副セキュリティトレーニング

サイバーセキュリティに於ける
人材育成と施策
2014年8月22日
日本電気(株) ナショナルセキュリティ・ソリューション事業部
則房雅也、CISSP
1
サイバーセキュリティ人材育成と課題
2
3年間の振り返り
▌3年前、防衛企業に対するサイバー攻撃ショック
▌情報セキュリティ(個人情報漏えい、内部統制)から、サイバーセキュリティ
(攻撃者が存在)へと対策の焦点をシフト
▌3年間で「サイバーセキュリティ」を口にする社内の人は劇的に増加(今では
知らない人はいない)
▌しかし、サイバー攻撃を実際に受けて対応できる技術者が多くなっ
た気はしない
▌3年たっても増えていないのに、今後急に増える気はしない
▌課題は単純ではなさそう
▌問題を見える化するために、簡単なシミュレーションをしてみました
3
サイバーセキュリティ人材像(7階層)と想定スキル
1 トップガン
サイバー攻撃を未然に防ぐ事ができるスキルを有し、サイバー攻
撃に対して的確な「チームの指揮」を執ることができる。
確たる倫理観念を持っている。
2 トップガン補佐
サイバー攻撃を食い止めるスキルを有し、攻撃が内部に到達し
たときには、被害の拡大を防ぎ、問題個所を突き止めて除去で
きる。
3
中間層エリート
(トップガン候補)
サイバーセキュリティの専門知識はあるが、臨機応変にいろいろ
な攻撃を防ぐ事ができるわけではない。
4
中間層
(2−3年以上の実務経験者)
担当業務システムの範囲内で、セキュリティ専門知識と知られた
攻撃への対処スキルを有する。
5
中間層の卵
(実務経験1年未満)
基本的な教育は終え、適性があることも確認後、セキュリティ関
連業務を行う部署へ配属されて間もない担当者。
6 基礎教育修了者
大学、大学院で2年間以上のセキュリティ教育を修めた者。
7 卵
高専、大学教養課程までの人材。体系だったセキュリティの知
識は持っていない。
4
東京オリンピックをターゲットとした育成シミュレーション
̶
(大学、大学院卒)
卵(高専、大学)
中間層の卵に昇格するかは
(理工系学部の上位200学部に在籍する学 企業の採用数に依存。毎年
300人と仮置き
生、1学部50名程度育成と仮定)
10,000人
1 0人
290
人
3169人
270
300人
人
300人
39,100人
1441人
人
人
270
300人
29,400人
1 0人
1 0人
294
人
29 7
人
人
270
300人
19,700人
1 0人
1 0人
1 0人
300人
1161人
300
(10,000人輩出/年)
1 0人
2 0人
300人
10人
3189人
人
下1名を雇用し、OJT指導すると仮定)
3213人
300
基礎教育修了者
(300人採用/年)
3240人
人
(セキュリティ技術者
として採用)
90%程度が中間層に昇格
(ITベンダーTOP50社の中間層エリートが部 10%は職種変更
3000人 3270人
人
中間層の卵
10%程度が中間層エリート
に昇格
60人
10人
877人
300
(従業員数3000人規模の上場企業トップ
100社において、従業員の1%が中間層のセ
キュリティ運用者と仮定)
300
人
現在3000人
10人
590人
人
中間層
300人
270
(ITベンダーTOP50社、1社当たり6人程度
存在すると仮定)
中間層エリートから有望な
人材を毎年10人程度トップ
ガン補佐として選抜
10人
人
現在300人
0人
20人
300
中間層エリート
(セキュリティに強いITベンダー10数社に在籍
する人材。各社1∼2人程度存在すると仮
定)
トップガン補佐になった人材
は100%トップガンに育成
50人
40人
2018年のチームが中心
(トップガンへの研修)
現在20人
30人
10人
(セキュリティベンダーの中でも突出した専門
スキルを有するスーパー人材。各社0人∼2
人)
トップガン補佐
2014 2015 2016 2017 2018 2019 2020
人
現在10人以下
上位スキルレベルへの
昇格イメージ
270
トップガン
現状での人材数
(想定人数の算定方法)
300
スキルレベル
48,800人
58,500人
大学から人材育成していては間に合わないので市場の現役を活用!
ただし、市場の現役数は年を経てもさほど増えない!
