[レポート]実践的なセキュリティ人材育成の取り組み – @IT Security Live Week

セキュリティ人材の発掘や育成の課題の解決方法として、社内セキュリティコンテストを活用した方法が紹介されました。

#セキュリティ

#イベントレポート

臼田佳祐

2020.06.28

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

今回は@IT Security Live Weekというイベントのアーカイブがあるのを見かけたので聴講しました。28日まで公開されているようなので、気になる方は今すぐイベントサイトに登録して見てみてください。

この記事は以下の講演のレポートになります。

実践的なセキュリティ人材育成の取り組み

近年、セキュリティ人材の不足がさけばれていますが、企業のセキュリティ確保にはどのようなセキュリティ人材が必要なのでしょうか。必要とされる人材像とその人材の発掘、さらに企業全体のセキュリティを強化していくために必要なセキュリティ人材育成について、弊社で実際に行っている取り組みを例にご紹介します。

株式会社日立ソリューションズセキュリティプロフェッショナルセンタセキュリティアナリスト青山桃子氏

レポート

自己紹介
- ホワイトハッカーチーム所属
  - セキュリティ専門技術者で構成された部隊
  - 社内向け技術支援やセキュリティ人材育成
  - 現場に指示を出すわけではなく手を動かす
  - 青山氏はフォレンジックやマルウェア解析などを行う
  - パケットキャプチャが好き
- 外部ではセミナーやトレーニングなどを行っている
  - CTF for GIRLSなど
今回は社内向けの人材育成の取組を紹介する

1. セキュリティ人材育成の現状と課題

我が国の情報セキュリティ人材の状況
- 2020年には情報セキュリティ人材が19.3万人不足すると予想(2016年6月経済産業省)
  - 我が国のサイバーセキュリティ人材の現状について
- 実際はどうなっているのか？
- NRI Secureの2019年の調査では、日本では9割近く不足しているとなっている
  - NRI Secure Insight 2019
どのような人材が不足しているのか
- 引き続きNRI Secure Insight 2019から上位5つ
- 最も不足しているのは「セキュリティ戦略・企画を策定する人」
  - これは自社のビジネスを理解している必要があるため、自社で抜擢するべき
- 2,3位の「セキュリティリスクを評価・監査する人」「ログを監視・分析する人」はアウトソース可能
  - 第三者的な視点や技術が細分化されたセキュリティ技術が必要になるため、外出しが合理的になることも
- 4,5位の「インシデント対応・指揮をする人」「関係部署と調整しつつ、対策を推進・統括する人」は自社で対応すべき
  - これも自社の理解が必要
  - 事業継続の判断なども必要になる
日本ではこのようなセキュリティ人材をどう確保したいか
- IPAのIT人材白書2019から
- 「社内の人材を育成して確保する」が一番多い
- ビジネスとセキュリティ両方を理解して推進できる人間を社内から確保したいと考えられる
- 昔はセキュリティは有事の際にしか役に立たないと思われることが多かったが、近年ではセキュリティ事故の報道も多く対策の重要性や人材育成の重要性も感じられるようになってきた
- ただ相変わらずセキュリティの予算がという話がよく聞かれる
求められるセキュリティ人材像モデル
- IT企業とユーザー企業ではモデルがことなる
- IT企業はセキュリティスペシャリスト、その上にトップガンというセキュリティに付いて高度で専門的な技術・知識を保有した人材がいる
- ユーザー企業にはトップガンとまでは必要ではないかもしれないが、ビジネスとセキュリティを両方理解したセキュリティ責任者が必要
- 実際に手を動かすところは外部に依頼している企業も多い
- しかし外部に依頼するにしても社内にセキュリティの知識を持った人材がいないといけない
- セキュリティ責任者は誰を、どう育成するか
日立ソリューションズでは社内の人材を発掘する取り組みを開始
- 発掘して専用の技術を学べたり活かせる部署に異動
セキュリティはトップだけ持っていればいいわけではない
- JNSAの情報セキュリティインシデントに関する調査報告書
- 紛失・置忘れ、誤操作、管理ミスのようなヒューマンエラーが約7割
- セキュリティ事故の対策として企業は大きく3つのコントロールがある
  - 管理コントロール
  - 物理コントロール
  - 技術コントロール
- 物理と技術は物やシステムに鍵をかけるなど
- 管理コントロールは規則
  - 規則を守らせる
  - 社員に徹底する
  - 徹底させる方法はセキュリティ教育がメインだが、評価は難しい
  - 標的型攻撃訓練などがある
    - 社内規定どおりに対応ができるか
対策をどうしていけばいいか
- 実践的な教育による知識の定着
- 知識を習慣化する
- 座学で知識の壁を越えるだけではなく、行動の壁を超える必要がある
- 実践的な教育で越えさせる
実践的なセキュリティ教育の広がり
- NICTが提供する実践的サイバー防御演習「CYDER」など
- 日立ソリューションズでもサイバー防御訓練サービスを提供
セキュリティ人材育成の課題解決の取り組み
- 優れたセキュリティ人材発掘と実践的なセキュリティ教育が必要
- 社内セキュリティコンテストを実施した

