いまからでも遅くない！サイバーセキュリティ人材育成

Transcript

1. ⽇本アイ・ビー・エム株式会社 テクノロジー事業本部 カスタマー・サクセス事業部 カスタマー ・サクセス・マネージャー 宮崎 紀⼦・⼭⽥ 宗義 いまからでも遅くない！ サイバーセキュリティ⼈材育成

2. 写真撮影 動画撮影 資料公開 SNS拡散 ◯ ◯ ◯ ◯ #IBMDojo セッション受講における注意事項

   セッション中に迷惑⾏為が発覚した場合は、強制退出、セッション中⽌などの措置を講じます

3. 本⽇のナビゲーター ⽇本IBM カスタマー・サクセス・マネージャー 宮崎 紀⼦(Noriko Miyazaki) ⽇本IBM カスタマー・サクセス・マネージャー ⼭⽥ 宗義(Muneyoshi

   Yamada)

4. • 世界のセキュリティトレンドを知る • サイバーセキュリティ⼈材に必要なスキルを知る • サイバーセキュリティ⼈材に必要なスキルを⾝に つける⽅法を知る 今⽇の⽬的とゴール サイバーセキュリティ⼈材が⽇本でもっと増えて欲しい という思いから、本セッションを開催しています。

5. 1. 世界のセキュリティトレンド

6. アメリカの場合 1. エントリーレベル（1-3年の経験） • 年収：約60,000〜90,000ドル 2. ミッドレベル（3-5年の経験） • 年収：約90,000〜120,000ドル 3.

   シニアレベル（5年以上の経験） • 年収：約120,000〜160,000ドル 4. セキュリティマネージャー／ディレクター • 年収：約130,000〜180,000ドル 5. チーフインフォメーションセキュリティオフィサー（CISO） • 年収：約180,000〜300,000ドル以上 サイバーセキュリティ⼈材のサラリー（個⼈調べ） サイバーセキュリティ⼈材のサラリーは、その職務内容、経験年数、地域、企業規模、資格などによって⼤きく異なりますが、⼀般的な⽬安を⽰します。 参考： (2024/5/20) Indeed, Cyber Insight：https://cyberinsight.co/what-is-the-salary-for-cyber-security/ , talent.com : https://www.talent.com/salary?job=cyber+security+manager, Hays : https://www.hays.co.jp/en/it/cyber-security-jobs

7. ⽇本の場合 1. エントリーレベル（1-3年の経験） • 年収：約400万円〜600万円 2. ミッドレベル（3-5年の経験） • 年収：約600万円〜800万円 3.

   シニアレベル（5年以上の経験） • 年収：約800万円〜1,200万円 4. セキュリティマネージャー／ディレクター • 年収：約1,000万円〜1,500万円 5. チーフインフォメーションセキュリティオフィサー（CISO） • 年収：約1,200万円〜2,500万円以上 サイバーセキュリティ⼈材のサラリー（個⼈調べ） 参考： (2024/5/20) Indeed, Cyber Insight：https://cyberinsight.co/is-cybersecurity-well-paid-in-japan/ , Morgan Mckinley : https://www.morganmckinley.com/jp/salary-guide/data/cyber-security- manager/tokyo , Hays : https://www.hays.co.jp/en/it/cyber-security-jobs , 求⼈ボックス：https://xn-- pckua2a7gp15o89zb.com/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E3%81%AE%E5%B 9%B4%E5%8F%8E%E3%83%BB%E6%99%82%E7%B5%A6 サイバーセキュリティ⼈材のサラリーは、その職務内容、経験年数、地域、企業規模、資格などによって⼤きく異なりますが、⼀般的な⽬安を⽰します。

8. サイバーセキュリティに関する問題が引き起こす経済的損失 引⽤：総務省 情報通信⽩書 令和5年 https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r05/html/nd24a220.html

9. 単位は100万⽶ドル データ侵害の総コスト 引⽤：IBM データ侵害のコストに関する調査2023年 https://www.ibm.com/jp-ja/reports/data-breach 約7億円

10. 2023/7/4 名古屋港のコンテナターミナルにおけるシステム障害発⽣。 約３⽇間、同ターミナルからのコンテナの搬⼊・搬出が停⽌し、 物流に⼤きな影響を与えた。 サイバーセキュリティ事件 【感染経路】 保守⽤VPNを通じて物理サーバにランサムウェアが侵⼊し、サーバ情報が暗号化 された 【主な問題点】 ◦保守作業に利⽤する外部接続部分のセキュリティ対策が⾒落とされていたこと

