (組織C)を確認 標的型攻撃メール分析 不審ファイル調査 通信ログ分析 共有情報作成 情報提供 情報提供・調査支援 情報提供・調査支援・対策支援 組織A 組織B 組織C ③組織Cから組織Dへ 攻撃メールが送られ ていた事実が判明 ・ 攻撃の連鎖(組織をまたがった攻撃)が行われている事を確認 ・ その連鎖を追跡することで、他組織の被害を検出、被害低減と攻撃連鎖を遮断 攻撃 遠隔操作

～複数組織をまたがる標的型攻撃の連鎖～

ご紹介：標的型攻撃対策の参考資料

•

IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」

https://www.ipa.go.jp/security/technicalwatch/20150109.html

＜メールの見分け方＞

• 注意するときの着眼点 • 標的型攻撃メールの例 • 添付ファイルの種類と解説 17 ６月以降、ダウンロードが急増！ 累計10万件以上のダウンロード： ・組織での教育素材に ・個人のリテラシー向上に ご活用下さい。

セキュリティ意識の国民への普及啓発

国民向け 原宿ファッションジョイボード文化展への出展 若者向け施策としてマンガで表現したパスワード 啓発の看板17枚を原宿駅に掲出。 メディアやSNSから大きな反響を呼んだ(4/3-10/8) TV 6回、新聞 4回、ネットニュース 200本以上 Twitter投稿 : 4,635件(4/3-4/9の期間)  警察の協力を得て、全国に同マンガを活用し たパスワード啓発ポスター約3万枚、チラシ約 25万枚を掲示・配布（9月予定）  大学・企業からの掲示したい旨の要望を受け、 一般向け販売を開始（8月より） 子供向け学習マンガ制作 小学生向け情報セキュリティ学習マンガを制作 し、小学校および図書館に献本。 子供への情報セキュリティ啓発を目的とし、また 将来のセキュリティ人材へ導くことを期待。  本事業をセキュリティ業界全体として取り 組むべく、関係府省の活動も紹介  業界各社へは協賛を通じて普及活動への 協力を呼びかけ（協賛企業2社） ・全国の小学校図書室 約2.3万校 ・全国の公立図書館 約3千館 配布予定日 2016年1月末 18

企業・国民への普及啓発

企業向け 「第12回情報セキュリティEXPO」（5/13-5/15） ブースプレゼン・パネル展示・資料配布を通じ てIPAブース来場者約１万人に対してIPAの成 果を広めた。 実績（３日間） IPAブース来場者数：10,639名 ・ブースプレゼン（各２０分） 計４１回 ・パネル展示 計３６枚 ・資料配布 9,000セット配布 映像を用いた組織内研修 「内部不正防止」等の最新テーマの啓発映像を 社内研修用に作成。 情報を漏らしたのは誰だ？ ～内部不正と情報漏えい対策 ～ 前年から更に １０％増加  中小企業向け「講習能力養成セミナー」に おいて、IPAの映像教材を利用した講義方 法を伝授する施策を実施。  開発中の、中小企業向け学習支援システ ムでは、eLearningコンテンツとして活用予 定。 「標的型攻撃」「新入社員向け」「SNS」等 YouTube再生回数 ：上期 124,734回 （累積489,248回） 企業内研修向け配布： 上期 1,043社 （研修対象 595,549名） 19

20

３. 人材育成事業

21

22 ＩＴＳＳ ＵＩＳＳ ＥＴＳＳ 参照 ｉコンピテンシ・ ディクショナリ キャリアフレームワーク スキルディクショナリ キャリアフレームワーク 機能・役割定義 キャリアフレームワーク スキル基準 タスク・スキル CCSF追補版

スキル標準体系の変遷

３つのスキル標準 CCSFへの展開 スキル標準・ＣＣＳＦからｉコンピテンシ・ディクショナリへの変遷は、下図のようにイメージできる。  大企業・中小企業・組織（各種スキル指標等）  個人（IT資格・試験等）  学校等教育機関（教育プログラム） など ＣＣＳＦ第一版 人材モデル（類型） 今後の活用  タスクの拡張  スキルの新設  分類サンプルの提供 （タスクプロフィール、職種）  広範囲な参照元 （SLCP､ITIL、試験、BOK系 等）  ITヒューマンスキルの提供 など 活用 拡充 参照

