人材の育成には「やる側の心理と論理」の習得も必要なのである。

Shigeo YOKOAYAMA(横山 成男)

『つまり、自組織のセキュリティ対策が不十分であると、自身が被害に遭うだけでなく、複数の重要な顧客にまで被害を波及させてしまうこととなり、そのダメージは計り知れない。さらに、これからはデジタルトランスフォーメーション(DX:デジタルテクノロジーを使い、人々の生活をより良く進化させること)がより一層浸透することにより、高度なデジタル技術を活用した、新たなビジネスモデルによるサービスが多数実現されることになる。従来の効率化・省力化・高速化などを主な目的としたシステムやサービスとは異なり、これからのデジタルサービスは、自社のビジネスの成否に直結していくため、万が一、セキュリティ侵害を受けた場合には、その影響はこれまで以上に大きなものになる。だが一方で、従来のセキュリティ人材のスキルや知識では、DX時代のサイバー攻撃には十分に対応しきれないのではないかと懸念されている。なぜなら、どのようにシステムを守るかといった視点だけではなく、活用することを前提として、データやビジネスモデルまでを含めてどのように守るかといった視点も必要となってくるからである。つまり、セキュリティ人材の不足は、今後DXを推進する上での喫緊の課題であり、すぐに手を打つべき問題なのである。セキュリティ人材が見つからないからとサイバー攻撃の脅威を前にDXの実現を遅らせれば、市場における競争力の低下は必至で、自社のビジネスに多大な悪影響を与えかねない。~こういった、必ずしもセキュリティ業務を専門としていないが、日々の業務の中でセキュリティの管理や対策を行う人材は、プラスセキュリティ人材と呼ばれている。DX全盛時代においては、情報システム部門だけでなく、事業部門が自らのビジネスに直結したサービスやシステムの開発や運用に関わることになることから、組織にとって獲得がより重要かつ急務なのは、このプラスセキュリティ人材なのだ。では、セキュリティ人材、とりわけプラスセキュリティ人材を育成するにはどうすれば良いだろうか。それにはまず課題が大きく2つある。1つ目の課題は、セキュリティ人材に必要なスキルセットが多様なことである。セキュリティ人材が関与する分野は益々広がっている。今から20年ほど前までは、セキュリティと言えばコンピュータのOSやネットワーク、いわゆるIT基盤において考慮すべきものが中心であった。その後、Web技術の発展とともに、アプリケーションプログラムの部分においてもセキュリティを考慮しなければならなくなった。2005年頃、SQLインジェクションと呼ばれる攻撃方法が流行し、多数のWebサイトにおいてサイトの改ざんや情報漏洩が発生した。この様に、アプリケーションをどの様に実装すれば安全なのかといった点についてもセキュリティ人材は理解する必要がある。そして今では、これらに加えてデータやビジネスロジックなどの部分においても、セキュリティを考慮する必要が出てきている。例えば個人の購買履歴を分析し、マーケティングや商品開発等に活用するためには、個人情報の適切な取り扱い方に関する知識が不可欠である。2つ目の課題は、これが最大の課題なのだが、実際のサービス開発や運用の現場で本当に役に立つセキュリティ知識やスキルをどのように身に付けるかである。サイバー攻撃とは具体的にどの様なものなのか、目の前で発生したサイバー攻撃にどの様に対処すれば良いのか、知識として頭で理解するだけでなく、実際にインシデント対応などの現場を経験することによる実感として得られる経験値は非常に大きい。攻撃者も常に自らの攻撃技術に磨きをかけているから、当初の想定とは全く異なることも起こる。過去の知識や経験だけでは不十分であり、対応する側も常に自らの知識や経験をアップデートしていく必要がある。しかし当然のことながら、いくら経験蓄積に繋がるといっても実際にサイバー攻撃など受けないに越したことはないし、また、なにより被害も受けずにOJTとなるような条件の整った都合の良いサイバー攻撃など、期待する方が無理というものである。以上の課題を考慮すると、セキュリティ人材、特にプラスセキュリティ人材を育成するためのポイントは、(1)スキルの見える化と、(2)実体験による経験蓄積にあると言えるだろう。DX全盛時代においては、ユーザ企業のプラスセキュリティ人材が、IT企業のセキュリティ専門人材の力を借りながらも、自社のビジネスやサービスを「自ら守る」ことができるように、人材を育成し、配置することが重要ではないだろうか。これまでのセキュリティ診断は、主にシステムの基盤部分やアプリケーション部分についてセキュリティ上の不備や脆弱な点がないかを網羅的に確認するものであったのに対し、TLPTは、網羅的に不備を確認することが目的ではなく、組織として「最も避けたいリスク」に対してどの程度の耐性があるかを確認することを目的としている。また、組織全体としてセキュリティ対応状況に不備がないかを確認できる点についても違いがある。レッドチームと呼ばれる高度な技術をもった技術者が行う擬似攻撃に対して、ブルーチームと呼ばれる攻撃の検知・対応を行うチームのメンバとしてプラスセキュリティ人材(の候補者)が参加すると、擬似的とはいえ最新の脅威シナリオに基づいた現実に近い攻撃を経験することになる。使えるセキュリティ人材は、今や机上の学習だけでは育たない。力量の厳しい客観的評価と生々しい攻撃者目線を経験することで、実践スキルを向上させ、知識と経験に基づいた判断力を養う必要があると考える。』

『知識と経験に基づいた判断力を養う』と言ってくれるがこれがなかなか難しいのだ。今までの技術者は知識偏重の傾向にある。だが、ビジネスでの「セキュリティ」とはこの記事でも指摘されている様に『組織として「最も避けたいリスク」に対してどの程度の耐性があるかを確認すること』なのだ。人材の育成には「やる側の心理と論理」の習得も必要なのである。

DX時代「セキュリティ人材」を持たない企業は死滅する
「7pay」をもう笑えない
https://gendai.ismedia.jp/articles/-/68422

この記事が気に入ったらサポートをしてみませんか?