セキュリティの実態から紐解く必要な人材像
集合講習講師 藤井仁志
国家資格『情報処理安全確保支援士』がわかる!制度説明会
2019年7月
登録セキスペへの期待と役割
-情報処理安全確保支援士
Agenda
1.セキュリティリスクに対する認識と実態
2.日本のセキュリティに関する課題と対応
3.登録セキスペへの期待と役割
世界の経営者はVUCA時代をどう認識しているか?
サイバー攻撃の影響は感染症より大、発生可能性は資産バブルより大
サイバー攻撃 感染症の広がり 主要国における資産バブル 大量破壊兵器 テロ攻撃 (出典)https://jp.weforum.org/reports/the-global-risks-report-2019情報漏洩を自ら発見するのは困難、インシデント未発見期間は数か月の単位
情報漏えいを発見する主体
法的機関 第三者 不正利用検知 内部出典: Verizon 2016 Data Breach Investigation Report
70%を超える情報漏えいが法的機関や外部
の専門家による指摘にて発覚
インシデントの所要時間
秒 分 時 日 週 月 年 感染(対象=127) 発見(対象=390) 侵入(対象=140) 脱出(対象=87)出典: Verizon 2019 Data Breach Investigation Report 攻撃者は自由に行動
機械学習を応用したセキュリティ製品の登場で人材不足解消とはならず
サイバー攻撃情報の収集・分析
• 表層Web解析(SNS、セキュリティブログ・レポートなど) • 深層Web解析(ダークマーケット、ダークフォーラムなど)不正侵入検知
(IDS/IPS)
• 異常検知 • 攻撃分類・検知 • ハニーポット観測・分析 (出典)https://www.darpa.mil/program/cyber-grand-challengeWebベース攻撃検知
• 悪性サイト・悪性スパムメール検知 • 悪性JavaScript検知広域攻撃観測・ダークネット分析
• 異常検知 • 攻撃分類・検知 • ボットネットの活動検知・分析マルウエア解析(静的/動的)
• マルウエア検知・分類AI、IoTの発展が新たな脅威を“実世界”にもたらす
AIエンジン
(学習・予測・推奨)
AIエンジン
(状態・行動認識)
センサーログ ケア履歴 ケア提案 クラウドサービス AIモデル撹乱・盗取 データ改ざん データ改ざん 個人情報/機微情報盗取AIとIoTで実現する新たなケアサービスの一例
必要な専門性は高度化・多様化する、だからチームで対処
ウイルス対策 IPS/IDS 検疫NW AI・SOAR サンドボックス解析 脅威インテリジェンス IAM・SSO FW監
視
に
必
要
な
専
門
性
NW OS システム構成 マルウェア解析 脅威情報高度化・多様化するセキュリティ人員の専門性
※ IPA - 情報セキュリティ人材不足数等に関する追加分析について API・マイクロサービス今後、データ・デジタルを重視すると倫理は今以上に重視されるべき
医師の倫理・任務などについての、ギリシア神への宣誓文。
現代の医療倫理の根幹を成す患者の生命・健康保護の
思想、患者のプライバシー保護のほか、専門家としての尊
厳の保持、徒弟制度の維持や職能の閉鎖性維持なども
謳われている。
ヒポクラテスの誓い (出典)https://www.kantei.go.jp/jp/singi/tougou-innovation/dai4/siryo1-1.pdf (出典) https://ja.wikipedia.org/wiki/%E3%83%92%E3%83%9D%E3%82%AF %E3%83%A9%E3%83%86%E3%82%B9%E3%81%AE%E8%AA%93 %E3%81%84Agenda
1.セキュリティリスクに対する認識と実態
2.日本のセキュリティに関する課題と対応
3.登録セキスペへの期待と役割
日本のセキュリティは低予算、人不足が課題
0% 20% 40% 60% 80% 100% 【凡例】 10%未満 10%以上 不明IT予算に占めるセキュリティ予算の割合(%)
経営層がCISO セキュリティ人材の不足35.5
%71.2
%68.5
%70.5
%71.8
%86.9
%16.2
%10.6
%14.3
%10.4
% https://www.nri-secure.co.jp/report/2018/analysis_global2018.htmlを基に作成インシデント対応とセキュリティ企画の要員不足が人材面の課題
57% 53% 44% 0% 20% 40% 60% ログを監視・分析して危険な兆候をい ち早く察知できる セキュリティ戦略・企画を策定する インシデントへの対応・指揮ができる 日本(n=93)自組織に不足していると考える人材種別
セキュリティ担当者として最も困っていること
セキュリティインシデント発生
時の緊急対応
自社セキュリティ対策の遅れ
(最新技術・動向の未反映)
グループ会社・国内外拠点
のセキュリティ統制・管理
サイバー攻撃高度化への
対応
https://www.nri-secure.co.jp/report/2018/analysis_global2018.htmlを基に作成サイバーセキュリティ戦略・サイバーセキュリティ2018
新たなサイバーセキュリティ戦略(2018年7月)は、2020年以降の目指す姿も念頭に、我
が国の基本的な立場等と今後3年間(2018年~2021年)の諸施策の目標及び実
施方針を国内外に示すもの。サイバーセキュリティ2018は、同戦略に基づく初めての年次
計画であり、各府省庁はこれに基づき、施策を着実に実施。
目的達成のための施策
サイバーセキュリティ人材育成取組方針
(出典)https://www.nisc.go.jp/conference/cs/jinzai/dai09/pdf/09shiryou0201.pdf経営層
戦略マネジメント層
実務者層・技術者層
• ビジネスやサービスの着実な遂行 (任務保証)が重要 • 事業継続と価値創出のためのリ スクマネジメントの一環として、対 策を推進 • 事業継続と価値創出に係る リスクマネジメントを中心となって 支える役割 • 経営層の方針を踏まえた対策 立案、実務者・技術者の指揮 • 方針を踏まえたセキュリティ対策の 企画・構築・実施役割
課題
• リスクマネジメントに向けた、経営層 の理解と意識改革の推進 • 業種・業態の違いを踏まえた、サイ バーセキュリティの位置付けの明確 化とリスクマネジメントの浸透 • 取組に対する経営上のインセンティ ブ付与 • マネジメント機能の中でサイバー セキュリティリスクの考慮 • 戦略マネジメント層向けの適切 な教材やプログラムが存在しない • 経営層・戦略マネジメント層を支 え、他の専門人材とチームの一員 として対処できる人材の育成 • 新たな技術やシステム開発手法 の知識・スキルの育成Agenda
1.セキュリティリスクに対する認識と実態
2.日本のセキュリティに関する課題と対応
3.登録セキスペへの期待と役割
登録セキスペはセキュリティ専門職、実務者・戦略マネジメント層をカバー
(出典)経営層
戦略マネジメント層
実務者層・技術者層
演習
教育
資格・
評価基準
NISC 重要インフラ分野横断演習
金融庁Delta Wall III演習
警察庁重要インフラ業者等との共同対処訓練 IPA産業サイバーセキュリティセンター責任者向け短中期プログラム NICT CYDER、サイバーコロッセオ 東京電機大 Cysec IPA産業サイバーセキュリティセンター中核人材育成プログラム IPA情報処理安全確保支援士 IPA情報セキュリティマネジメント試験