情報セキュリティ人材に 求められるもの

1

Copyright © 2019 N.F.Laboratories Inc.

Your Security Partner

情報セキュリティ人材に

求められるもの

2019年 7月 22日

NFLabs. CEO 小山 覚

Copyright © 2019 N.F.Laboratories Inc.

2

本日のお話し（頂いたお題）

１．自己紹介＋会社紹介

２．現在の課題「サイバー攻撃対策」

３．サイバー攻撃対策としての人材育成について

東京オリンピック・パラリンピックを翌年に控え、（中略）どのよう

なさしせまった課題があるのか、どのような対応が求められるのか？

Copyright © 2019 N.F.Laboratories Inc.

3

1988年 NTT入社

「インフラ屋」として育つ

1988年～ 建設工事センタで電柱やケーブル工事の毎日

1991年～ 関西空港や高速道路、ニュータウンの建設ラッシュ、都市計画

と連動した電話基盤の設計と工事調整

Copyright © 2019 N.F.Laboratories Inc.

4

1995年 西宮支店線路保全係長

5

Copyright © 2019 N.F.Laboratories Inc.

復旧作業を経験して

人の役に立つ仕事の喜び

通信で人を

繋げることの重要性

電話は故障、

インターネットは繋がっていた

!?

OCNの立ち上げに参加することに

インターネットは

ワクワクするような世界だった

しかし、電話網では当然の

セキュリティが無かった

Copyright © 2019 N.F.Laboratories Inc.

6

なぜいま新会社を設立したのか？

コンサル

運用

サービス

プロダクト

システム構築

コンサル

運用

（CSIRT/プラ

イベートSOC）

サービス

プロダクト

（MSS）

システム構築

64%

168%

23%

16%

2017年

2018年

デジタル社会を支え

るセキュリティ人材

の育成が急務

7

Copyright © 2019 N.F.Laboratories Inc.

合弁による会社設立

お客様と共に成長 ＝ デジタル社会の安全安心に貢献しつづける

NTT×

FFRI

×お客様

8

Copyright © 2019 N.F.Laboratories Inc.

NFLabs.の事業概要

出資会社社員

新卒・中途採用

採用 出向等

教育

研修

事業

派遣型アウト

ソーシング事業

業務受託

事業

教育

研究開発

研究開発

派遣型アウトソーシング事業

教育研修事業

業務受託事業

•

一定レベルの人材は実案件に参加、更なる

スキル習得を図った上で、2020オリパラ

等ナショナルセキュリティ案件対応を行う

•

研究開発成果や社内教育コンテンツ等を活

用した高度セキュリティ人材育成のための

教育・研修サービスを提供する

•

CSIRT／SOCの常駐型業務受託や、個社向

けサービス／ソリューションを提供する

•

セキュリティ関連の調査研究案件など

•

攻撃手法の研究開発などを通じた実践的ス

キル習得、研究開発成果の収益事業への展

開・事業支援等を行う

9

Copyright © 2019 N.F.Laboratories Inc.

高度セキュリティ人材育成

スパイラルアップ

研修等によるスキル習得

実案件対応による

活きたノウハウ・技術の習得

セキュリティ技術スキル

のスパイラルアップ曲線

スキルの幅

スキルの高さ

ナショナルセ

キュリティ

オリンピッ

ク関連

企業案件

人材供給 人材供給

新卒/中途採用

指導者（技術者）

新卒/中途採用

指導者（技術者）

10

Copyright © 2019 N.F.Laboratories Inc.

目指してほしい人物像

1. 技術・開発手法・インフラに対する正しい理解と実践力がある

2. 新しい技術や情報を常に追いかけ、仕事にも取り込み活かしている

3. 現状に留まらず常に改善を考え、手を動かし続けている

4. いかに自動化して仕事を楽をするかを、常に考え実践している

5. 他人がまねが出来ない、ずば抜けた技術や知識を持っている

6. チームの成果を考え、個人的なアウトプットもすごい

7. お客様や仲間に感謝の気持ちを伝えられる・オアシス

Copyright © 2019 N.F.Laboratories Inc.

11

本日のお話し

１．自己紹介＋会社紹介

２．現在の課題「サイバー攻撃対策」

Copyright © 2019 N.F.Laboratories Inc.

12

メールサーバ

User A UserB UserC

Webフィルタリング

Mail サンドボックス

Webサンドボックス

スパムフィルタ

アンチウイルス

感染による活動

悪性サイト

プロキシ(ID/PW認証)

EDR

企業ネットワーク

標的型攻撃に対する対策事例

攻撃メール

Copyright © 2019 N.F.Laboratories Inc.

13

SOC

脅威ベースのペネトレーションテストの実施

Red Team

Blue Team

White Team

社内対象組織

調整・管理

調整・管理

攻撃

検知

Threat Intelligence

Provider

調査

脅威シナリオ

システム

_社員

ダーク

Web

公開

サイト

CSIRT

Copyright © 2019 N.F.Laboratories Inc.

14

本日のお話し

１．自己紹介＋会社紹介

２．現在の課題「サイバー攻撃対策」

３．サイバー攻撃対策としての人材育成に

ついて

Copyright © 2019 N.F.Laboratories Inc.

