本日の情報セキュリティコラム(2014年2月28日)

TOP 平成25年度サイバーセキュリティ月間 本日の情報セキュリティコラム 本日の情報セキュリティコラム(2014年2月28日)

本日の情報セキュリティコラム(2014年2月28日)

2014年2月28日

育てろ!情報セキュリティ人財

NRIセキュアテクノロジーズ株式会社 上級セキュリティコンサルタント
与儀 大輔
兼務 日本ネットワークセキュリティ協会 幹事
情報セキュリティ教育事業者連絡会 代表
情報セキュリティ大学院大学 客員研究員
 ITインフラにセキュリティが不可欠になって久しい。
 私は10年以上に渡り情報セキュリティ人材育成分野に携わっているが、リーマンショック以降、もともと多くはなかった企業・組織のセキュリティ教育予算が更に削減され、厳しい状態が続いてきた。講演の機会を頂戴するたびに、経営者の皆様には予算の確保をお願いしているが、改善されているとは言えないと実感している。
 そのつけが回ってきた結果と言えるのが、我が国の深刻な情報セキュリティ人材不足である。これについては国も認識しており、政府の情報セキュリティ政策会議等において「サイバーセキュリティ戦略」、3 カ年計画である「第1次・第2次 情報セキュリティ基本計画」、単年度計画である「サイバーセキュリティ2013」、「情報セキュリティ人材育成プログラム」など、人材育成の重要性と基本方針が示された。しかしながら我が国の現状は、情報処理推進機構(IPA)の「情報セキュリティ人材の育成に関する基礎調査」(2012 年4 月27 日)によると、従業員100 人以上の企業の情報セキュリティ技術者は現在約23万人いるが、そのうち約14万人は何らかの教育やトレーニングを受ける必要があり、また技術者の総数も約2.2 万人ほど不足していると推計されている。この結果からも、セキュリティ人材育成のフレームワークの開発や更なる教育コースの充実、スキルの可視化、教育予算の拡充等が、我が国の喫緊の課題であると言わざるを得ないのではないだろうか。
 
 
 昨今は攻撃手法も日々進化すると共に多様化し、これに対処するために多層防御なども提唱されているが、セキュリティ担当者は限られた予算の中で、満足な教育を受ける事も出来ないまま、見えない脅威と向き合い戦っている。自組織のセキュリティをより高度化する為にはポリシーの策定から始まり、システムやツールの導入、脆弱性診断など、行うべきことは多岐に渡る。更に彼らは多くの専門知識と、導入したセキュリティを形骸化させないための知恵や攻撃者と相対する実践力、経営陣へセキュリティを分かりやすく説明するコミュニケーション能力までもが求められている。
 NRIセキュアテクノロジーズが発行する「企業における情報セキュリティ実態調査 2013」によると、セキュリティ人材が不足していると感じる企業は85%であり、本年度重視する情報セキュリティ対策として、「社内人材の育成や従業員教育」が昨年の3位(28%)から1位(44%)に急上昇している。徐々にではあるが、人材育成が必要不可欠である事への理解が進みつつ有るのではないだろうか。
 

 
 「人は城、人は石垣、人は堀」という言葉があるが、私は、セキュリティ人材とはセキュリティを構成する材料ではなく、掛け替えのない財産である「人財」と考えている。是非とも経営者の皆様には情報セキュリティへの理解を深めて頂き、必要な教育予算の確保をお願いしたい。
 
 日々見えざる脅威から、自組織の、国家の情報セキュリティを守る為に奮闘する同志と諸先輩の皆様に敬意を表して筆を置く。
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。

気付いたらセキュリティ業界に入って15年目に突入。今までを振り返り、
これからを考える。 

合同会社セキュリティ・プロフェッショナルズ・ネットワーク 代表社員
吉田 英二

 年をとると時間が早く過ぎるというが、本当にあっという間に2013年が終わり2014年になった。ふと考えてみたら、1999年にセキュリティ業界に入ったので15年目に突入している。私のセキュリティ業界15周年記念ということで、昔を少し振り返ってみよう。
 
 私がセキュリティ業界に入った1999年頃は世間のセキュリティ意識が今とは比べ物にならないくらい低く、セキュリティ診断を行うと省庁のWebサーバでもパスワードが設定されていないものが見つかったりするほどだ。実際、2000年頃は省庁のWebサイトが改ざんされる事件が多発した。だが、そんな脆弱なWebサーバを踏み台にしても、攻撃者にとって魅力的な情報が多い社内ネットワークに侵入するのはNAPTの壁があって難しかった。
 
 しかし、社内ネットワークに侵入したいならDMZにあるサーバではなく社内のクライアントを攻撃して踏み台にすれば良いことに攻撃者は気付き始め、Webブラウザといったクライアントで使われることの多いソフトを狙うようになった。受動的攻撃(クライアントサイド・アタック)の始まりだ。2001年にはNimdaワームが登場し、Internet Explorerの脆弱性を利用して感染することで猛威を振るっている。
 
 改ざん事件が多発したりワームが猛威を振るったりしたことから2000年以降は徐々に世間のセキュリティ意識が高まり始めた。防御策としてWebサーバのOSやサービスにパッチが適用されたり十分なセキュリティ設定が施されたりするようになると、攻撃者はその上で動いている脆弱なWebアプリケーションを狙うようになった。よく耳にするクロスサイトスクリプティングも2000年頃から騒がれるようになった脆弱性だ。
 
 こうして振り返ると、今世間を騒がしている脆弱性や攻撃手法の多くは2000年頃には存在していたものが多い。もちろん、今までセキュリティ業界が何もしなかったわけではない。セキュリティ業界が攻撃を防ぐ仕組みや製品を提供すると、攻撃者はそれらを無力化する攻撃手法を考え出すといった「いたちごっこ」を繰り返して今に至っている。不謹慎かもしれないが、このいたちごっこが私を飽きさせない。
 
 これからについても少し考えてみよう。攻撃者がこれから何を狙うか考えると、やはりスマートフォンやゲーム機だろう。それらは電源が常時ONでカメラやマイクが搭載されているので侵入できれば盗撮や盗聴ができる。情報収集を目的とした攻撃者にとって、これほど魅力的な攻撃対象を見逃すわけがない。そして少々先の話になるかもしれないが、Google Glassといった拡張現実ウェアラブルコンピュータも狙われると私は考えている。新しい技術は攻撃者にも新しい可能性を与えてくれるからだ。セキュリティ業界と攻撃者のいたちごっこは、こうした新しい技術を巻き込みながらこれからも発展していくのだろう。
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。