2. 社内セキュリティコンテスト

CTF(Capture The Flag)
- コンピューターセキュリティ技術の競技
- クイズ形式の課題をセキュリティの知識や専門ツールでの解析技術で解決(jeopardy)
- 問題は実際の業務に即したシチュエーションを想定
- 日立ソリューションズと日立ソリューションズ・クリエイトを中心に運営
CTFはセキュリティ業界では有名なコンテスト
- 世界最大のCTFはDEFCON CTF
- 日本ではSECCON CTFが有名
- 様々な団体がオープンに開催したり、企業で開催したりもしている
2種類のコンテスト形式
- セキュリティスキルコンテスト
  - 全社向け・個人戦
  - ITを利用する人やシステム設計・開発・運用などを行うエンジニア
- ハッキングスキルコンテスト
  - 専門技術者向け・団体戦
- 求められる知識に沿って分けている
- ねらい
  - 実際に操作することで学ぶ
  - 攻撃者の視点を持つことで守り方も習得する
セキュリティスキルコンテストの問題例
- メールに添付したファイル(パスワード付きzip)のパスワードを解析してください
  - わざと脆弱なパスワードを設定
  - 作成時の年月日など
  - パスワード解析ソフトなどが活用できる
- 実際に起こりうるストーリー仕立て
- どうしたらいいかを考える切っ掛けになる
ハッキングスキルコンテストの問題例
- Webページに対しSQLインジェクション攻撃を行ってください
  - わざと脆弱性をもたせたWebページ
- 開発者などのエンジニアでも名称は知っていても実際にやったことがある人は少ないのでは？
- 危険性を理解したり、現場の対策の検討、妥当性の判断などに役立つ
実環境で行うと犯罪になることもあるので、環境を用意して実践することが大切
社内セキュリティコンテストの運営
- 必要な要件
  - セキュリティ知識・技術を持っていて問題を作成できる
  - CTF大会開催に関するノウハウを持っている
- 日立ソリューションズでは社内のボトムアップで企画立案
- ユーザー企業では問題の作成が難しいこともあるので外部サービスの利用もいいのでは
セキュリティコンテストの成果
- 上位の成果があるメンバーに対して人材育成プログラムを適用した
- 活用事例
  - 製品開発 -> 自動運転のセキュリティ設計
  - 公共案件のシステム開発者 -> AI研究
  - 通信システムの保守 -> アジャイル開発
- セキュリティ以外も含めた人材発掘ができた
- 参加者アンケートもよかった
成果のまとめ
- セキュリティ技術力の向上・可視化
- セキュリティに対する意識の向上
  - 若手技術者のモチベーションも向上
- 人材発掘
  - セキュリティに限らず優れたIT知識を持つ人材を発掘
セキュリティコンテスト以外の人材育成施策
- 社内では若年層向けサイバーセキュリティ技術者育成プログラムを開始した
- 産業サイバーセキュリティセンターの中核人材育成プログラムもある