「サイバーセキュリティ人材」について整理してみる

「サイバーセキュリティ⼈材」について整理してみる サイバーセキュリティ勉強会 in 塩尻 2024.8.31(土) © 2024 LAC Co., Ltd. ３.

プロフィール︓⻑⾕川 ⻑⼀ 株式会社ラック 新規事業開発部 主席研究員 （産学官連携事担当） ■ソフトバンク、日本ユニシス(現・BIPLOGY)を経て、現職。情報セキュリティコンサ ルティング、情報セキュリティ監査業務等を経て、現在は主にセキュリティ教育、産学 官連携活動業務を担当。⻑野県警サイバー事案対策アドバイザー。 ■主な担当講師業務 □ISC2 CISSPレビュートレーニングセミナー認定主任講師(2009年〜) □東京電機大学 非常勤講師、国際化サイバーセキュリティ学特別コース(CySec) 講師(2011年〜) □九州工業大学 情報工学部 非常勤講師(2021年〜) □国⽴⾼知⾼専 非常勤講師、北九州⾼専 非常勤講師(2019年〜) ■最近の主な活動 □ 経済産業省 産業サイバーセキュリティ研究会 WG2 委員(2024年度〜) □ IPA 情報処理安全確保⽀援⼠講習統括委員会委員（2017年度〜） □ 情報危機管理コンテスト 運営スタッフ（2017年度〜） ほか ■主な著書等 「IT現場のセキュリティ対策完全ガイド」（日経BP社）、「情報セキュリティ監査公式ガイドブック」 （日科技連出版、共著）、「情報セキュリティプロフェッショナル教科書」 (アスキーメディアワークス、 共著）、「ネットワークセキュリティ」（オーム社、共著）等。 URL︓http://www.lac.co.jp/ E-mail︓[email protected] http://www.facebook.com/choichi.hasegawa 2

日本の政策における 「サイバーセキュリティ⼈材」

「デジタル田園都市国家構想」〜令和5年12月23日閣議決定 〜 「デジタル田園都市国家構想」総合戦略、内閣官房 https://www.cas.go.jp/jp/seisaku/digitaldenen/about/pdf/pdf_01.pdf 4

• https://www.cas.go.jp/jp/seisaku/digitaldenen/about/pdf/pdf_01.pdf

デジタル⼈材の中の「サイバーセキュリティ⼈材」 「デジタルスキル標準」〜経済産業省、2024年7月 https://www.meti.go.jp/policy/it_policy/jinzai/skill_standard/main.html 5

• https://www.meti.go.jp/policy/it_policy/jinzai/skill_standard/main.html

サイバーセキュリティの目的と⼈材像〜サイバーセキュリティ基本法 「サイバーセキュリティ基本法」 第1条より 【背景】 インターネットその他の⾼度情報通信ネットワークの整備及び情報通信技術 の活用の進展に伴って世界的規模で生じているサイバーセキュリティに対する 脅威の深刻化その他の内外の諸情勢の変化に伴い、情報の⾃由な流通を確保し つつ、サイバーセキュリティの確保を図ることが喫緊の課題となっている 【目的】 経済社会の活⼒の向上及び持続的発展並びに国⺠が安全で安⼼して暮らせる 社会の実現を図るとともに、国際社会の平和及び安全の確保並びに我が国の安 全保障に寄与することを目的とする サイバーセキュリティ基本法は、 サイバーセキュリティを確保すること⾃体が目的ではなく、 サイバーセキュリティを確保することで、 社会や国⺠が安全で安⼼して暮らせる社会を実現することが目的である 6