5
シミュレーションでわかった課題
トップガンの獲得シナリオはよく見えない
2014 2015 2016 2017 2018 2019 2020
̶
(大学、大学院卒)
10,000人
19,700人
1 0人
3169人
270
人
人
270
300人
人
300人
39,100人
1441人
290
人
1161人
3189人
300人
29,400人
1 0人
1 0人
294
人
29 7
人
人
270
300人
10人
300
中間層の卵に昇格するかは
(理工系学部の上位200学部に在籍する学 企業の採用数に依存。毎年
300人と仮置き
生、1学部50名程度育成と仮定)
1 0人
1 0人
300人
3213人
人
300人
下1名を雇用し、OJT指導すると仮定)
3240人
人
90%程度が中間層に昇格
(ITベンダーTOP50社の中間層エリートが部 10%は職種変更
(300人採用/年)
(10,000人輩出/年)
1 0人
1 0人
3000人 3270人
300
基礎教育修了者
10%程度が中間層エリート
に昇格
877人
300
(セキュリティ技術者
として採用)
590人
人
中間層の卵
300人
10人
48,800人
58,500人
日本市場に潜在するセキュリティ教育修了者
卵(高専、大学)
ここが増えないと問題
(従業員数3000人規模の上場企業トップ
100社において、従業員の1%が中間層のセ
キュリティ運用者と仮定)
中間層エリートから有望な
人材を毎年10人程度トップ
ガン補佐として選抜
300
人
現在3000人
10人
60人
実働者
中間層
10人
人
(ITベンダーTOP50社、1社当たり6人程度
存在すると仮定)
0人
20人
270
現在300人
50人
40人
300
中間層エリート
(セキュリティに強いITベンダー10数社に在籍
する人材。各社1∼2人程度存在すると仮
定)
トップガン補佐になった人材
は100%トップガンに育成
人
(トップガンへの研修)
現在20人
270
トップガン補佐
30人
10人
(セキュリティベンダーの中でも突出した専門
スキルを有するスーパー人材。各社0人∼2
人)
人
現在10人以下
上位スキルレベルへの
昇格イメージ
2 0人
トップガン
現状での人材数
(想定人数の算定方法)
300
スキルレベル
すそ野を中間層に変換できないと現状は長く変わらない
6
シミュレーション結果の課題まとめ
• 市場に分散している企業人材をあつめたチーム作り、効果的
な人材育成の実施が道を開く
• ただし、簡単ではない
– 一企業でまとめられる話ではない、リーダ組織の明確化
– メンバーを出す企業側の動機を明確化
• 効果的な人材育成=いろいろな実践的模擬演習の反復
• 企業で人材は増えないと判明⇒2020年後に課題が残る
– サイバー人材候補が応募してこない(大学卒業生が少ない)
– 企業の採用方法が合ってない(技術職、研究職など、配属不明)
• 企業内で人材育成は進まない、OJD環境がないテーマ
• 企業に入る時点でレベルアップ済み、大学で基礎知識、基礎
技術を習得
7
各人材に求める資質、課題
各層の人材が備える資質
育成・資質実現の課題
• セキュリティシステムを設計、構築、
運用できる
• セキュリティ異常に対する的確な
分析、初動ができる
• 既知のサイバー攻撃に対する対
応を指示できる
• サイバーセキュリティに関する幅広
い応用知識
• 状況把握と分析力
• 攻撃、守備、いずれも経験す
経験す
る場がない
• 企業内に育成ノウハウがない
• 講師が少なく、受講場所も限
定される
• 企業のポスト不足(受け皿)
• 育成コスト
グローバル施
策が必要。そ
れには官主導
ではないか。
トップ
ガン
育成の先導:適任適所
産官
トップガン
補佐
産
学(研)
演習
中間層
エリート
中間層
産業界、企
業連合で頑
張るべき。
一企業が頑
張ったとこ
ろで効果は
知れている。
産
産
学(教)
• 育成対象が多く、教え
る人や環境が不十分
• 道徳教育の徹底
中間層の卵
基礎教育修了者
卵
教育
• サイバーセキュリティ基礎知識
• セキュリティ侵害に対する正しい
倫理観
