セキュリティ人材の悩み


■セキュリティ人材の悩み

日経 xTECH Active によれば、

情報処理安全確保支援士や

高度 IT 人材でも、

セキュリティに関する知識不足が

最も悩ましい問題となっているらしい。

セキュリティー対策の難度、「知識不足」要因が上位

みんな、おんなじような悩みを

抱えているものだ。

しかし、情報処理安全確保支援士とか、

出題範囲も広く、難易度もそれなりに高い

試験に合格している人にもかかわらず、

なぜ、

知識・スキル・体験不足

と感じるのだろうか?

体験不足はまぁ理解できるとして、

知識やスキルなどは

ある程度試験勉強でカバーできるはず。

が、私自身も、知識、スキルは

まだまだ不足していると感じている。

これはいったいどういうことなのか。

自分自身の振り返りとして、

少し考えてみたところと、

その対策方法について、書いてみる。



想定される要因:求められる範囲が広すぎる

まず第一に思いつくのは、

「セキュリティ」に要求される範囲が広すぎる

ということではないだろうか。

例えば、会社で使っているパソコンを

電車に忘れてしまった、などというのは

立派なセキュリティ事故である。

一方で、開発している web アプリに脆弱性が

あり、これを利用して攻撃されてしまった、

というのもセキュリティ事故だ。

社員が社内情報を持ち出してしまった!

もセキュリティ事故だし、

IoT 機器の脆弱性を突かれて

社内ネットワークに侵入されてしまった!

もそう。

パスワードリスト攻撃で不正ログインが発生した!

やっぱりセキュリティ事故なのだ。

このように、対策が必要なセキュリティ事故と

いうのは非常に多岐にわたり、その要因も異なる。

技術的な対応内容も異なるし、

意識向上とか、管理的な施策も異なる。

さらにその上、

やれ IoT だのやれ自動車セキュリティだの、

5G だの AI だのと、技術はどんどん進歩していく。

これらに対応していくことも必要となる。

一方、セキュリティ事故で困った人からすれば、

「セキュリティの専門家なんだからよろしく!」

「あなた、セキュリティの専門家ですよね!」

となる。

よって、自分が知らない分野に関しても、

色々問い合わせや相談、依頼が寄せられたりする。

このため、特に自分の専門分野外のことに関して、

「自分には知識、スキルが足りない」

となってしまうことが多い。

実際、私の場合はそうである。

専門家として頼られることはありがたいし、

できる限り対応したいと思う一方で、

その願いをかなえきれない自分に

忸怩たる思いを抱えることも多々あるのだ。



求められる範囲が広すぎることへの対策案

まずは自分の強みと弱みを知り、次に学ぶべき対象を決める

普通に考えれば、自分の専門知識を

拡張していくのが常套手段だろう。

情報処理安全確保支援士にでも

なろうかという人たちは、

さらなる知識向上などの意欲は高いと思うし、

これ常にやるべきだと思う。

私自身もそう思ってやってきたし、

今でも可能な限り継続している。

しかしながら、最近は限界を感じているのも事実。

何から手を付ければよいのか、も悩みどころで、

結局どれにも手を付けられずに日々を過ごす、

なんてことにもなっている。

ということで、まずは今一度自分の持っている

技術や専門性について、棚卸しをするのが

よいと思われる。

棚卸しといっても、いきなり整理するのは

難しいと思うので、世の中にある

スキルマップ的なものを使うのもありだと思う。

簡単なところで言えば、

IPA 発行の

IPA情報セキュリティスキルマップ

などを使うとよさそう。

多少ラフではあるものの、

技術分野はある程度カバーされており、

かつそのそれぞれについて

自分がどれぐらいか、というのを

分析する基準も示されている。

あくまで主幹評価ではあろうが、

「次はどこをめざそうか?」

というのを決めるには非常に参考になると思われる。

まぁ、難点としては、

クラウドセキュリティや IoT、

ペネトレーションテスト

といった、実際によく出くわす所が

あまりカバーされていない所。

とはいえ、これらのセキュリティは

基礎的なところを抑えた上での応用

でもあったりするので、まずは

このスキルマップが使えるのではないかと思う。

これをやっておくと、対外的にも、

「自分はどこに強みがあって、どこが弱いか」

という所を示せると思う。

そうすれば、頼ってくれる人も、

「あぁ、この人には難しいことを頼んでる」

ということがわかってもらえる「かも」知れない。

いずれにせよ、

まずは自分の強み、弱みを把握し、

次はどこに向かうべきか、を決めるのが

よいと思われる。



それでも足りない所は、他力本願!

