2019 年 7 月 国家資格 情報処理安全確保支援士 がわかる! 制度説明会 セキュリティの実態から紐解く必要な人材像 - 登録セキスペへの期待と役割 - 情報処理安全確保支援士集合講習講師藤井仁志

セキュリティの実態から紐解く必要な人材像

集合講習講師 藤井仁志

国家資格『情報処理安全確保支援士』がわかる！制度説明会

2019年7月

登録セキスペへの期待と役割

-情報処理安全確保支援士

Agenda

1.セキュリティリスクに対する認識と実態

2.日本のセキュリティに関する課題と対応

3.登録セキスペへの期待と役割

世界の経営者はVUCA時代をどう認識しているか？

サイバー攻撃の影響は感染症より大、発生可能性は資産バブルより大

サイバー攻撃 感染症の広がり 主要国における資産バブル 大量破壊兵器 テロ攻撃 （出典）https://jp.weforum.org/reports/the-global-risks-report-2019

情報漏洩を自ら発見するのは困難、インシデント未発見期間は数か月の単位

情報漏えいを発見する主体

法的機関 第三者 不正利用検知 内部

出典: Verizon 2016 Data Breach Investigation Report

70%を超える情報漏えいが法的機関や外部

の専門家による指摘にて発覚

インシデントの所要時間

秒 分 時 日 週 月 年 感染（対象＝127） 発見（対象＝390） 侵入（対象＝140） 脱出（対象＝87）

出典: Verizon 2019 Data Breach Investigation Report 攻撃者は自由に行動

機械学習を応用したセキュリティ製品の登場で人材不足解消とはならず

サイバー攻撃情報の収集・分析

• 表層Web解析（SNS、セキュリティブログ・レポートなど） • 深層Web解析（ダークマーケット、ダークフォーラムなど）

不正侵入検知

(IDS/IPS)

• 異常検知 • 攻撃分類・検知 • ハニーポット観測・分析 （出典）https://www.darpa.mil/program/cyber-grand-challenge

Webベース攻撃検知

• 悪性サイト・悪性スパムメール検知 • 悪性JavaScript検知

広域攻撃観測・ダークネット分析

• 異常検知 • 攻撃分類・検知 • ボットネットの活動検知・分析

マルウエア解析(静的/動的)

• マルウエア検知・分類

AI、IoTの発展が新たな脅威を“実世界”にもたらす

AIエンジン

（学習・予測・推奨）

AIエンジン

（状態・行動認識）

センサーログ ケア履歴 ケア提案 クラウドサービス AIモデル撹乱・盗取 データ改ざん データ改ざん 個人情報/機微情報盗取

AIとIoTで実現する新たなケアサービスの一例

必要な専門性は高度化・多様化する、だからチームで対処

ウイルス対策 IPS/IDS 検疫NW AI・SOAR サンドボックス解析 脅威インテリジェンス IAM・SSO FW

監

視

に

必

要

な

専

門

性

NW OS システム構成 マルウェア解析 脅威情報

高度化・多様化するセキュリティ人員の専門性

※ IPA - 情報セキュリティ人材不足数等に関する追加分析について API・マイクロサービス

今後、データ・デジタルを重視すると倫理は今以上に重視されるべき

医師の倫理・任務などについての、ギリシア神への宣誓文。

現代の医療倫理の根幹を成す患者の生命・健康保護の

思想、患者のプライバシー保護のほか、専門家としての尊

厳の保持、徒弟制度の維持や職能の閉鎖性維持なども

謳われている。

ヒポクラテスの誓い （出典）https://www.kantei.go.jp/jp/singi/tougou-innovation/dai4/siryo1-1.pdf （出典） https://ja.wikipedia.org/wiki/%E3%83%92%E3%83%9D%E3%82%AF %E3%83%A9%E3%83%86%E3%82%B9%E3%81%AE%E8%AA%93 %E3%81%84

Agenda

1.セキュリティリスクに対する認識と実態

2.日本のセキュリティに関する課題と対応

3.登録セキスペへの期待と役割

日本のセキュリティは低予算、人不足が課題

0％ 20％ 40％ 60％ 80％ 100％ 【凡例】 10％未満 10％以上 不明

IT予算に占めるセキュリティ予算の割合（％）

経営層がCISO セキュリティ人材の_不足

35.5

%

71.2

%

68.5

%

70.5

%

71.8

%

86.9

%

16.2

%

10.6

%

14.3

%

10.4

% https://www.nri-secure.co.jp/report/2018/analysis_global2018.htmlを基に作成

インシデント対応とセキュリティ企画の要員不足が人材面の課題

57% 53% 44% 0% 20% 40% 60% ログを監視・分析して危険な兆候をい ち早く察知できる セキュリティ戦略・企画を策定する インシデントへの対応・指揮ができる 日本（n=93)

自組織に不足していると考える人材種別

セキュリティ担当者として最も困っていること

セキュリティインシデント発生

時の緊急対応

自社セキュリティ対策の遅れ

（最新技術・動向の未反映）

グループ会社・国内外拠点

のセキュリティ統制・管理

サイバー攻撃高度化への

対応

https://www.nri-secure.co.jp/report/2018/analysis_global2018.htmlを基に作成

サイバーセキュリティ戦略・サイバーセキュリティ2018

新たなサイバーセキュリティ戦略(2018年７月)は、2020年以降の目指す姿も念頭に、我

が国の基本的な立場等と今後３年間（2018年～2021年）の諸施策の目標及び実

施方針を国内外に示すもの。サイバーセキュリティ2018は、同戦略に基づく初めての年次

計画であり、各府省庁はこれに基づき、施策を着実に実施。

目的達成のための施策

サイバーセキュリティ人材育成取組方針

（出典）https://www.nisc.go.jp/conference/cs/jinzai/dai09/pdf/09shiryou0201.pdf

経営層

戦略マネジメント層

実務者層・技術者層

• ビジネスやサービスの着実な遂行 （任務保証）が重要 • 事業継続と価値創出のためのリ スクマネジメントの一環として、対 策を推進 • 事業継続と価値創出に係る リスクマネジメントを中心となって 支える役割 • 経営層の方針を踏まえた対策 立案、実務者・技術者の指揮 • 方針を踏まえたセキュリティ対策の 企画・構築・実施

