Upgrade to Pro — share decks privately, control downloads, hide ads and more …

いまからでも遅くない!サイバーセキュリティ人材育成

 いまからでも遅くない!サイバーセキュリティ人材育成

2024/5/21に開催したセッション資料です。

Noriko Miyazaki

May 21, 2024
Tweet

More Decks by Noriko Miyazaki

Other Decks in Education

Transcript

  1. 写真撮影 動画撮影 資料公開 SNS拡散 ◯ ◯ ◯ ◯ #IBMDojo セッション受講における注意事項

    セッション中に迷惑⾏為が発覚した場合は、強制退出、セッション中⽌などの措置を講じます
  2. アメリカの場合 1. エントリーレベル(1-3年の経験) • 年収:約60,000〜90,000ドル 2. ミッドレベル(3-5年の経験) • 年収:約90,000〜120,000ドル 3.

    シニアレベル(5年以上の経験) • 年収:約120,000〜160,000ドル 4. セキュリティマネージャー/ディレクター • 年収:約130,000〜180,000ドル 5. チーフインフォメーションセキュリティオフィサー(CISO) • 年収:約180,000〜300,000ドル以上 サイバーセキュリティ⼈材のサラリー(個⼈調べ) サイバーセキュリティ⼈材のサラリーは、その職務内容、経験年数、地域、企業規模、資格などによって⼤きく異なりますが、⼀般的な⽬安を⽰します。 参考: (2024/5/20) Indeed, Cyber Insight:https://cyberinsight.co/what-is-the-salary-for-cyber-security/ , talent.com : https://www.talent.com/salary?job=cyber+security+manager, Hays : https://www.hays.co.jp/en/it/cyber-security-jobs
  3. ⽇本の場合 1. エントリーレベル(1-3年の経験) • 年収:約400万円〜600万円 2. ミッドレベル(3-5年の経験) • 年収:約600万円〜800万円 3.

    シニアレベル(5年以上の経験) • 年収:約800万円〜1,200万円 4. セキュリティマネージャー/ディレクター • 年収:約1,000万円〜1,500万円 5. チーフインフォメーションセキュリティオフィサー(CISO) • 年収:約1,200万円〜2,500万円以上 サイバーセキュリティ⼈材のサラリー(個⼈調べ) 参考: (2024/5/20) Indeed, Cyber Insight:https://cyberinsight.co/is-cybersecurity-well-paid-in-japan/ , Morgan Mckinley : https://www.morganmckinley.com/jp/salary-guide/data/cyber-security- manager/tokyo , Hays : https://www.hays.co.jp/en/it/cyber-security-jobs , 求⼈ボックス:https://xn-- pckua2a7gp15o89zb.com/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E3%81%AE%E5%B 9%B4%E5%8F%8E%E3%83%BB%E6%99%82%E7%B5%A6 サイバーセキュリティ⼈材のサラリーは、その職務内容、経験年数、地域、企業規模、資格などによって⼤きく異なりますが、⼀般的な⽬安を⽰します。
  4. 2023/7/4 名古屋港のコンテナターミナルにおけるシステム障害発⽣。 約3⽇間、同ターミナルからのコンテナの搬⼊・搬出が停⽌し、 物流に⼤きな影響を与えた。 サイバーセキュリティ事件 【感染経路】 保守⽤VPNを通じて物理サーバにランサムウェアが侵⼊し、サーバ情報が暗号化 された 【主な問題点】 ◦保守作業に利⽤する外部接続部分のセキュリティ対策が⾒落とされていたこと

    ◦サーバ機器及びネットワーク機器の脆弱性対策が不⼗分であったこと ◦バックアップの取得対象と保存期間が不⼗分であったこと ◦システム障害発⽣時の対応⼿順が未整備であったこと 引⽤:国⼟交通省コンテナターミナルにおける情報セキュリティ対策等検討委員会について https://www.mlit.go.jp/kowan/kowan_mn2_000006.html
  5. 2022年から2029年までに世界のネットワークセキュリティ業界のマーケットサイズ・需要が 220億ドルから530億ドルまで増加すると予測 (Fortune Business Insights, 2022 https://www.fortunebusinessinsights.com/industry-reports/network-security- market-100339) 世界中で約340万⼈のセキュリティ⼈材不⾜ (Cybersecurity

    Workforce Studyによる調査 ISC2, 2022 https://www.isc2.org/Research/Workforce-Study) ⼈⼯知能やVRや量⼦コンピューティングなどの新技術に対するセキュリティリスク (ISC2, 2022 https://www.isc2.org/Research/Workforce-Study) 既存の社内のインフラだけではなく、リモートワーク、モバイル、IoTデバイスのセキュリティ 対策 クラウド化が進むことによる情報セキュリティとプライバシーに関連するコンプライアンス対応 のためのセキュリティへの投資が増加している (Steffen, C. M, 2020 https://www.randori.com/reports/ema-using-compliance-build-red-team-capability/) 今後さらに需要が増していくセキュリティ領域
  6. 社内 PC データベース サーバー クラウド API アクセス ポイント アプリ IOT