「情報処理安全確保⽀援⼠」の⼈材像 「情報処理の促進に関する法律」の第6条より 情報処理安全確保⽀援⼠は、情報処理安全確保⽀援⼠の名称を用いて、サイバーセキュリ ティに関する相談に応じ、必要な情報の提供及び助言を⾏うとともに、 必要に応じその取組の実施の状況についての調査、分析及び評価を⾏い、その結果に基づき 指導及び助言を⾏うことその他事業者その他の電⼦計算機を利用する者のサイバーセキュリ ティの確保を⽀援することを業とする  相談 ︓”request/requirement”の意味。サイバーセキュリティに関する要求や要求事項のこと。  必要な情報 ︓サイバーセキュリティに関する「相談」を解決したり、解決を⽀援するのに有効な情報。  助言 ︓”advice”という意味だけではなく、サイバーセキュリティの確保ための“recommend（推 奨）”の意味もある。助言の最終的な目標は、”IT assurance（保証）”である。  調査 ︓”research”だけでなく”investigation”という意味も含む。  分析、評価 ︓「分析」とは、”analysis”であり、「評価」とは、”assessment”だけではなく、 ”audit /evaluation”という意味もある。  指導 ︓要求事項や組織が意図した内容や水準への導き”lead”、サイバーセキュリティの確保のための方 向付け“direct”という意味も含む。 7

「NICE Framework(NIST SP800₋181)」 2024年3月に最新の改訂版がリリースされた。 ・2280のタスク、知識、スキル ・7つのワークロール(役割)のカテゴリー ・52のロール(役割) ・15のコンピテンシー領域 から、構成されている。 https://www.nist.gov/itl/applied-cybersecurity/nice/nice-framework-resource-center 8

• https://www.nist.gov/itl/applied-cybersecurity/nice/nice-framework-resource-center

「European Cybersecurity Skill Framework」〜ENISA https://ecs-org.eu/enisa-introduces-the-european-cybersecurity-skills-framework/ 9

• https://ecs-org.eu/enisa-introduces-the-european-cybersecurity-skills-framework/

「サイバーセキュリティ⼈材」 に必要な要素やフレームワーク

「サイバーセキュリティ⼈材」に必要な要素 知 識 技 術 必要な要素 経 験 スキル 11

「知識」と「技術」 体系的で実践的な「知識」と「技術」を、基本から⾝に着けよう。 • まずは、サイバーセキュリティの「原則」や「基本的概念」を知る。 → これらをしっかり⾝に着け、これからも通用するセキュリティの考え方がで きるようにする。例:「最⼩権限」「職務の分離」など。 • 環境(社会、経営、IT)の変化により、理論や技術やフレームワーク は変わっていく。 → 様々な状況に合わせ、適応していくことが重要。「5年前のセキュリティ」 は通用しない。それどころか… 12

サイバーセキュリティ知識体系の例 ・｢情報処理安全確保⽀援⼠(RISS)｣試験要綱 Ver5.3〜IPA https://www.ipa.go.jp/shiken/syllabus/nq6ept00000014lt-att/youkou_ver5_3.pdf ・｢SecBoK(Securiry Body of Knowledge)｣2021年版〜JNSA https://www.jnsa.org/result/skillmap/ ・｢CyBOK(Cybersecurity Body of Knowledge)｣Ver1.1〜University of Bristol https://www.cybok.org/knowledgebase1_1/ ・｢CISSP CBK(Common Body of Knowledge)｣〜ISC2 https://japan.isc2.org/cissp_gaiyou.html 13

• https://www.ipa.go.jp/shiken/syllabus/nq6ept00000014lt-att/youkou_ver5_3.pdf
• https://www.jnsa.org/result/skillmap/
• https://www.cybok.org/knowledgebase1_1/
• https://japan.isc2.org/cissp_gaiyou.html

＜参考＞CISSP CBK 8ドメイン ドメイン セキュリティとリスクマネジメント 資産のセキュリティ セキュリティアーキテクチャとエンジニアリング 通信とネットワークのセキュリティ アイデンティティおよびアクセス管理 セキュリティの評価とテスト セキュリティの運用 ソフトウェア開発セキュリティ 1.1 職業倫理の理解、遵守、促進 1.2 セキュリティの概念に理解、適用 1.3 セキュリティガバナンスの原則の評価、適用 1.4 コンプライアンスおよびその他の要件の決定 1.5 情報セキュリティに関連する法的および規制要 件の理解 1.6 調査の各種類(すなわち、⾏政、刑事、⺠事、 規制、業界標準)の要件の理解 1.7 文書化されたセキュリティポリシー、スタン ダード、プロシージャ、およびガイドラインを策定 し、実施する 1.8 事業継続要件の特定、分析、優先順位付け 1.9 ⼈員のセキュリティポリシーとプロシージャへ の貢献と実施 1.10 リスクマネジメントの概念の理解、適用 1.11 脅威モデリングの概念と⼿法の理解、適用 1.12 サプライチェーンリスク管理 1.13 セキュリティ意識、教育、トレーニングプロ グラムの確⽴、管理 https://japan.isc2.org/files/MAR-CISSP_Guidebook-JP-RB-2023.pdf 14