役割

課題

• リスクマネジメントに向けた、経営層 の理解と意識改革の推進 • 業種・業態の違いを踏まえた、サイ バーセキュリティの位置付けの明確 化とリスクマネジメントの浸透 • 取組に対する経営上のインセンティ ブ付与 • マネジメント機能の中でサイバー セキュリティリスクの考慮 • 戦略マネジメント層向けの適切 な教材やプログラムが存在しない • 経営層・戦略マネジメント層を支 え、他の専門人材とチームの一員 として対処できる人材の育成 • 新たな技術やシステム開発手法 の知識・スキルの育成

Agenda

1.セキュリティリスクに対する認識と実態

2.日本のセキュリティに関する課題と対応

3.登録セキスペへの期待と役割

登録セキスペはセキュリティ専門職、実務者・戦略マネジメント層をカバー

（出典）

経営層

戦略マネジメント層

実務者層・技術者層

演習

教育

資格・

評価基準

NISC 重要インフラ分野横断演習

金融庁Delta Wall III演習

警察庁重要インフラ業者等との共同対処訓練 IPA産業サイバーセキュリティセンター責任者向け短中期プログラム NICT CYDER、サイバーコロッセオ 東京電機大 Cysec IPA産業サイバーセキュリティセンター中核人材育成プログラム IPA情報処理安全確保支援士 IPA情報セキュリティマネジメント試験

セキュリティ人材の活躍が期待される場所

システム技術者

実務者・利用者・経営者

システム・サービス仕様

トレンドの変化

先端ITの利活用 セキュリティの社会認識 セキュリティ仕様 解消したい課題・ニーズ セキュリティ課題・ニーズ 通信 工学 情報学 システム工学 ・・・ 計算機科学 経営学 経済学 法学 ・・・ 政治学 ③ギャップの最適化 ①課題・ニーズの具体化 ②仕様の具体化 ④仕様に従った 実装・運用

セキュリティ人材に期待される役割

③

ギャップの最適化

①

課題・ニーズの具体化

②

仕様の具体化

④

仕様に従った実装・

運用

• 法令、業界ガイドライン等を踏まえ、セキュリティとして取り組むべき課題・ニーズを具体化 できる。 • セキュリティ課題・ニーズ解消の必要性を訴求し、人、予算の確保も含め関係者との合 意形成できる。 • 法制、セキュリティガイドライン等を踏まえ、システム・サービスの仕様に取り込むべきセキュリ ティの仕様を具体化できる。 • 新たなIT利活用、新技術、セキュリティに対する社会認識の変化を捉え、自組織に必 要・不要なセキュリティの仕様を選択し、システム・サービス仕様との整合性が確保できる。 • 課題・ニーズとセキュリティ仕様を双方向で擦り合わせし、ギャップを明確にできる • ギャップがもたらすリスクを具体化し、対策の採否・優先度を課題・ニーズと仕様の双方 から検討・調整できる。 • 調整結果をもとに、セキュリティ人材以外への説明、合意形成ができる。 • セキュリティに関する技術力を活かし、システム・サービスにセキュリティ仕様を実装すること ができる。 • 技術力を活かし実装したものが期待通りに動作するよう運用し、仕様通りに動作しない 時（障害発生時）や、仕様では想定していないがシステム・サービスの安心・安全を脅 かす時（インシデント発生時）に速やかにその影響を排除し、 その原因を解明し、再発防止ができる。

セキュリティ人材への将来・期待は多様、登録セキスペはゴールでありスタート

• 人材の可視化

• 安心感の提供

専

門

性

の

進

化

・

深

化

専門性の広域化

＋ ・・・ ・・・ 会計 法務 _広報 従来IT・先端技術との組 み合わせ 企業・組織運営に必要な技 術との組み合わせ

試験合格者＝レベル４の実力あり

トップガン人材

登録

CISO

セキュリティにも強い経営者

✓講習・研修の受講 ✓実務経験 ✓サイバー演習 ✓CTF、 ✓外部発表 等 ＋ ＋ AI ✓IT戦略 ✓アーキテクチャ ✓PM ✓システム開発 ✓システム運用 ✓ネットワーク ・・・

（参考）セキュリティ関連の年俸は幅広く、上限も他職より高い傾向

500 800 1100 1400 1700 2000 単位：万円 情報セキュリティ （銀行・証券・投信以外のサービス） プロジェクト・プログラムマネージャー （銀行・証券・投信以外のサービス） データアナリスト・サイエンティスト （銀行・証券・投信以外のサービス） セキュリティ・エンジニア （ベンダー・コンサルティング） システム・エンジニア （ベンダー・コンサルティング） RPAコンサルタント （ベンダー・コンサルティング） （出典）https://www.robertwalters.co.jp/content/dam/robert-walters/country/japan/files/salary-survey/J-Book2019.pdfより一部抜粋

転職会社調査結果（2019）にみる国内正社員年俸レンジの一例