ｉコンピテンシ・ディクショナリの公開

23 ｉコンピテンシ・ディクショナリ（試用版）を、平成26年7月末に公開した。今後は、欧米調査やパブコメ等のレビュー 結果を尊重して確定版を構築とするとともに、その活用システムの構築も推進する。 タスクディクショナリ スキルディクショナリ IT技術者のスキル一覧 スキル 分類 スキル項目 知識項目 (システ ム）ソフト ウェアの 基礎技術 ソフトウェア構 築の基礎知識 … ソフトウェア設 計の基礎知識 … プログラミング … (システ ム）ソフト ウェアの 構築技術 システム開発 の概念と方法 論 … システム開発 のアプローチ … 連係

i コンピテンシ・ディクショナリ

企業のタスク一覧 タスク 大分類 タスク 中分類 タスク 小分類 顧客の事業 戦略把握 要求（構想）の 確認 … … IT製品・ サービス戦 略策定 市場動向の調 査・分析・予測 … … ＩＴ製品・サー ビス戦略の策 定 … … … 活用 活用 教育プログラム IT資格・試験 スキル分類 スキル項目 資格試験 ○○技術者 試験 △△技術者 試験 □□技術者 試験 (システム）ソフトウェアの 基礎技術 ソフトウェア構築の基礎 知識 ◎ プログラミング ◎ オープンソフトウェア ◎ (システム）ソフトウェアの 構築技術 システム開発のアプ ローチ ○ 個人での利活用（IT技術者、学生） 学校等教育機関での利活用 各種 スキル指標 等 大企業・中小企業・組織での利活用（ITベンダー、ユーザ企業）

11 22

タスクディクショナリ

タスクフレームワーク（タスク大分類）

◆ タスクの一覧 （抜粋） 【A】タスクプロフィール （タスクの分類サンプル） タスク大分類 約50分類 タスク中分類 約200分類 タスク小分類 約500分類 評価項目 約2000項目 25

タスクディクショナリの詳細

診断基準 ランク４ 他者を指導できる、またはその経験あり ランク３ 独力で実施できる、またはその経験あり ランク２ サポートがあれば実施できる、またはその経験あり ランク１ トレーニングを受けた程度の知識あり ランク０ 知識、経験無し 【B】 タスク評価の診断基準例

スキルディクショナリ

スキルディクショナリ構成図 高 低 広 狭 企業固有スキル（ビジネス・関連業務）※ テクノロジ メソドロジ ITヒューマンスキル 関連知識 ビ ジ ネ ス イ ン ダ ス ト リ ／ 企 業 活 動 ／ 法 規 ・ 基 準 ・ 標 準 創造力／実行・実践力／コミュニケーション力 ・情報処理技術者試験 午前の出題範囲 （知識体系） (IPA) ・CCSF BOK (IPA) ・ITSS V3 2011 (IPA) ・ITS (IPA)

