セキュリティ人材が最優先すべきはシステムの「可用性」

2024年2月15日、弊社主催のオンラインセミナー「調査結果から紐解く、企業・組織が抱えるセキュリティ人材不足とリテラシー向上のために取り組むべき対策とは」が開催されました。本イベントの冒頭では立命館大学 情報理工学部 教授 上原哲太郎氏が登壇し、「企業におけるセキュリティ人材の育て方」と題した講演で、今日多くの企業が頭を悩ませる「セキュリティ人材の育成」について数々の提言を行いました。

サイバー攻撃のリスクに企業が対処していく上では、高度なスキルと経験を持つセキュリティ人材を社内に確保できればもちろん理想的ですが、そもそもセキュリティ対策のために十分な予算や体制を用意できない企業がセキュリティのエキスパートを雇用したとしても、その能力を十分に発揮させることは困難です。そのため実際には、自社の要件を最低限満たせる人材を社内で育成するのが現実解となるでしょう。

そうした人材がまず真っ先にカバーすべき領域について、上原氏はシステムの「可用性」を挙げます。

「情報セキュリティとは、情報の『機密性』『完全性』『可用性』を守るための活動を指しますが、多くの場合は個人情報漏えいの防止をはじめとする機密性の担保ばかりが話題に挙がります。しかし機密性も安全性も、最終的にはシステムを安定運用させてビジネスの可用性を担保することが目的です。従って、万が一インシデントが発生してシステムの運用が滞ってしまった場合に備えて、短期間のうちに暫定運用に移行してビジネスの可用性を高められる人材と体制を準備しておくことが重要です」

具体的には、インシデント発生確率を最小限に留めると同時に、インシデント発生時に緊急時対応を速やかに行い、被害を最小限に抑えられる人材が何より求められます。それと同時に、セキュリティ対策の強化によって業務効率が過度に低下することを避け、業務現場の理解を得ながらセキュリティの啓蒙が行えるような人材が必要とされています。

セキュリティ運用を内製化することで迅速な対応を可能にする

一方で、「ユーザー企業にそこまでシステムに詳しい人材が必要か?」「システムはどうせ外注して作ってもらうのだから、運用もインシデント対応も外注すればいいのでは?」と考える企業も決して少なくありません。こうした考え方に対して上原氏は、システム運用やインシデント対応をむやみにアウトソースすることのリスクについて次のように警鐘を鳴らします。

「業務を長期間に渡って丸ごとアウトソーシングしていると自社に業務ノウハウが残らず、ブラックボックス化してしまうので、特定のベンダーに頼り切りの『ベンダーロックイン』状態に陥ってしまいます。一方ベンダー側も、請け負った業務をさらに下請けに委託することが多く、多重下請け構造に陥った挙句にやはり業務の内容を把握できなくなったり、いざというときに迅速な対応がとれなくなってしまいます」

こうした状況に陥らないためには、やはりセキュリティ対策やインシデント対応を含むシステム運用の業務を外部から自社の手に取り戻し、内製に回帰していく必要があると上原氏は説きます。これによって万が一のインシデント発生時の判断も早くなりますし、日々の運用に掛かるコストも見えやすくなります。

それとともに、自社内でCSIRTを速やかに立ち上げることも重要だと同氏は強調します。

「内製による運用が安定するのを待たずに、できるだけ速やかにCSIRTを立ち上げて、まずは自社の現状の“危険度”を測定し、どの領域のセキュリティ投資を優先すべきかを明らかにすることが先決です。私自身の過去の経験を踏まえても、まずはCSIRTを立ち上げて実践経験を積み、その中で失敗を繰り返していくことでより多くのことを学ぶことができます」

セキュリティ人材の育成を支援するためのさまざまなプログラム

なおCSIRTの立ち上げ・運営のためのノウハウなどは、日本シーサート協議会から多くの情報が発信されているほか、「関西サイバーセキュリティ・ネットワーク」「日本ネットワークセキュリティ協会(JNSA)」など各種団体がCSIRT運営に必要な知識や情報を学ぶ機会を提供しています。またNICTが運営するナショナルサイバートレーニングセンターや各種民間組織からは、インシデント対応演習のプログラムも提供されています。

個人が自由に参加できる教育プログラムも数多く提供されており、例えば若手技術者を中心に人気を博している「CTF」や、IPAが主催するセキュリティ・キャンプなどは広く知られています。また大学でも一般向けのセキュリティ教育プログラムが数多く提供されており、大学間連携によるセキュリティ人材育成プログラム「enPiT-Security」や、社会人向けの大学院教育コースなどを受講することが可能です。

ただし、こうした機会を活用して人材を育成できたとしても、一般的な企業ではセキュリティ人材を社内に数多く抱えられないため、周りに仲間がいない中でどうしても孤立してしまいがちです。せっかく育成したセキュリティ人材がそうした状況に陥らないために、「会社の枠を超えた横の連携」の場を活用することも大切だと上原氏は力説します。

「日本シーサート協議会やOWASP Japanをはじめとする社外のコミュニティへの参加を通じて、横のつながりを広げていくことができます。企業は自社のセキュリティ人材を育成するために、こうした場を通じた個人の研鑽を奨励し、積極的に投資していくべきでしょう」

【ホワイトペーパー】有事を見据えたセキュリティ運用とは?〜攻撃事例から学ぶサイバー脅威対策〜

サイバー攻撃は進化を止めず、その被害は組織の存続さえ揺るがす時代。

昨今、特に注意しなければならないのが、サプライチェーン攻撃の新たな手法です。標的となる組織のセキュリティが堅固となってきたため、セキュリティが手薄な別の組織を踏み台にして標的組織を攻撃するというように、サプライチェーン攻撃はますます巧妙化しています。

このガイドは、重大なセキュリティインシデントに直面した時、慌てず騒がず対応するために。
セキュリティ担当者はもちろん、経営課題として平時から取り組むべきサイバー脅威対策について、最新の攻撃事情とともに紹介します。
https://www.cybereason.co.jp/product-documents/brochure/6938/