    ◦サーバ機器及びネットワーク機器の脆弱性対策が不⼗分であったこと ◦バックアップの取得対象と保存期間が不⼗分であったこと ◦システム障害発⽣時の対応⼿順が未整備であったこと 引⽤：国⼟交通省コンテナターミナルにおける情報セキュリティ対策等検討委員会について https://www.mlit.go.jp/kowan/kowan_mn2_000006.html

11. 2022年から2029年までに世界のネットワークセキュリティ業界のマーケットサイズ・需要が 220億ドルから530億ドルまで増加すると予測 (Fortune Business Insights, 2022 https://www.fortunebusinessinsights.com/industry-reports/network-security- market-100339) 世界中で約340万⼈のセキュリティ⼈材不⾜ (Cybersecurity

    Workforce Studyによる調査 ISC2, 2022 https://www.isc2.org/Research/Workforce-Study) ⼈⼯知能やVRや量⼦コンピューティングなどの新技術に対するセキュリティリスク (ISC2, 2022 https://www.isc2.org/Research/Workforce-Study) 既存の社内のインフラだけではなく、リモートワーク、モバイル、IoTデバイスのセキュリティ 対策 クラウド化が進むことによる情報セキュリティとプライバシーに関連するコンプライアンス対応 のためのセキュリティへの投資が増加している (Steffen, C. M, 2020 https://www.randori.com/reports/ema-using-compliance-build-red-team-capability/) 今後さらに需要が増していくセキュリティ領域

12. 2. サイバーセキュリティ⼈材に必要なスキル

13. サイバー （cyber：コンピュータの、 インターネットのなど）の情報を守ること サイバーセキュリティとは 13 サイバーセキュリティとは

14. 社内 PC データベース サーバー クラウド API アクセス ポイント アプリ IOT

    リモートPC モバイル WWW ハッカー ハッカー サイバーセキュリティ⼈材がカバーする技術領域

15. ステークホルダーとニーズ 技術的な機能と影響 社内のプロセスやポリシー 脅威とリスク （⼈的・運営的・⾃然など） 法律や規制 物理的な セキュリティ ⼈の⼼理・落とし⽳ 運営コストと保険

    1 5 サイバーセキュリティ⼈材に求められる知識 ７要素 機密性 完全性 可⽤性 真正性 (信ぴょう性) 信頼性 責任追跡性 （アカウンタ ビリティー） 否認防⽌

16. 1 6 レベル１：基礎知識 情報セキュリティ７要素 • 情報セキュリティの⽬的 • 機密性、可⽤性、完全性、信憑性、責任追跡性（アカウンタビリティー）など の要素とデータとサービスとのかかわり ゼロトラスト

    • ゼロトラスト・アプローチの重要性 • 既存のセキュリティ・モデルとの違い ネットワークの基本 • TCP/IP・OSI参照モデル • ⼀般的なネットワーク構成と機器 • データやシステムのアクセス、読み込み、暗号化

17. DevSecOps重要性 • セキュリティとプライバシー中⼼の開発 • CI/CDの効率化 • テスト中のプロセス システム開発・導⼊におけるチャレンジとアプローチ • コンプライアンス対応と市場投⼊までの時間のバランス

    • リモートワーク、モバイル、ハイブリッドクラウドに対応したセキュリティ対策 ハッキングと脅威の基本 • 脅威と脆弱性の基本 • ハッキングとは？ • エシカル・ハッキングと実体験 レベル２：システム開発と運営

18. 検知・インシデント対応と主なツール • セキュリティーツール • IRプロセスの主なフェーズ • 脅威からの３つのインパクト（操作・情報・リカバリーへの影響） リスク分析や調査⽅法 • コンプライアンス違反のリスクと影響

    • 監査⽤SOCレポート形式 業界の規制や法律と影響 • 業界規制と法律（GDPR、HIPAA、 Sarbanes-Oxley Act、 PCI-DSSなど） • フレームワーク（MITRE ATT&CK、NIST、 ISO、OWASPなど） • 会社のセキュリティ・リテラシー レベル３：情報セキュリティ部⾨における活動と仕組み