• 通信プロトコル、OS周辺に関す
る十分な知識
上位層と
の一貫
性
学
官主導での一貫性ある人材育成設計と関係者への動機付けが必要
• 教える人がいない
• 候補になる人がいない
• キャリアパスがない(トップガン
になる道が示されていない)
実践
• アンダーグラウンドの知識/技術、
それらを収集する能力(攻撃ノウ
ハウ等)
• 実際に攻撃を受け解決した体験
• トップガンや関連コミュニティとのグ
ローバルな人脈
• 指揮官としての能力(判断力、
決断力)
望ましいモデル(今の実態ではない)
官: 省庁、自治体など公的組織 / 産: 企業 / 学: 大学などの教育機関
8
まとめ
▌今のままでは大変まずい状況になりそう
▌卵(大学、文科省)→中間層(企業、経産省、総務省)→トップガン(未存
在、防衛相、警察庁)と、官産学が協力して、一貫性よく人材を育成できる
シナリオが必要。官主導のグランドデザインが不可欠。
▌優先して育成すべき人材は「セキュリティ監視・分析・インシデント対応者」
 攻撃されるのは脆弱性の残るセキュリティ製品。運用者は多くのマルチベンダー
製品を扱うが、脆弱性があるとは製品ベンダーは言えない。攻撃されたらベン
ダー各自の製品しかサポートしない。マルチベンダー製品環境のセキュリティ対
策教育コースはない。エンドユーザは攻撃を迎え入れて足を引っ張り助けにはな
らない。圧倒的に攻撃者有利、守備者不利の中で孤立、孤軍奮闘。
▌育成する人がいない、育成する場がない、このテーマでOJDは無いので、
これまでにない取り組みを考える必要がある
9
実践的模擬演習の反復に
サイバー演習システムが活用できる
大学の実習にも
サイバー演習システムが活用できる
10
事例: 政府機関向けサイバーセキュリティラボ
アジア某国政府機関のサイバー訓練に、某社サイバー演習システム
を納入した。米国など人材豊富な一部の国を除き、サイバー要員確
保は、多くの国で初級の人材育成から取り組む必要があり、裾野人
材を多く育成するときの参考になると思われる。
▐ サイバーセキュリティ要員育成プ
ログラムとして、サイバー演習シ
ステムを用いた セキュリティ課題
シミュレーション、専用システム
環境のモデリング、実環境とつ
ないだ演習などを展開中
▐ 100以上の基本演習問題が組
み込まれている、専用システム
向けの個別演習の設計、実装の
両面で活用
サイバーセキュリティラボ (イメージ)
11
大学へサイバー演習システムを導入するには
▌目的設定
 大学生、大学院生まで対象とし、資質教育を含むサイバーセキュリティ教育を導入して、
サイバーセキュリティ人材の裾野(数+レベルアップ)を確実に広げられること
 日々進化するサイバーセキュリティ情報を教育、演習内容に反映できること
 実知識が身に付き、実際に近い模擬環境で演習が行え、実践対応力が身につくこと
 基礎演習は講師のレベルにかかわらず、同じ内容・クオリティの授業をどこでも受講でき
る環境を実現する。
▌概要
 文科省および企業がサイバーセキュリティ人材の育成に注力している主要大学と連携し、
サイバー演習システムをテスト導入する。
▌教育内容
 1∼2年次は基礎知識の習得を目的とする(必須科目化) →大学のシラバスを活用
 3年次以降はAdvancedな内容(実践的な演習) →実践的な演習メニューを活用
12
カリキュラム作成の考え方
実機を使用したサイバー演習(実践的演習)
前期
1
トップ
ガン
トップガン
補佐
中間層
エリート
中間層
2
後期
3
4
5
6
(2単位/半期の履修を想定。
90分コマの授業を15回受講を仮定。)
前期:4月∼7月(28週)
後期:9月∼12月(28週)
M
2
セキュリティコンテスト参加
M
1
フォレ
ンジッ
ク演
習初
級
フォレ
ンジッ
ク演
習中
級
フォレ
ンジッ
ク演
習上
級
CTF(A/D)演習
シナリオ開発
開発
した演
習の
実施
グローバルに認知される認定証ならば、
留学、研修、出向と、その先が広がる
4
年
ウェブ
演習
上級
ネット
ワーク
演習
上級
バイナ
リ演習
上級
CTF
(A/D)
演習
1
CTF
(A/D)
演習
2
CTF
(A/D)
演習
3
基礎知識・技術の保有を証明する認定