• https://japan.isc2.org/files/MAR-CISSP_Guidebook-JP-RB-2023.pdf

「スキル」と「経験」 特に「倫理」に基づいた「スキル」が必要。それを日常的に発揮できるように 習慣付け、経験として積み重ねていくこと。 （1）命令倫理︓「しなければならないこと」「してはならないこと」といった 最低限の基準 （2）理想追求倫理︓専門家として目指すべき最⾼の⾏動基準や規範 専門家(セキュリティエンジニア)として、⾃分⾃⾝が求められている役割を⾼ い品質で全うできる「スキル」が必要となる。 15

＜参考＞情報分野で「倫理」が求められる背景 □情報処理技術者を取り巻く環境の変化 ・技術的な環境の変化︓ 情報処理技術が社会的に大きい影響⼒を持つアプリケーションを数多く産み 出しつつある ・社会的な環境の変化︓ 情報処理技術者は⾃⼰の⾏動に対する責任を持たなければならないという考 え方が生じてきた → 専門家の独善を防ぐことと、⾃律的な⾏為規範が必要。 「倫理綱領」〜情報処理学会 https://www.ipsj.or.jp/ipsjcode.html 16

＜参考＞情報処理学会 「倫理綱領」 1.社会⼈として 1.1 他者の生命、安全、財産を侵害しない。 1.2 他者の⼈格とプライバシーを尊重する。 1.3 他者の知的財産権と知的成果を尊重する。 1.4 情報システムや通信ネットワークの運用規則を遵守する。 1.5 社会における文化の多様性に配慮する。 2.専門家として 2.1 たえず専門能⼒の向上に努め、業務においては最善を尽くす。 2.2 事実やデータを尊重する。 2.3 情報処理技術がもたらす社会やユーザへの影響とリスクについて配慮する。 2.4 依頼者との契約や合意を尊重し、依頼者の秘匿情報を守る。 3.組織責任者として ＜略＞ 「倫理綱領」〜情報処理学会 https://www.ipsj.or.jp/ipsjcode.html 17

＜参考＞ 「RFC1087 倫理とインターネット」 インターネットへのアクセスおよびその利用は、ある種の特権であり、すべて の利用者によってそのように取り扱われなければなりません。インターネット を利用する上では、次のような目的でなされるいかなる⾏為も、反倫理的で許 容できないものです。 ・インターネット上のリソースに対して権限のないアクセスを獲得しようとす ること ・インターネットの本来の利用を妨害すること ・これらの⾏為によって、リソース（⼈的資源、処理能⼒、コンピュータ）を 浪費すること ・コンピュータで処理される情報の完全性を毀損すること ・利用者のプライバシーを侵害すること https://www.ipa.go.jp/security/rfc/RFC1087JA.html 18

• https://www.ipa.go.jp/security/rfc/RFC1087JA.html

＜参考＞ 「情報処理安全確保⽀援⼠ 倫理綱領」 １．公正と誠実 情報処理安全確保⽀援⼠は、業務上の判断を⾏うにあたり、先入観をもたず、他者かの不当 な影響を受けず、常に公正な⽴場を堅持し、公正・誠実に業務を遂⾏しなければならない。 ２．秘密保持 情報処理安全確保⽀援⼠は、正当な理由がなく、その業務に関して知り得た秘密を漏らし、 又は盗用してはならない。 ３．法令等の遵守 情報処理安全確保⽀援⼠は、法令等や専門職としての倫理を遵守しなければならない。 ４．信用保持 情報処理安全確保⽀援⼠は、専門家としての⾃覚をもち、信用を失墜する⾏為をしてはなら ない。 ５．⾃⼰研鑽 情報処理安全確保⽀援⼠は、専門家としての能⼒を必要とされる水準に維持し、かつ⾃らの 知識・技能を⾼めなければならない。 https://www.ipa.go.jp/files/000073810.pdf 19