15

人材像

説明

セキュリティコンサルタント

セキュリティエンジニアリングの上流に位置し、経営課題や業務要件から、セキュリティに関するシステム 仕様や運用仕様の方針を策定する。

セキュアシステムプランナー

求められるセキュリティ要件を満たすシステムやアプリケーションの上流設計を担当する。対象領域は、シ ステムアーキテクチャー、ネットワーク、サーバ、アプリケーション、データベースなど。

セキュアシステムデベロッパー

セキュアシステムプランナーのアウトプットを引き継ぎ、セキュリティ要件を満たすシステム基盤の開発を 担当する。対象領域は、システムアーキテクチャー、ネットワーク、サーバ、データベースなど。

セキュアアプリケーションデベロッパー

セキュアシステムプランナーのアウトプットを引き継ぎ、セキュリティ要件を満たすアプリケーションの開 発を担当する。対象領域はアプリケーション、データベースアクセスなど。

セキュリティマネージャー

ISMSに代表されるセキュリティマネジメントシステムの整備および運用を担当する。

セキュリティオーディター

ISMSに代表されるセキュリティマネジメントシステムのマネジメント監査を担当する。

システムリスクアセッサー

対象のICTシステムが直面するセキュリティリスクを分析し、適切なセキュリティ対策選択の指針を示す。

ペネトレーションテスター

対象のICTシステムに対して攻撃者視点で攻撃を試み、ICTシステムの弱点（脆弱性や危険性等）を把握し 報告する。

ネットワークリスクアセッサー

対象のICTシステムが直面するセキュリティリスクを分析し、適切なセキュリティ対策選択の指針を示す。

リサーチャー

セキュリティ技術に関する各種の研究を行う。

フォレンジックエンジニア

セキュリティインシデント発生時に、コンピュータ・フォレンジックプロセスに基づく詳細な調査を実施する。すでに侵害されたディスクイメージなどを採取し、また取得したイメージなどを解析し、攻撃者によっ ていつどのようなことが行われたのか解析を実施する。

インテリジェンスアナリスト

セキュリティに関する外部情報を収集・分析し、ICTシステムへの影響度を把握する。また、インシデント 発生時にその背景などを分析し、インシデントの重大性に対する判断材料を提供する。

インシデントレスポンダー

セキュリティインシデントへの１次対処を行う。必要に応じて、インシデントハンドラーなどの他の人材像 へのエスカレーション・引継ぎを行う。

セキュリティオペレーター

ICTシステムのセキュリティに関連する運用を担当する。

統合セキュリティ人材モデル

※ NEC・日立・富士通が策定した、サイバーセキュリティ技術者の共通人材モデル「統合セキュリティ人材モデル」を一部加工

セキュリティ人材が行う業務とは？

Copyright © 2019 N.F.Laboratories Inc.

16

トップ

マネジメント

ミドル

マネジメント

ロワー

マネジメント

テクニカル

スキル

ヒューマン

スキル

コンセプチャル

スキル

管理職に必要とされる３つのスキル

（ロバート・カッツが提唱したモデル）

Copyright © 2019 N.F.Laboratories Inc.

17

1. ロジカルシンキング：物事を理論的に整理したり説明したりする能力

2. ラテラルシンキング：既成概念にとらわれることなく、自由に発想できる能力

3. クリティカルシンキング：物事を分析的に捉え、思考する能力

4. 多面的視野：課題に対して複数のアプローチを行える能力

5. 柔軟性：トラブルに対しても臨機応変に対応できる能力

6. 受容性：自分とは異なる価値観を受け入れられる能力

7. 知的好奇心：未知のものに対して興味を示し、自ら取り入れることができる能力

8. 探究心：物事に対して深い興味を示し、問題の深部まで潜り込める能力

9. 応用力：ひとつの知識・技術を他の問題にも適用できる能力

10. 洞察力：物事の本質を正しく見極める能力

11. 直感力：物事を感覚的に捉え、瞬時に反応する能力

12. チャレンジ精神：困難な課題や未経験分野でも、果敢に挑戦し行動を起こせる能力

13. 俯瞰力：物事の全体像を正確に把握する能力

14. 先見性：まだわからないことに対して、早い段階から結果を予測できる能力

セキュリティ人材にも必要とされるコンセプチャルスキル

参考：https://mitsucari.com/blog/conceptual_skill/

Copyright © 2019 N.F.Laboratories Inc.

18

トップ人材

セキュリティ人材に必要とされる

３つのスキルと情熱

＋

テクニカル

スキル

ヒューマン

スキル

コンセプチャル

スキル

情熱

Copyright © 2019 N.F.Laboratories Inc.

19

セキュリティ

人材に必要なもの

心：正義感・倫理観・

情熱

技：３つのスキル

Copyright © 2019 N.F.Laboratories Inc.

20

N

F

Labs.

が行う人材育成とは？

CSIRT等での業務経験

※ 本番業務を正規メンバとして経験

高度セキュリティ研修

※ 専門スキルを習得

IT基礎スキルの習得

ITセキュリティ基礎知識の習得

Off-JT

Off-JT

OJT

情熱度

Copyright © 2019 N.F.Laboratories Inc.

21

情報セキュリティの方程式

Copyright © 2019 N.F.Laboratories Inc.

Your Security Partner