2016年2月26日
2016年2月26日
2016年2月26日(金)
未来のセキュリティ女子のために
NTTコムセキュリティ株式会社
佐藤 華織
約10年前にIT、ましてはセキュリティについて全く知識も興味もない状態で、偶然この業界に入ることになりました。何もかもが初めて見聞きするものばかりでしたが、周りのサポートもあり、一から勉強することを楽しく感じ、様々な業務を経て、今はWAF(Web Application Firewall)のログ分析をしています。
この10年、苦労したことはたくさんありました。まず、ITの基礎知識を身に付け、その上で様々な攻撃、それに対する防御等々、勉強することはたくさんあります。また、これらの知識は一度身に付ければ良いわけでもなく、新しい技術、巧妙に形を変え進化する攻撃手法・・・必要な知識は更に高度化するばかりです。
このように目まぐるしく毎日の中、ふと周りを見渡しますと、この業界、女子が少ないことに気が付きます。そういった話もよく聞きますし、実際私の周りでも女子は圧倒的に少ないです。それはなぜでしょうか?
例えば、WAFのログ分析業務だけで考えてみますと、日々たくさんのログの中から攻撃と思われるログを探し出すことに男女の能力差はあまり関係がないと思います。むしろ、細やかな作業を得意とする女子には向いているのでは?とさえ思います。一方で、不審なログを探す作業には、それ相応の知識と経験の裏付けが必要となります。つまり、1つ1つの業務は女子でも問題なくこなせるはずですが、セキュリティエンジニアとして業務をするためには、ITセキュリティに関する知識と興味がなければいけません。そこに行き着くところに、女子にとって高いハードルがあるように思います。そのハードルにはどうしても男女の育ってきた環境の差が関係していると思うのです。
一概には言えませんが、一般的に子供の頃、男の子が電車や車、ゲームなどに興味を持ち、その仕組みが気になったり攻略したくなったりする最中、女の子はおままごとで料理の真似事や、お人形でファッションやヘアースタイルの腕を磨くことに尽力したのではないでしょうか?このような時代を経た女子たちは、SNSやスマートフォンの発達でより身近になったITをそういう方面に駆使するだけで、セキュリティについては全く興味がない、という状況になっているのではないでしょうか。
もちろん、セキュリティ女子として第一線で活躍している人もいます。では、そんな女子と、ITに全く興味を持てない女子の違いはなんでしょうか?それは「きっかけ」だと思います。自ら「きっかけ」を作った人、周りの人から「きっかけ」を得た人など様々だと思いますが、今セキュリティ業界にいる私たちにできることは「きっかけ」を少しでもたくさんの女子に提供することだと思います。実際に興味を持って勉強するには女子自身の努力が必要ですが、まずは男子や運良く「きっかけ」を得た女子と同じように、全ての女子に「きっかけ」が与えられ、未来のセキュリティ女子が育つ土壌作りを目指していけたらと思います。特にこの業界で活躍しているお父さんたち、その優秀な遺伝子を持ったお子さん(特に女子)をぜひセキュリティエンジニアへ育て上げませんか?!