・UISS Ver.2.2 (IPA) ・ETSS 200 8(IPA) ・J07（情報処理学会） ・BABOK 第1.2版 (IIBA) ・REBOK 第１版 (JISA) ・SABOK （日本ITストラテジスト 協会） ・SWEBOK 2004 (IEEE/ACM) ・PMBOK 第４版 (PMI) ・ITIL V3 (itSMF Japan) ・SQuBOK Ver1.0 （日本科学技術連盟） ・DMBOK 第１版 (DAMA) ・CBK ((ISC)² Japan) IT固有性 利 用 対 象 領 域 保守・運用 ITサービスマネジメント業務管理技術 ITサービスオペレーション技術 システム保守・運用・評価 障害修理技術 施工実務技術 ファシリティ設計技術 サポートセンター基盤技術 開発 システムアーキテクティング技術 システム開発管理技術 非機能要件 非機能要件（可用性、性能・拡張性） セキュリティ技術（基礎、構築、利用） 組込み・制御 組込み技術（基礎、構築、利用） ディジタル技術 ヒューマンインターフェース技術 マルチメディア技術 グラフィック技術 計測・制御技術 共通技術 IT基礎 ナレッジマネジメント技術 システム（基礎、構築、利用） Webシステム技術 プラットフォーム技術 ネットワーク技術 ソフトウエア技術 データベース技術 ハードウェア技術 戦略分野 企画分野 システム企画立案手法 セールス事務管理手法 実装分野 利活用分野 アーキテクチャ設計手法 ソフトウェアエンジニアリング手法 カスタマーサービス手法 業務パッケージ活用手法 データマイニング手法 見積り手法 プロジェクトマネジメント手法 要求分析手法 非機能要件設計手法 サービスマネジメント サービスの設計・移行 サービスマネジメントプロセスサービスの運用 支援活動分野 品質マネジメント手法 リスクマネジメント手法 ITガバナンス 資産管理手法 ファシリティマネジメント手法 事業継続計画 システム監査手法 標準化・再利用手法 人材育成・教育・研修 市場機会の評価と選定 マーケティング 製品・サービス戦略 販売戦略 製品・サービス開発戦略 システム戦略立案手法 コンサルティング手法 業務動向把握手法 参照元 名称（発行団体） ※ 企業固有スキルは、個々の企業が自社のビジネスや業務の遂行に必要なスキルを独自に定義する。 26

27 ◆ スキルの一覧 （抜粋） 16種類の 知識体系 を参照し、 MECEに 整理 5分類 スキルカテゴリ 約90分類 スキル分類 約400分類 スキル項目 約8000項目 知識項目

スキルディクショナリの詳細

【A】 職種（スキルの分類サンプル・３スキル標準等の職種で構成） × スキル 対応表 (抜粋） 【C】 ITヒューマンスキルの構成： ３つの分類 【D】 情報処理技術者試験 × スキル 対応表（抜粋） テクノロジ メソトロジ 関連知識 レベル７ 業界をリードし市場への影響力があるレベルにある レベル６ 業界に貢献し認知されるレベルにある レベル５ 所属団体・組織内で貢献し認知されるレベルにある レベル４ 非機能要件を考慮して最適化できる、 最適解が出せる／定石外しができる／ 高度情報処理試験に合格するレベル 最適な手法を使いこなす／最適な手法 を選択できる／手法を状況に応じて自 在に駆使できる 関与する業種・業務の上級管理者に対 しあるべき姿について議論できる レベル３ 機能要件が作成できる／自立してある 限定条件で仕事ができる 課題に応じて手法の使い分けができる ／現場にて手法を活用し結論を導いた 事がある 関与する業種・業務のIT領域の課題点 に対し解決策を提案した事がある レベル２ 指示があると使える、活用できる／実 装経験がある 当該手法で分析できる／メソトロジを指 導下で使える 関与する業種・業務のIT領域の課題点 を知っている レベル１ 技術内容を講義などを受講し知ってい る／知識がある 手法内容を講義などを受講して知って いる／どんなものか知っている、言える ／テキストで知っている 関与する業種・業務がどのようなもの か知っている、言える／有報などの公 開情報で知っている 【B】 スキル熟達度判定基準

スキル 分類 スキル項目 知識項目 (システム） ソフトウェア の基礎技術 ソフトウェア構築 の基礎知識 … ソフトウェア設計 の基礎知識 … プログラミング _… (システム） ソフトウェア の構築技術 システム開発の 概念と方法論 … システム開発の アプローチ … タスク 大分類 タスク 中分類 タスク 小分類 顧客の事業 戦略把握 要求（構想）の確 認 … … IT製品・サー ビス戦略策定 市場動向の調 査・分析・予測 … … ＩＴ製品・サービ ス戦略の策定 … … … 活用 _活用 教育プログラム スキル分類 スキル項目 資格試験 ○○技術者 試験 △△技術者 試験 □□技術者 試験 (システム）ソフトウェアの 基礎技術 ソフトウェア構築の基礎 知識 ◎ プログラミング _◎ オープンソフトウェア ◎ (システム）ソフトウェアの 構築技術 システム開発のアプ ローチ ○ 個人での利活用 教育機関での利活用 各種 スキル指標 等 企業・組織での利活用

