デジタル人材育成科 サイバーセキュリティ基礎

サイバーセキュリティ / 組織を脅威から守る戦略・人材・インテリジェンス | 本の要約サイト flier(フライヤー)

一般人にとって、あまり馴染みがない「サイバー犯罪」。だが思っている以上に事態は深刻だ。いまや私たちの日常生活やビジネス活動はITなしでは成り立たないし、その恩恵…

サイバー攻撃にどう対処するか

一般に、企業が保有している顧客の個人情報が漏えいしてしまう事は、企業経営において最大のリスクの1つです。

企業で個人情報が流出するセキュリティ事故件数が最も多い要因は、紛失などの人為的ミスです。

一方でセキュリティエンジニアが担当するサイバー攻撃による個人情報流出は、その規模が桁違いなため、影響が甚大です。

日本の大手ECサイトでも個人情報が流出したり、クレジットカード情報が盗まれて不正に使われるなどの事件がテレビや新聞で報道される事があります。

過去には1回で1,000万人分以上の個人情報が流出した事例もありました。

なぜ個人情報の流出やクレジットカード情報の漏洩が起きるかというと、社内の業務フローやシステムに何らかの「欠陥」があり、そこから犯罪者が情報を盗み取ることが原因です。

  • SQLインジェクションなどによる自社アプリへの攻撃による漏えい
  • サーバやミドルウェア、フレームワーク製品の脆弱性への攻撃による漏えい
  • 内部犯行によるデータの漏えい

内部犯行への対策もセキュリティエンジニアにとって他人事でない

社内の「課長以上なら顧客の個人情報に許可なくアクセスできてしまう」といった業務フローの中にもにもセキュリティ事故が発生する可能性が潜んでいます。

最近、セキュリティについての社内業務フローが問題となったのは、ブロードリンク社の転売の事例です。

ちょっと特殊で稚拙な事例なのであまり参考にならないかもしれませんが、マスコミに大きく報道され社会問題となったので、この例を取り上げて解説します。

ハードディスクを転売したい社員が社内から重要情報の入ったハードディスクを社内から持ち出せてしまうという社内の体勢の緩さが大きな問題となりました。

神奈川県庁が使っていたファイルサーバのHDDが転売され、個人情報を含むデータが流出した問題で、流出元の情報機器リユース業者ブロードリンク(東京都中央区)は12月9日、流出のいきさつと捜査の状況を記者会見で説明した。 同社の独自調査によると、同社元従業員の高橋雄一容疑者は、2016年からHDDやUSBフラッシュメモリの他、スマートフォンやタブレットなどの情報機器を7844台転売していたという。

出典:HDDなど転売「7844個」──行政文書流出、ブロードリンクが謝罪 ずさんな管理体制明らかに 

こうした問題が起きないよう、社内の業務フローやシステムに内部犯行可能なリスクがないか見定めたり、他社の業務やシステムの監査を行うのもシステムエンジニア(中でも、主にシステムコンサルタント)の重要な業務です。

セキュリティ業務はその範囲がとても広い

セキュリティの問題は対象となる分野がとても広いため、エンジニアが主に携わるものを分類しておきます。

  • アプリケーションに関するセキュリティ問題
    プログラミング言語、フレームワーク、自社アプリに対する「脆弱性(欠陥)」の問題
  • インフラに関するセキュリティ問題
    ネットワーク、OS、ミドルウェアの製品に対する「脆弱性(欠陥)」の問題

エンジニアならご存知の方も多いと思いますが、この「脆弱性(欠陥)」の問題のことをセキュリティ業界では「脆弱性」と呼びます。セキュリティエンジニアは、脆弱性などのセキュリティ問題に特化したエンジニアです。

セキュリティエンジニアは、個人情報の流出やクレジットカード情報の漏洩などのセキュリティ問題が発生しないよう社内で活動します。

【仕事内容】セキュリティエンジニアは日々何をする?

《ラック社のセキュリティ・オペレーション・センター》

セキュリティエンジニアの仕事内容

  • ルール作り
    システム構築する際に守らなくてはならないセキュリティ対策ルールの策定
  • 企画・計画
    いつまでにシステムのセキュリティをどの水準にレベルアップするか企画
  • 設計・開発
    個別システムのセキュリティ設計・開発
  • 予防
    サイバー攻撃を未然に防ぐための活動
  • 事後処理
    攻撃を受けた場合の対処・影響分析

セキュリティエンジニアの仕事内容は多岐にわたります。しかし、どのような仕事内容を担当しても、情報セキュリティの最新情報に精通していることが必要です。

セキュリティエンジニアを目指す場合は、セキュリティに関するニュースを収集することを心掛けましょう。

セキュリティエンジニアになると、全てのIT技術を管轄する場合もあれば、一部を専門的に担当する場合もあります。

セキュリティエンジニアの仕事はきついの?