19. 3. サイバーセキュリティ⼈材に 必要なスキルを得る⽅法 1 9

20. 1. 実践的な経験 実際のサイバーセキュリティー関連する仕事をすることで、 実践的な経験を積む 2. セキュリティ・トレーニング 業界標準のサイバーセキュリティについての研修を受講する 3. 継続的な学習 最新のサイバーセキュリティトレンドや技術について常に学ぶ

    2 0 サイバーセキュリティ⼈材を育成する⽅法

21. 基礎を学ぶ 書籍や記事 を読む オンライン コースを 受講する オンライン フォーラムや コミュニティー に参加する

    実践的な スキル練習 l 攻撃の種類 l データ保護 l ネットワーク・ セキュリティなど l CompTIA Security+ l Certified Ethical Hacker（CEH） l Certified Information Systems Security Professional（CISSP） など 情報セキュリティに 関する⼊⾨書や論⽂ など 質問をしたり、知識を共有 したり、ディスカッションに 参加する 仮想ラボやシミュレー ション環境を利⽤し、 攻撃と対応を実践練習 セキュリティを学ぶステップ

22. 費⽤： ⽉額のサブスクリプション価格 （早く終われば学費が節約できる） 特徴： • オンライン学習サイト • ⼤学や企業が提供する⾼品質な 講座が受講できる •

    Discussion Forumsでほかの⽣ 徒や教授との交流ができる （コーセラ） 参照：https://www.coursera.org/professional-certificates/ibm-cybersecurity-analyst?aid=true#courses 22 IBMサイバーセキュリティ・アナリスト プロフェッショナル認定証

23. 種類 資格名 内容 国家試験 情報処理安全確保⽀援試験 情報セキュリティに関するIPAが実施している 国家資格 国家試験 情報セキュリティマネジメント試験 サイバー攻撃といった脅威から継続的に組織を守るための基

    本的なスキルを認定する試験 国際資格 CompTIA Security+ セキュリティ重視のITシステム管理や情報 セキュリティの実務経験、セキュリティコンセプトに関する 知識 ベンダー資格 シスコ技術者認定 ネットワーク機器メーカーであるシスコシステムズが 認定している 国際資格 CISM（Certified Information Security Manager） セキュリティマネージャーやセキュリティ コンサルタントなどのセキュリティプログラムに携わるプロ フェッショナルを対象とした資格 国際資格 ISC2資格 「CISSP」「CCSP」「SSCP」「CSSLP」といった 情報セキュリティのプロフェッショナルに求められる 要件をまとめた認定資格 2 3 ⽇本において注⽬されている情報セキュリティ認定資格

24. • Black Hat アメリカ、ヨーロッパ、アジアの3都市で開催される世界最⼤級の セキュリティカンファレンス https://www.blackhat.com/ • DEF CON 毎年アメリカのラスベガスで開催される、ハッカーのための祭典

    https://defcon.org/ • RSA Conference 暗号化や情報セキュリティを扱うカンファレンス https://www.rsaconference.com/usa セキュリティ関連のカンファレンス

25. • OWASP（Open Worldwide Application Security Project） 世界のセキュリティ専⾨家が集まって、診断の標準や規格などを 策定しているコミュニティ https://owasp.org/ •

    ISACA 情報システム、情報セキュリティ、ITガバナンス、リスク管理、 情報システム監査、情報セキュリティ監査等、情報通信技術専⾨家の 国際的団体 https://www.isaca.gr.jp/ セキュリティ関連のコミュニティ

26. ハンズオンラボ • TryHackMe：初⼼者歓迎、ゲームのように楽しくサイバーセキュリティを学ぶ 参考：https://tryhackme.com/ • Hack The Box ：ペネトレーションテストのスキル向上に 参考：https://www.hackthebox.com/

    実践的なトレーニング コンテスト • CTF（Capture The Flag）コンテストに参加し、実際のセキュリティ問題 を解決するスキルを養う。 ⽇本最⼤級のCTFに「Security Contest（SECCON）」がある。 参考：https://www.seccon.jp/13/

27. 情報セキュリティに関連する情報は 英語のサイトが多いですが、 英語が苦⼿です。 その場合はどうすれば良いですか？ 2 7

28. 2 8 ⽇本語のリソースを利⽤する ⽇本語の情報サイト • IPA（情報処理推進機構）：⽇本の公的機関で、セキュリティに関する ガイドラインや情報を提供している。 参考： https://www.ipa.go.jp/index.html •

