ランサムウェアや標的型攻撃など、日々、高度化するサイバー攻撃。それらの脅威を防ぐには、高度な知識と技術を備えた情報セキュリティ人材が欠かせません。各企業では真っ先に、自社の情報セキュリティ技術者によるスキルトランスファーやOJTなどで情報セキュリティスタッフの育成を図っていますが、それだけでは技術的にも効率的にも十分でないことは、昨今の標的型攻撃による被害や情報漏えい等の増加が物語っています。

　2018年4月に独立行政法人情報処理推進機構（以下：IPA）が発表した『情報セキュリティ10大脅威 2018』によると、昨年はランク外だった「脅威に対応するためのセキュリティ人材の不足」(組織部門)が５位にランクイン。あらためて多くの企業がセキュリティの人材不足に対し、危機感を抱いていることが明らかになりました。

表 1. 情報セキュリティ 10 大脅威 2018

出典：独立行政法人情報処理推進機構（IPA）　

1. 情報セキュリティ専門技術者を「確保できていない」IT企業は3割強

　IPAが発行する『IT人材白書2018』では、情報セキュリティ専門技術者の確保状況を尋ねた結果、図 1 のとおり、全体で見ると、「確保できていない」割合が30.2%と最も高くなっています。従業員規模別に見ると、従業員規模が小さくなるに従い「確保できていない」割合が高くなっています。

図 1. IT 企業の情報セキュリティ専門技術者の確保状況 (従業員規模別)

出典：独立行政法人情報処理推進機構（IPA）発行　『IT人材白書2018』第3部　第1章　113ページ

2. 従業員規模にかかわらず「情報処理技術者試験で情報セキュリティ関連資格の取得を推奨」が高い

図 2 は、情報セキュリティに携わる人材の育成のための取リ組みについて実施または検討中のものを尋ねた結果を従業員規模別に比較したものです。従業員規模にかかわらず「情報処理技術者試験で情報セキュリティ関連資格の取得を推奨している」割合が最も高く、次いで「情報セキュリティ関連の研修を受講させている」割合が高い結果となりました。

図 2. IT 企業の情報セキュリティに携わる人材の育成の取りくみ (従業員規模)
出典：独立行政法人情報処理推進機構（IPA）発行　『IT人材白書2018』第3部　第1章　112ページ

　この２つの図表から、各企業は情報セキュリティ人材確保の難しさを抱えつつ、人材育成の重要性についてはよく認識しており、その課題に対し積極的に取り組んでいることが窺えます。
　ここで大事なことは、資格取得や研修においては、いかに効率的に基礎から実践まで習得できるかが、大きなポイントとなります。資格取得も大切なことですが、セキュリティのスキルは何よりも実際にその脅威を体感し、その対策を自分自身で体験することで、初めて身に付くものではないでしょうか。

3. 新任セキュリティ担当に適したトレーニング

　一言にセキュリティといっても範囲は広い。新任セキュリティ担当を育成する際は、まず、セキュリティ担当者が知っておくべき点を体系的に学べるトレーニングの受講を検討すると良いでしょう。

　伊藤忠テクノソリューションズ株式会社 (以下、CTC) では、ハッカーの視点からコンピュータネットワークの脅威を認識するコースや、セキュリティ侵害の検知/分析手法を学習するコースなど、特色のあるセキュリティコースを取り揃え、サイバー攻撃手法の具体的な仕組みや適切なセキュリティ対策について学んでいただけます。ここでは、その一例をご紹介しましょう。

■ 教育コース名 : 実践！セキュリティ『サイバー攻撃手法とその対策』(2 日間)

　ハッキングツールを用いたハンズオンを通して、コンピュータネットワークにおける脅威とその対策について学習するコースです。不正アクセスやDoS/DDoS攻撃といった従来型のサイバー攻撃だけでなく、最近注目を集めている「標的型攻撃」についても取り上げ、それぞれの技術的な仕組みを学習します。
　また、情報セキュリティ対策の概念や、ファイアウォール（従来型/次世代）、UTM等の各種セキュリティデバイスの特徴についても学習します。　具体的な内容は、以下となります。

• セキュリティ情勢の変化
• 近年のインシデント事例
• インシデントの影響
• サイバー攻撃の背景/傾向の変化
• 不正アクセス
• 侵入前の事前調査
• インターネット探索、アドレススキャン、ポートスキャン、脆弱性スキャン
• 侵入行為
• パスワードクラック、スニッフィング（盗聴）、脆弱性を突く攻撃、Webサーバへの攻撃、DNSサーバへの攻撃
• 侵入後の行動
• バックドア、証拠隠滅
• マルウェア
• 代表的なマルウェアの種類
• コンピュータウィルス、ワーム、トロイの木馬、RAT、ボット、スパイウェア、キーロガー、ランサムウェア
• マルウェアの感染経路
• ドライブバイダウンロード攻撃
• DoS/DDoS攻撃
• DoS攻撃
• Flood系攻撃、LAND攻撃、Smurf攻撃、脆弱性を利用したDoS攻撃
• DDoS攻撃
• ボットネット、反射型DDoS攻撃
• 標的型攻撃
• 標的型攻撃の分類
• 標的型攻撃の流れ
• 初期潜入
• ソーシャルエンジニアリング、標的型攻撃メール、マルウェアゼロディ脆弱性の利用、水飲み場攻撃
• 攻撃基盤構築
• パスワードハッシュの取得、Pass the Hash、SMB共有の悪用
• 攻撃最終目的の遂行
• 機密情報のアップロード
• 情報セキュリティ対策
• 情報セキュリティの概念
• 情報セキュリティ対策の分類
• 代表的なセキュリティ対策製品
• ファイアウォール（従来型 vs 次世代）、IDS/IPS、UTM

　これらセキュリティ情勢の変化から情報セキュリティ対策まで、サイバー攻撃手法を中心として２日間に渡り、座学だけでなく実機の操作を通して学びます。受講後は、情報セキュリティスキルが格段にアップしたことが実感できる内容となっております。

　このほかにも、実践！セキュリティ『セキュリティ運用/インシデント検知』や実践！セキュリティ『インシデント対応/フォレンジック調査』など実践的なセキュリティコースをご用意し、セキュリティスキル向上のためのご支援をさせていただきます。　詳しくは下記より「ＣＴＣ教育サービスサイト」をご覧ください。

4. 人材不足を補う手段として・・・

　セキュリティ人材の育成は中長期的な取組が必要です。人材不足を補う選択肢として、セキュリティ業務の一部のアウトソーシングを検討すべきでしょう。とくに、セキュリティ機器のログ監視・分析など高度な専門スキルと製品知識を要する業務については、専門のセキュリティアナリストへのアウトソーシングが有効です。

　CTC ではMSS（マネージドセキュリティサービス）を提供しており、お客様サイトで稼働しているセキュリティ製品のログをCTC-SOC（セキュリティオペレーションセンター）が 24時間365日でモニタリングを実施。さまざまな機器から通知されるセキュリティイベントを相関的に調査・分析を行い、発生している脅威をレベルに応じて報告します。

図 3. お客様サイトで稼働しているセキュリティ製品から CTC-SOC にログが送信されているイメージ

　脅威内容から緊急対処が必要と判断した場合（セキュリティインシデント）には、監視対象機器を使用した緊急措置（通信遮断）を実施されるため、自社のセキュリティレベルが一段と向上します。セキュリティ人材不足にお悩みの際は、アウトソーシングをご検討されてみては如何でしょうか？

　CTC-MSS の詳細については下記よりご覧いただけます。