ｉＣＤ2015 ＆ 活用ｼｽﾃﾑ

タスクディクショナリ スキルディクショナリ ・自タスク選定機能 ・診断機能 ・診断結果分析機能 データベース アプリケーション（タスク編） 現場知見のフィードバック 現場での活用 2015年度リリース アプリケーション（スキル編） 成果１ 3種のタスクを追加 ・ラインマネジメント ・総務・人事・経理 ・営業業務

「ｉＣＤ2015」及び「ｉＣＤ活用システム」の公開

新時代に必要な人材育成（情報セキュリティ、攻めのITなど）に対応した「ｉＣＤ 2015」 を公開。 また、ウェブ上で利用できる 「ｉＣＤ活用システム」を公開し、提供を開始。 成果３ ・自スキル選定機能 ・診断機能 ・資格連携機能 2015年度リリース 成果２ IT資格・試験 企業の タスク一覧 ＩＴ技術者の スキル一覧 28

活用システム（データベース）

29 活用システムでは豊富なINDEXが用意されており、iCDは必要な領域または上位階層のみで活用できる。 タスクディクショナリ スキルディクショナリ タスクプロフィール タスク 大分類 約５０ 中分類 約２００ 小分類 約５００ 評価項目 約２０００ 網羅的に参照し整理 BOKを網羅的に参照し整理 ＩＴヒューマンスキルは レベルアップの可能なものを定義 スキル定義もある程度の階層で止めて活用できる 職種 タスクディクショナリから 該当部分のみを抜き出すことができるINDEX スキルを参照するためのＩＮＤＥＸ 自社向けシステム開発・保守・運用 受託開発 組込みソフトウエア開発 Webサイト構築・運用 システム運用サービス（業務受託） システム運用サービス（ﾃﾞｰﾀｾﾝﾀ） ＩＴコンサルティング ビ ジ ネ ス タ イ プ 別 クラウドビジネス 情報セキュリティマネジメント 業 務 別 プログラムマネジメント リスクマネジメント データサイエンス（ﾋﾞｼﾞﾈｽｱﾅﾘｽﾄ） 人材開発 開 発 対 象 別 開 発 手 法 別 役 割 別 ビ ジ ネ ス タ イ プ 別 業 務 別 開 発 対 象 別 開 発 手 法 別 役 割 別 マーケティング セールス コンサルティング ＩＴアーキテクト プロジェクトマネージメント ＩＴスペシャリスト IT SS アプリケーションスペシャリスト ソフトウエアデベロップメント カスタマーサービス ＩＴサービスマネージメント エデュケーション ビジネスストラテジスト ＩＴストラテジスト プログラムマネージャ ＩＳアナリスト ＩＳアーキテクト プロジェクトマネージャ UISS アプリケーションデザイナ システムデザイナ ＩＳオペレーション ＩＳアドミニストレータ セキュリティアドミニストレータ ＩＳスタッフ ＩＳオーディタ プロダクトマネージャ システムアーキテクト(ｱﾌﾟﾘ ） プロジェクトマネージャ ブリッジＳＥ 開 発 プ ロ セス改善スペシャリスト ドメインスペシャリスト ET SS ソフトウエアエンジニア 開発環境エンジニア ＱＡスペシャリスト テストエンジニア システムアーキテクト(ﾌﾟﾗｯ ﾄﾌｫｰﾑ) 情報セキュリティ データサイエンス 情報システム部門 大規模ﾌﾟﾛｼﾞｪｸﾄ 中小規模ﾌﾟﾛｼﾞｪｸﾄ ｲﾝﾀｰﾈｯﾄ関連企業 クラウドサービス

30

情報処理技術者試験

・情報セキュリティの重要性の一層の高まりや情報セキュリティ人材が不足してい る状況を踏まえ、情報セキュリティ人材の育成に資する活動を実施。  情報セキュリティに関する知識を含め、国民全体のＩＴリテラシーの向上を図ることが必要 （世界最先端IT国家創造宣言 ※ ２０１３年６月１４日閣議決定）  情報セキュリティ人材の発掘、育成、活用を進めることが必要 （サイバーセキュリティ戦略 ※ ２０１３年６月１０日政府公表）