いずれの場合でも業務の中で最もきついのは、やはり個人情報の流出などの問題が実際に起きてしまった時でしょう。

影響範囲を調査し、原因を突き止め、穴を防ぐとともに犯人の特定を行います。

影響が大きければ、会社の社運を左右しますから、その時の仕事内容は経営層まで上がるのです。

[経営層への事故報告はセキュリティエンジニアのきつい仕事です]

  1. 流出データの概要と詳細
  2. 原因
  3. 一時的な対策
  4. 恒久的な対策
  5. 再発防止策

きつい仕事ではありますが、仕事っぷりが経営層にまで届くわけですから、きちんと報告できれば評価にも繋がります。

セキュリティエンジニアとしての腕の見せ所ですね。

代表的なセキュリティ企業

大手セキュリティ企業をいくつか挙げておきます。カッコ内はopenworkの各社総合評価のポイント(5点満点)を掲載しています。

  •  ラック(3.04)
  •  NRIセキュア(3.82)
  •  NTTセキュリティ(-)
  •  シマンテック(3.25)
  •  トレンドマイクロ(3.35)
  •  アカマイ・テクノロジーズ(4.01)
  •  EMC/RSA(3.54)

いずれも強みを持つセキュリティ大手企業ですが、この他に中小企業やベンチャーでiPhoneなど特定分野のセキュリティに特化した会社があるほか、セキュリティエンジニアはSIerや大企業を中心に、一般の事業会社内にもいます。

特に一般の会社ですと、社内でセキュリティエンジニアを育成できないため、上にあげたようなセキュリティ業務に精通しているエンジニアを中途採用するケースが多いです。

多くの大企業にはCSIRTと呼ばれるセキュリティの運用部門が存在し、中途などで採用されたセキュリティエンジニアも多くいる事が多いでしょう。

人材不足のため、セキュリティエンジニアの需要は多い

インターネットの急速な普及と発展によって、情報セキュリティの重要性が年々高まっていることは言うまでもありません。

サイバー攻撃の被害者は、世界では1日あたり100万人以上、日本だけで見ても1日1万人以上にのぼります。そのため大手を始め中小企業やベンチャーでも、専門の技術者の需要が増しており、求人は多いです。

従業員100人以上の国内企業の情報セキュリティー関連技術者は約28万人。十分な防御体制を整えるには10万人以上のセキュリティエンジニアが不足しているとの試算もあり、さらなる人材の育成が急務となっています。

経験豊富でスキルを併せ持つ人材が居ない

セキュリテイエンジニアは求人が多い一方で、企業が求めるレベルの人材が市場に居ないのが現状です。基礎学習は当然のこと、キャリアをどのように積み上げていくのか、戦略性が求められます。

セキュリティエンジニアの将来性

こうした人材不足を背景に、経済産業省は産業サイバーセキュリティセンターを発足。社内のセキュリティ実務を行える人材の育成に取り組んでいます。

総務省もホワイトハッカーの養成に本腰を入れており、若手セキュリティエンジニア育成プログラム「SecHack365」を発足。

合格者の47名には小・中学生も含まれており、セキュリティ業界では話題になりました。
(ちなみにホワイトハッカーとはサイバー攻撃を行える高度なIT技術・知識・ツールなどをサイバー攻撃対策など善良な目的に活かす人のことを指します。)

冒頭で述べたとおり、IT技術の全てにセキュリティの課題が潜んでいるため、今後もIT技術が高度になるに連れて、セキュリティエンジニアの需要は高まります。

未経験からセキュリティエンジニアになるには

  • 新卒で、ITセキュリティを専門とする会社に就職する
  • プログラマーなどの通常のエンジニア職からキャリアチェンジする
  • 一般の事業会社にある、CSIRT等のセキュリティ部門に異動する

セキュリティ関連の資格一覧

  • 情報処理安全確保支援士
    サイバーセキュリティエンジニア向けの国家資格です
  • CCENT
    基礎レベルの資格で、基本的なネットワークセキュリティの知識を認定します。
  • CCNA Security
    セキュリティエンジニアになるための基礎レベルの資格です。
  • CCNP Security
    セキュリティエンジニアとしては、上位レベルの資格です。
  • CCIE Security
    最高難易度の資格で、国際的にも通用します。取得すれば、一流のセキュリティスペシャリストとして評価されます。上位レベルの資格を取得するためには、下位レベルの資格の取得が必須です。
  • CompTIA Security+
    CompTIA Securityが実施する資格試験です。国際的に認知されている資格なので、技術者としてのスキルレベルを十分証明できます。
    具体的には、以下の分野から出題されます。
    ・ネットワークセキュリティ
    ・コンプライアンスと運用セキュリティ
    ・脅威と脆弱性
    ・データ、アプリケーション、ホスティングセキュリティ
    ・アクセスコントロール
    ・認証マネジメント
    ・暗号化
  • 公認情報システム監査人(CISA)
  • 情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を認定する国際的な資格です。
  • 公認情報セキュリティマネージャー(CISM)
  • 公認情報セキュリティマネージャーは、セキュリティプログラムのマネジメントや設計、監督などを行う情報システム監査人を対象としています。