• https://www.ipa.go.jp/files/000073810.pdf

＜参考＞ISC2倫理規約(1) ・社会、⼀般大衆の福利、およびインフラを保護する -情報システムにおける世間の信頼性を⾼め、それを維持する。 -万全な情報セキュリティ対策についての理解を促し、その必要性を認識させる。 -公共インフラの保全性を維持し、強化する。 -安全性に問題のある慣習をやめさせる。 ・法律に違わず、公正かつ誠実に責任を持って⾏動する -真実を告げ、あらゆる利害関係者に⾃分の⾏動を逐次報告する。 -明示的、暗黙的にかかわらず、すべての契約および提携の取り決め事項を順守する。 すべての関係者を公平に扱う。矛盾を解決するときは、公共の安全性の検討、当事者、 個々⼈、セキュリティ専門家に対する義務をこの順序で考慮する。 -助言や忠告は慎重に⾏う。不必要な不安を煽ったり、軽々しく保証したりしない。⾃分の-権限内で、慎重かつ客観的に真実を報告する。 -管轄区域によって法律が異なる場合は、サービス対象である管轄の法律を優先する。 https://japan.isc2.org/files/codeofethics.pdf 20

• https://japan.isc2.org/files/codeofethics.pdf

＜参考＞ISC2倫理規約(2) ・当事者に対して、⼗分かつ適切なサービスを提供する -対象システム、アプリケーション、および情報の価値を維持する。 -⾃分に対する信頼に応え、与えられた権限を尊重する。 -利害の衝突、または利害が衝突しているかのように⾒える⾏動を避ける。 -⼗分な能⼒とその資格のあるサービスのみを提供する。 ・セキュリティ専門家としての知識を向上し、保護する -最も適した⼈物に対して専門知識の促進を⽀援する。その他すべての条件が同じ場合、適 任と認められ、これらの規律に従う⼈物や団体を選定する。日頃の⾏動や評判が、セキュリ ティ専門家としての信頼を損なう可能性のある⼈物とはかかわらないようにする -悪意ある⾏為や不注意な⾏動によって、他のセキュリティ専門家の評判を傷付けないよう にする。 -⾃分⾃⾝のスキルを向上し、常に最先端の知識を習得する。時間と知識を惜しまずに他者 のトレーニングにあたる。 https://japan.isc2.org/files/codeofethics.pdf 21

• https://japan.isc2.org/files/codeofethics.pdf

サイバーセキュリティの「職業倫理」とは 「職業倫理」とは、プロフェッショナル(専門家)に期待される⾏動の倫理 規範。 この職業倫理によって、プロフェッショナルではない他の者には出来な いその職業に関わる判断を下し、スキルを適用し、総合的な情報・知識に 基づいた決定を下すことができるようになる。 注意義務 サイバーセキュリティの専門家は、 プロフェッショナルとして、このような⾏動を 目指さなければならない。 このような⾏動ができることにより、 「信頼維持」や、業務の品質の維持・向上 につながる。 客観性・ 公正性 サイバーセ キュリティの 誠実義務 職業倫理 職業的 懐疑⼼ 22

まとめ • サイバーセキュリティの学習をするために、求められている⼈材像、 その要素、様々なフレームワークワークや知識体系を知っておくこ とも必要なのでは︖ • 知れば、今後の学習の方向性や方法、動機付けなどの、いいヒント が⾒つかるかもしれません。 （例によって）続きは、懇親会で︕ 23

※本資料は作成時点の情報に基づいており、記載内容は予告なく変更される場合があります。 ※ この講演における発言及び資料の内 容は、個⼈の⾒解を含んでいます。それ らは、所属する企業や団体を代表するも のではありません。 ※本資料に掲載の図は、資料作成⽤のイメージカットであり、実際とは異なる場合があります。 ※本資料は、弊社が提供するサービスや製品などの導⼊検討のためにご利⽤いただき、他の目的のためには利⽤しないようご注意ください。 ※ LAC、ラック、JSOC、サイバー救急センターは株式会社ラックの登録商標です。その他記載されている会社名、製品名は一般に各社の商標または登録商標です。 © 2024 LAC Co., Ltd.