「iパス」をはじめとする情報処理技術者試験の

全試験区分において、

「情報セキュリティ」に関する出題の強化・拡充

を実施

iパス  情報セキュリティに関する出題比率の大幅な引 き上げ（2倍 10⇒20問程度） 基本情報技術者 試験（FE） 応用情報技術者 試験（AP）  午前試験において「中分類11 セキュリティ」の出 題比率を引き上げ  午後試験において「情報セキュリティ分野」を選 択問題から必須問題に変更 高度試験  午前Ⅰ試験（共通知識）、午前Ⅱ試験において、 「中分類11 セキュリティ」の出題比率を引き上げ  ITストラテジスト試験（ST） 、プロジェクトマネー ジャ試験（PM） において、午前II試験の出題範 囲に新たに「中分類11 セキュリティ」を追加（高度 全区分で出題） （※）ｉパスは 平成26年5月7日以降、ｉパス以外は26春試験から適用₃₁

日本における創造的人材

2015年度 未踏PM一覧

All Rights Reserved, Copyright©IPA2015 34

竹内 郁雄 氏 早稲田大学教授 東京大学名誉教授 夏野 剛 氏 慶應義塾大学 特別招聘教授 石黒 浩 氏 大阪大学 大学院 教授 後藤 真孝 氏 産総研 研究グループ長 首藤 一幸 氏 東京工業大学 准教授 藤井 彰人 氏 ＫＤＤＩ シニアマネー ジャー 統括PM

35

３. 人材育成事業

情報セキュリティ人材像の整理

36  今後必要となる情報セキュリティ人材は、 ①ホワイトハッカーのような高度セキュリティ技術者 ②安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 ③ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュリティ確保を管理する人材 セキュアなシステムの構築、サービス提供 ＩＴベンダ（Sier等） セキュリティベンダ 提 供 セキュリティ製品・ ツールの開発者 セキュリティサービス プロバイダ セキュリティ監視・運用 サービス技術者 システム 開発者 システム運用・ 保守技術者 情シス部門 事業部門 自社の製品・サービ スにセキュリティを 実装する技術者 自社システムの 開発技術者 自社システムの 運用技術者 情報システムの 利用者

ユーザー企業

委託先 高度セキュリティ 技術者（いわゆる ホワイトハッカー） 部門の情報 セキュリティ 管理者 全社の情報 セキュリティ 管理者 _{指示・協力} 指 示 ・ 協 力 ＣＩＳＯ セキュリティ_監査者

①

②

③

製品・サービスにセ キュリティを実装す る技術者

②

②

②

ホワイトハッカー養成事業

37

夏休みにｵｰﾃﾞｨｼｮﾝに受かった

学生を日本のﾄｯﾌﾟﾊｯｶｰが

集中トレーニング

セキュリティキャンプ

• グループワーク、セキュリティ有 識者による特別講義・倫理教育 の特別講義、企業プレゼン等 （約15時間） 全体講義 • それぞれの受講生が４つのト ラックから選択した講義 （約 30時間）

専門

講義

プログラム概要： 最年少(応募時) 13歳 最年長 22歳 男性 46名 女性 4名 大学生 70%（35人） 高等専門学校生 8％（4人） 専門学校生 8％（4人） 高校生 8％（4人） 中学生 6％（3人） 平均年齢 19.2歳 セキュリティ・キャンプ全国大会2015は、2015年8月11日～15日に千葉県千葉市のクロ ス・ウェーブ幕張にて開催。 全国から応募のあった228名に対して書面による審査を実施し50名が選出され、受講し ました。 受講者概要： 1日目

-開講式 (全体・専門 講義) 2日目 専門講義 専門講義 ・ 全体講義 3日目 専門講義 CTF 4日目 専門講義 専門講義 ・ 全体講義 5日目 全体講義 修了式