    JPCERT/CC：特定の政府機関や企業からは独⽴した中⽴の組織として、 インターネットを介して発⽣する侵⼊やサービス妨害等のコンピュータ セキュリティインシデント対応や、セキュリティ情報や事例を公開している。 参考： https://www.jpcert.or.jp/ • ScanNetSecurity：サイバーセキュリティ情報誌の草分け的企業。 最新のセキュリティニュースやインシデント情報を提供している。 参考： https://scan.netsecurity.ne.jp/

29. 1. 翻訳ツールを使う 翻訳ツールを使って翻訳し理解する 2. コミュニティーで確認 訳がイマイチ理解できないときは、コミュニティーの 有識者を頼る 参考） knowledgehut :

    Top 22 Ethical Hacking Forums to Hangout in 2024（Ethical Hacker （ホワイトハッカー）のコミュニティーサイト情報） https://www.knowledgehut.com/blog/security/ethical-hacking-forums Meetup：サイバーセキュリティ関連の⽇本語のグループやイベントが多数開催されている Redditの⽇本語サブレディット：セキュリティに関する情報共有のコミュニティがある 私がおこなっている⽅法

30. • 知識範囲が広いため体系⽴ったオンライン学習は 有効である • 仮想ラボやシミュレーション環境を利⽤し、 実践練習を通じた学びの機会を作る • オンラインフォーラムやコミュニティーに参加し、 最新情報を得続ける仕組みをもっておく これから学んでいく⽅へのメッセージ

31. • 世界のセキュリティトレンド • サイバーセキュリティ⼈材に必要なスキル • サイバーセキュリティ⼈材に必要なスキルを⾝に つける⽅法 まとめ Call to

    Action 今⽇のセッションを聞いて、あなたは どこから始めようと思いましたか？ ぜひアンケートに書いて教えてください。

32. ワークショップ、セッション、および資料は、IBMまたはセッション発表者によって準備され、それぞれ独⾃の⾒解を反映したものです。それらは情報 提供の⽬的のみで提供されており、いかなる参加者に対しても法律的またはその他の指導や助⾔を意図したものではなく、またIBM製品やサービスがお 客様に適⽤ある特定の法令に適合することを保証するものでもありません。本講演資料に含まれている情報については、完全性と正確性を期するよう努 めておりますが、「現状のまま」提供され、明⽰または黙⽰にかかわらず、商業性、特定の⽬的への適合性、⾮侵害性を含め、いかなる保証も伴わない ものとします。本講演資料またはその他の資料の使⽤によって、あるいはその他の関連によって、いかなる損害が⽣じた場合も、IBMは責任を負わない ものとします。 本講演資料で⾔及されるIBM製品、プログラム、またはサービスは、IBMがビジネスを⾏っているすべての国・地域でご提供可能なわけ ではありません。本講演資料で⾔及される将来の展望（製品リリース⽇付や製品機能を含む）は、市場機会またはその他の要因に基づいてIBM独⾃の決 定権をもっていつでも変更できるものとし、将来の製品または機能が使⽤可能になること、もしくは特定の結果を確約することを意図するものではあり ません。本講演資料は、⾔及される

    IBM製品またはサービスに適⽤ある契約条件を変更するものでも、追加の表明または保証を意図するものでもありま せん。 本講演資料に含まれている内容は、参加者の活動によって特定の結果が⽣じると述べる、または暗⽰することを意図したものでも、またそのような結果 を⽣むものでもありません。 パフォーマンスは、管理された環境において標準的なIBMベンチマークを使⽤した測定と予測に基づいています。ユーザー が経験する実際のスループットやパフォーマンスは、ユーザーのジョブ・ストリームにおけるマルチプログラミングの量、⼊出⼒構成、ストレージ構成、 および処理されるワークロードなどの考慮事項を含む、数多くの要因に応じて変化します。したがって、個々のユーザーがここで述べられているものと 同様の結果を得られると確約するものではありません。記述されているすべてのお客様事例は、それらのお客様がどのようにIBM製品を使⽤したか、ま たそれらのお客様が達成した結果の実例として⽰されたものです。実際の環境コストおよびパフォーマンス特性は、お客様ごとに異なる場合があります。 • IBM、IBM ロゴ、ibm.comは、 世界の多くの国で登録されたInternational Business Machines Corporationの商標です。他の製品名およびサービス 名等は、それぞれIBMまたは各社の商標である場合があります。現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml をご覧ください。 [以下特定の他社商標についての商標帰属表⽰] courseraはCoursera, Inc.,の登録商標です。
33. None