(ISC2はカリキュラムへの適用を検討)
3
年
ウェブ
演習
初級
ネット
ワーク
演習
初級
バイナ
リ演習
初級
ウェブ
演習
中級
ネット
ワーク
演習
中級
バイナ
リ演習
中級
集合教育(一般講義)
実践力を証明する認定(修了証)発行
(演習システムベンダーはすでに実行)
中間層の卵
基礎教育修了者
育成の先導は
文科省・大学
卵
13
セキュリティ人材のキャリアパス
至急整備:
既存:
育成の先導
人材の7階層
未存在、防衛相、
警察庁を想定
日本
米国・EU等
(※トップガン育成プログラムが不在)
トップ
ガン
(※トップガン育成プログラムが存在)
FBI、CIA、NYポリス、軍
等
最先端サイバー研究機関
(大学と連携した研究機関等を想定)
トップガン
推薦/認定
招致
補佐
企業、経産省、
総務省を想定
推薦/認定
中間層
エリート
セキュリティ専門
ベンダー
(セキュリティに強いITベンダー
10数社を想定)
IT企業
中間層
(従業員数3000人規模の上場
企業トップ100社において、従業
員の1%が中間層のセキュリティ運
用者が存在する企業を想定)
日本サイバー
アカデミー
就職
文科省と
官産学の協力を想定
就職
卵
就職
就職
大学院大学等
(1大学100人が在籍する修士課
程の大学を仮定、セキュリティを専
門に研究する大学院を想定)
中間層
の卵
基礎教育
修了者
(1年に10人程度、
研修留学を想定。
奨学金制度の活用
等を想定)
修士
総合大学(含む大学院)
(1大学4000人が在籍する総合大学を想定、
1講師が20名を実践演習による育成を仮
定)
交換留学生、CTF、遠隔
授業、等の連携を想定
米国・EUの大学
(セキュリティ専門学部併設の大学
を想定)
優先的に取り組むべき対象。サイバー演習によ
る裾野のセキュリティ人材の育成拡大
14
演習システムを使用した育成キャパシティ
•
実現イメージ
① 全国の主要地域に大学設置型サイバー演習システムを構築。各地域に1つの演習システムを構築。
② 教育コンテンツは、実際にインシデントが発生した事例を活用し、インシデントハンドリングの基礎技術を習得させる。また、最近のサ
イバー攻撃事例をベースに、インシデントハンドリングの応用技術を習得させる。また教師による効果測定を実施する。
③ 導入地域の大学の演習システムへは、同一地区の各大学からリモート演習可能。
教師1人+生徒20人程度で演習に参加する事を仮定。演習は1日3コマとし1週間で15コマ。
1チーム20人を1クラスとして、同時に5チームが参加できると仮定。
各地域でトレーニングできる人数は、100人×15コマ(1500人の人材育成が可能)。
1500人を7領域で、約1万人の育成が可能。
③
②
教師1人+生徒20人
教師1人+生徒20人
教師1人+生徒20人
・・・
・・・
・・・
・・・
教師1人+生徒20人
教師1人+生徒20人
教師1人+生徒20人
・・・
・・・
・・・
最近のサイバー攻撃事例から
教育コンテンツ作成・更新。
教師が演習結果の
効果測定を行う。
一地域で1500人の育成が可能
北海道地区
大学
同時に5チーム参加可能。
1週間で15コマなので、
一地域で1500人の育成が可能
サイバー演習
システム基盤
東北地区
大学
A大学
九州地区
大学
・・・
中四国地区
大学
関西地区
大学
中部地区
大学
教育コンテンツ
VPN接続
Y大学
Z大学
①
教師を含めた大学間の
サイバーセキュリティコミュ
ニティサイトの運用による
育成の効率化
DEFCON参加等
X大学
関東地区大学
15
まとめ
▐ サイバー演習システムを使用する事で十分な人材育成(年間約1万人)
が可能であることを示した。
▐ グローバルに通用する認定を出すことでキャリアパスは広がる。
▐ サイバー演習の副次効果で実践力があがるため、海外のCTFへ参加しや
すくなりグローバルレベルの実力をつけるきっかけとなる。
▐ 社会人継続教育は重要で、産学で運営する日本サイバーアカデミーのよ
うな活動が必要なのではないか。
トップガンの育成維持には、日本においてもトップガンが集まる組織
(最先端サイバー研究機関等)が必要なのではないか。
16