セキュリティキャンプ2015 概要

全国大会とは別に、若年層を対象としたサイバーセキュリティ人材育成に関心の

高い地域において「セキュリティ・ミニキャンプ（地方大会）」を開催、セキュリティ

人材育成の裾野を広げています。

●２０１４年開催実績 名古屋 2014年5月31日（土）～6月1日（日） 福岡 2014年8月29日（金）～31日（日） 東北 2014年9月13日（土）～14日（日） 北海道 2014年11月1日（土）～2日（日） 沖縄 2014年12月19日（金）～21日（日） ●２０１５年開催実績と予定 新潟 2015年5月16日（土）～17日（日） 九州（福岡） 2015年8月28日（金）～30日（日） 北陸（金沢） 2015年9月26日（土）～27日（日） 東北（仙台） 2015年 11月14日（土）～15日（日） 北海道（札幌） 2015年 12月12日（土）～13日（日） 沖縄 2015年 12月18日（金）～20日（日）

セキュリティ ミニキャンプ（地方大会）

株式会社アズジェント さくらインターネット株式会社 富士通株式会社 株式会社イーセクター 株式会社セキュアソフト 富士通エフ・アイ・ピー株式会社 伊藤忠テクノソリューションズ株式会社 ソニー株式会社 株式会社三菱総合研究所 株式会社インテリジェントウェイブ トレンドマイクロ株式会社 三菱電機株式会社 SCSK株式会社 一般財団法人日本情報経済社会推進協会 ヤフー株式会社 エヌ・ティ・ティ・コミュニケーションズ株式会社 一般社団法人日本情報システム・ユーザー協会 LINE株式会社 株式会社エヌ・ティ・ティ・データ 日本電気株式会社 株式会社ラック 株式会社オービックビジネスコンサルタント 日本電信電話株式会社 株式会社リクルートテクノロジーズ グーグル株式会社 株式会社野村総合研究所 株式会社サイバーエージェント _{パナソニック株式会社} セキュリティ・キャンプ九州実施協議会（特別会員） サイボウズ株式会社 株式会社日立製作所 独立行政法人情報処理推進機構（特別会員） 協賛企業・団体名（50音順） 全32企業・団体 平成27年7月31日 現在 ・セキュリティ・キャンプの実施に関する方針と企画立案 ・セキュリティ・キャンプに関する情報発信、広報活動 ・セキュリティ・キャンプ普及促進のための関連諸団体との連携活動 次代を担う日本発で世界に通用する若年層の情報セキュリティ人材を発掘・育 成するため、産業界、教育界を結集した講師による「セキュリティ・キャン プ」を実施し、それを全国的に普及、拡大していくことを目的とする会です。 2012年2月に設立され、現在（2015年7月）32の企業・団体が参加しています。 セキュリティ・キャンプ実施協議会は、以下を行います。

セキュリティキャンプ実施協議会

情報セキュリティマネジメント人材 （情報セキュリティを利用者側の現場で管理する者） 情報セキュリティスペシャリスト人材_{（安全な情報システムを作る者）}  安全な情報システムの構築やサービスを実現するために専門的なIT技術者については、 従来から情報処理技術者試験において情報セキュリティ分野を専門とする情報セキュリ ティスペシャリスト試験を実施。

情報セキュリティスペシャリスト

（典型的な人材像：セキュリティ技術者） 情報セキュリティ分野を専門とするIT技術者であり、情報シ ステムのセキュリティ機能を実装し、また、情報セキュリティ 技術の専門家として情報セキュリティ管理を支援する。 41 連携して 情報セキュリティ対策を実施