上述のように自分の強みと弱みがわかれば、

次に伸ばすべき所、はある程度判断しやすい。

が、そもそもセキュリティ人材に求められる

専門性は広く深い。

すべてを自分一人でカバーするのは、

正直不可能だ。

じゃぁどうすればいいか。

まずは直近必要な領域に絞り込む、

というのが大事だろうが、

それでも間に合わないのが世の常だ。

よって、自分の知識拡張以外の方法としては、

「自分と違う専門性を持つ人に頼る」

ということだと思う。

ま、いれば、の話だけれども。

簡単に言ったものの、なかなかそうそう

適切な人がいない、というか、いたら困ってないと思う。

が、やっぱり一人ですべてをカバーしきれる

なんてことはあり得ないので、こういったことは重要。

即効性は薄いものの、

普段からセキュリティ人材同士で交流しておく、

とか、

自分の弱いところを埋めてくれる人を育てる、

などは、意識しておくのが大事だと思われる。



あとは最新情報のチェック!

上述の対策を頑張れば、

相当自分にとっても有益だと思う。

が、それで解消されるかというと、

すべてではないと思う。

世の中の技術はどんどん進歩しているし、

状況も日々変化する。

これに伴って、

攻撃の動向や対象もどんどん変わってくる。

一昔前は、ランサムウェアなんて

存在しなかった。

仮想通貨もなかったから、

マイニングするマルウェアなんてのもの

想像できなかっただろう。

が、現在は非常に大きな脅威となっている。

このように、新たな技術が出てくれば

それに伴って新たな攻撃も出てくるし、

状況が変わればこれまでは脅威でなかったものが、

現実的な脅威になってくるのである。

ということで、日々世の中の動向に注目し、

新たな技術に関する知識を取り入れていく、

というのは必須だろう。

じゃぁ、情報収集はどうすればいいのだろうか?

こればっかりは、如何にアンテナを

立てられるか、という所だとは思うが、

例えば、

IPA 情報処理推進機構

JPCERT コーディネーションセンター

などのサイトを常時 watch し、

ある程度信頼性の高い情報を

常に確保しておく、というのは

一つの手だと思う。

そのほか、

Security NEXT

のような情報サイトを除く、

というのもよいと思う。

いずれにせよ、最新情報に常に目を向けておく、

というのは重要なことだと思う。



体験はどうすればよい?

と、ここまで、知識を得たり

補ったりする方法について、

私なりの考えを述べてきたが、

知識だけではなかなか太刀打ちできないのが実情。

やっぱり、実際に体験するか否かは

非常に大きな差となってくる。

とはいえ、セキュリティ事故や攻撃は、

こちらの思い通りに体験できるものではないし、

体験せずに済むならそれに越したことはない。

ではどうすればいいのか?

これに関しては、

『疑似体験をする』

というのが非常に有益だと思う。

実際問題、私自身、

ラズパイでセキュリティ

で書いたように、

疑似的な攻撃環境を作って、

簡単な攻撃をやってみることで、

「本当にできるんだ!」

とか、

「実際にはこういう障壁があるんだな」

とか、

かなり自分の体験としてとらえることができた。

単に字面で理解する以上の

印象があったし、記憶にも残りやすい。

また、実体験同様の体験にもなるため、

人に対する説得力も出てくる。

ということで、宣伝というわけではないが、

ラズパイでセキュリティ

にあるような、攻撃を疑似体験できる環境を

作ってみて、いろんな攻撃を自分の環境内で

試す、ということをしてみるのが、

非常に有益だと思う。

興味がある人はぜひ一度試してみていただければと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ パーマリンク