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2016年2月26日(金)
ヒト・モノ・カネ、全て足りない組織がこの先生き残るには
国立大学法人千葉大学 学術国際部 情報企画課長
西城 泰裕
国の厳しい財政事情を反映し、私が勤務している千葉大学も財政的には非常に厳しく、「セキュリティはコストではなく投資である!」「経営者は経営上の問題としてセキュリティに積極的に投資せよ!」などと言われても、経営上の課題はそれだけではなく、数多ある課題の中で、最近優先順位が上がってきている課題の一つに過ぎず、そう簡単には予算を付けてくれるわけではありません。また、「セキュリティ人材が8万人不足している!」「セキュリティ人材の育成は大学の責務である!」などと言われたところで、大学で実際にセキュリティ対策を行っている現場に人が付くことはありません。よほど重大なインシデントを起こしてしまい、思いがけなく人や予算が付いてしまった!ということでも無い限り、多くの組織はセキュリティに掛けるお金も人も物も無いのが実情だろうと思います。それでもリソース不足を理由にセキュリティ対策をやらなければ、いずれ大きなインシデントが発生したときに、まず表向きに責任を取らされるのは経営層や管理職かと思いますが、様々な形で最終的に責任を取らされるのは現場の担当者になるでしょう。経営層のセキュリティに関する認識が甘いが故に適切な資源配分がなされていないのであれば、なおさらそうなるのではないかと思います。
それでは、このような組織がこの先生き残って行くにはどうしたらよいのでしょうか。
一つのヒントが防災対策にあります。防災対策においては「自助」「共助」「公助」という考えが重要とされており、まずは自分で自分の身を守るという「自助」があり、次いで周りの人たちと助け合う「共助」により足りない分を補い、最後に公的機関による「公助」があるというもので、それぞれ「7:2:1」のバランスが良いとされているようです。
自組織のセキュリティ対策に当てはめた場合に、皆さんの組織ではそれぞれのバランスはいかがでしょうか?「自助」については、多少はあれど、何かしらの対策は皆さん取られているかと思います。一方、「共助」と「公助」はいかがでしょうか?平時から情報共有を図って協力し合える関係にある学外・社外の組織はあるでしょうか?インシデント発生時に協力・支援を求めることが出来る他の組織はあるでしょうか?サイバー攻撃を受けた場合など公的機関に連絡・通報を行う支援を求める体制になっているでしょうか?もしこれらの他組織への協力・支援を求めることを想定していないとしたら、自力で全て解決できる体制になっているでしょうか?
本学もそうですが、現実には自力で全て解決できる組織はまず無いと思います。ですので、他組織との連携を行う場合に必要な体制、つまりCERT(サート)やCSIRT(シーサート)と呼ばれるインシデント対処体制の整備を図った上で、自組織と近い他組織のCSIRTと連携・協力し、インシデント情報の共有や諸々の情報交換を日頃から密にすることで「共助」を行い、インシデントの早期発見・早期対処につなげていくことが重要かと思います。大学の場合は行政機関や民間企業と異なり、多様な構成員に加えて、独立性の高い組織の集合体ですので、必ずしも学外組織との連携でなくとも、学内のシステム担当者間で連携・協力できる体制を作るだけでも十分かと思います。
また、「公助」については、監督官庁や都道府県警察、IPAやJPCERT等による支援が考えられますが、いざという時の連絡先程度に考えておくのが良いかと思います。ただし、これも支援を受けられることがある、ということを知っているのと知らないのとでは、やはり違ってくると思います。防災の世界でも「公助の限界」ということが言われておりますので、過度に期待することなく、自助・共助を基本として対策を進めるべきかと思います。
そして最後に「自助」ですが、肝となるのは、やはり人材育成です。「大学が育ててくれよ!」と言われそうですが、それはそれとして、皆さんの組織にも既にセキュリティ人材の候補者が存在していると思います。それはネットワーク技術者であったり、サーバ管理者であったり、あるいは技術者ではなく、ただの事務職員であったりするかもしれません。方法は簡単で、外部からセキュリティ人材を招聘し、その方の下で一定期間集中的に鍛え上げるというだけです。「いやいや、一体どこからそんな人材を連れてくるんですか?!」という声が聞こえてきそうですが、そこはまずCSIRTを立ち上げて、よそのCSIRTと仲良くなって連れて来ることを検討してください。「いや、そうは言ってもCSIRTを作るにはまずセキュリティ人材が・・・。」いえいえ、最初は皆手探りでスタートしています。1人でスタートしているCSIRTも少なくありません。熱意のある人材が1人いれば何とかなります。あとはその人の熱意を消さないよう、上の方が、組織が、様々な形で応援してください。重要なのは、組織としてセキュリティ人材を中長期的に育成するという明確な意図のもと、継続性をもって取り組むということです。
最後に、国立大学や独立行政法人向けに一言だけ言わせていただければと思います。SOC等の「公助」が今後拡大する流れになっていますが、だからと言って「自助」を軽視しないでください。「公助」には限界があります。防災でもセキュリティでも、やはり最後は「自分の身は自分で守る」のが鉄則ですので。。。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。