情報セキュリティスペシャリスト試験の概要

平成26年度 平成25年度 平成24年度 応募者数 54,981 56,452 57,944 （全体に占める 　応募者割合） (12.0%) (12.0%) （11.9%） 合格率 14.0% 13.9% 13.8% 【情報セキュリティスペシャリスト試験の応募者数等（直近3年分）】 【情報処理技術者試験における位置づけ】 【対象者像】 高度IT人材として確立した専門分野をもち、情報 システムの企画・要件定義・開発・運用・保守におい て、情報セキュリティポリシに準拠してセキュリティ 機能の実現を支援し、又は情報システム基盤を整 備し、情報セキュリティ技術の専門家として情報セ キュリティ管理を支援する者 ・標的型サイバー攻撃の増加 ・新手の不正アクセス ・新型ウィルスの出現 機密盗難・機器停止の恐れ （企業の損失拡大の恐れ） 脅威 専門家による適切な セキュリティ管理が必要 国家試験による評価 セキュリティの専門家を評価する国家試験 【出題範囲（午後）】 ○情報セキュリティシステムの企画・要件定義・開発・運用・保守に 関すること（セキュアプログラミングなど） ○情報セキュリティの運用に関すること（不正アクセス対策など） ○情報セキュリティ技術に関すること（ウイルス対策技術など） ○開発の管理に関すること（開発環境の情報セキュリティ管理など） ○情報セキュリティ関連の法的要求事項などに関すること（著作権 法、個人情報保護など） 情報セキュリティスペシャリスト試験とは・・・ _{累計合格者数 約3万人} 42

 今後必要となるセキュリティ人材のうち、ユーザー企業において、一定の技術知識を持ちつ つ、自社内で情報セキュリティ対策の実務をリードできるマネジメント人材を対象とする新試 験を創設。（平成２８年４月から実施予定。）

情報ｾｷｭﾘﾃｨﾏﾈｰｼﾞﾒﾝﾄ人材

43 情報セキュリティマネジメント人材 （情報セキュリティを利用者側の現場で管理する者） （参考） 情報セキュリティスペシャリスト人材 （安全な情報システムを作る者） （典型的な人材像：セキュリティ技術者） 情報セキュリティ分野を専門とするIT技術者で あり、情報システムのセキュリティ機能を実装 し、また、情報セキュリティ技術の専門家とし て情報セキュリティ管理を支援する。 様々な機密情報を、 各重要度やリスクを踏まえて 管理できる 情報漏えい等を 防止するための ルール作りができる メンバに対して 情報セキュリティの重要性を 教育できる 業務を委託する際、 委託先における 情報セキュリティ対策の 実施状況を確認し指導できる 情報セキュリティ上の トラブルが発生した際に、 適切な事後対応が取れる 情報システムを調達する際、 必要な情報セキュリティ要件 をまとめられる （典型的な人材像：業務部門セキュリティ管理者） 業務部門において、普段は総務や企画等を担当しつつ、情報セキュリティト ラブルの発生時には部門長やセキュリティ技術者と連携して被害の最小化 を図る。 連携して 情報セキュリティ対策を実施

44

情報セキュリティマネジメント試験の内容

 情報セキュリティマネジメント試験を通じて確認する、情報セキュリティマネジメントを行う上 で最低限必要な「知識」内容は以下のとおり。 １．情報セキュリティマネジメントの計画、情報 セキュリティ要求事項に関すること ２．情報セキュリティマネジメントの運用・継続 的改善に関すること ３．外部委託、コンプライアンス（遵守指導等） に関すること ４．（上記１～３の前提となる）情報セキュリ ティマネジメントの基礎知識に関すること ITシステム _{外部記憶媒体 事業関連情報など} ガイドラインなどを参考にして、ITシステム など情報セキュリティ対策をすべき対象を 特定し、業務継続等に配慮しつつリスク 評価を行い、戦略の立案に参画。 機密保持の 教育訓練等 機密情報等 の管理 監視 報告・相談 ・・・ 契約通りにセキュリティ対策してますか？ 勝手に再委託してないでしょうね？ 必要に応じて 規程の見直し 関連法規 ガイドライン セキュリティ 対策技術 セキュリティ 管理・監査手法 ＩＴの 基礎知識 事後対応

45

～価値を生み出すプロの力～

｢作る｣から｢創る｣へ ｢使う｣から｢活かす｣へ

ＩＴ人材白書2014

～ＩＴで“次なる世界”をデザインせよ～

新たなステージは見えているか

ＩＴ人材白書2015

ご清聴ありがとうございました。

ＩＴ人材白書２００９－２０１５

◆ＩＰＡの活動紹介。

www.ipa.go.jp

（ＩＰＡ出版物 1500円 ﾀﾞｳﾝﾛｰﾄﾞ無料）

◆本プレゼンテーションで使った統計資料