    リモートPC モバイル WWW ハッカー ハッカー サイバーセキュリティ⼈材がカバーする技術領域
  7. ステークホルダーとニーズ 技術的な機能と影響 社内のプロセスやポリシー 脅威とリスク (⼈的・運営的・⾃然など) 法律や規制 物理的な セキュリティ ⼈の⼼理・落とし⽳ 運営コストと保険

    1 5 サイバーセキュリティ⼈材に求められる知識 7要素 機密性 完全性 可⽤性 真正性 (信ぴょう性) 信頼性 責任追跡性 (アカウンタ ビリティー) 否認防⽌
  8. 1 6 レベル1:基礎知識 情報セキュリティ7要素 • 情報セキュリティの⽬的 • 機密性、可⽤性、完全性、信憑性、責任追跡性(アカウンタビリティー)など の要素とデータとサービスとのかかわり ゼロトラスト

    • ゼロトラスト・アプローチの重要性 • 既存のセキュリティ・モデルとの違い ネットワークの基本 • TCP/IP・OSI参照モデル • ⼀般的なネットワーク構成と機器 • データやシステムのアクセス、読み込み、暗号化
  9. DevSecOps重要性 • セキュリティとプライバシー中⼼の開発 • CI/CDの効率化 • テスト中のプロセス システム開発・導⼊におけるチャレンジとアプローチ • コンプライアンス対応と市場投⼊までの時間のバランス

    • リモートワーク、モバイル、ハイブリッドクラウドに対応したセキュリティ対策 ハッキングと脅威の基本 • 脅威と脆弱性の基本 • ハッキングとは? • エシカル・ハッキングと実体験 レベル2:システム開発と運営
  10. 検知・インシデント対応と主なツール • セキュリティーツール • IRプロセスの主なフェーズ • 脅威からの3つのインパクト(操作・情報・リカバリーへの影響) リスク分析や調査⽅法 • コンプライアンス違反のリスクと影響

    • 監査⽤SOCレポート形式 業界の規制や法律と影響 • 業界規制と法律(GDPR、HIPAA、 Sarbanes-Oxley Act、 PCI-DSSなど) • フレームワーク(MITRE ATT&CK、NIST、 ISO、OWASPなど) • 会社のセキュリティ・リテラシー レベル3:情報セキュリティ部⾨における活動と仕組み
  11. 基礎を学ぶ 書籍や記事 を読む オンライン コースを 受講する オンライン フォーラムや コミュニティー に参加する

    実践的な スキル練習 l 攻撃の種類 l データ保護 l ネットワーク・ セキュリティなど l CompTIA Security+ l Certified Ethical Hacker(CEH) l Certified Information Systems Security Professional(CISSP) など 情報セキュリティに 関する⼊⾨書や論⽂ など 質問をしたり、知識を共有 したり、ディスカッションに 参加する 仮想ラボやシミュレー ション環境を利⽤し、 攻撃と対応を実践練習 セキュリティを学ぶステップ
  12. 費⽤: ⽉額のサブスクリプション価格 (早く終われば学費が節約できる) 特徴: • オンライン学習サイト • ⼤学や企業が提供する⾼品質な 講座が受講できる •

    Discussion Forumsでほかの⽣ 徒や教授との交流ができる (コーセラ) 参照:https://www.coursera.org/professional-certificates/ibm-cybersecurity-analyst?aid=true#courses 22 IBMサイバーセキュリティ・アナリスト プロフェッショナル認定証
  13. 種類 資格名 内容 国家試験 情報処理安全確保⽀援試験 情報セキュリティに関するIPAが実施している 国家資格 国家試験 情報セキュリティマネジメント試験 サイバー攻撃といった脅威から継続的に組織を守るための基

    本的なスキルを認定する試験 国際資格 CompTIA Security+ セキュリティ重視のITシステム管理や情報 セキュリティの実務経験、セキュリティコンセプトに関する 知識 ベンダー資格 シスコ技術者認定 ネットワーク機器メーカーであるシスコシステムズが 認定している 国際資格 CISM(Certified Information Security Manager) セキュリティマネージャーやセキュリティ コンサルタントなどのセキュリティプログラムに携わるプロ フェッショナルを対象とした資格 国際資格 ISC2資格 「CISSP」「CCSP」「SSCP」「CSSLP」といった 情報セキュリティのプロフェッショナルに求められる 要件をまとめた認定資格 2 3 ⽇本において注⽬されている情報セキュリティ認定資格
  14. • Black Hat アメリカ、ヨーロッパ、アジアの3都市で開催される世界最⼤級の セキュリティカンファレンス https://www.blackhat.com/ • DEF CON 毎年アメリカのラスベガスで開催される、ハッカーのための祭典

    https://defcon.org/ • RSA Conference 暗号化や情報セキュリティを扱うカンファレンス https://www.rsaconference.com/usa セキュリティ関連のカンファレンス
  15. • OWASP(Open Worldwide Application Security Project) 世界のセキュリティ専⾨家が集まって、診断の標準や規格などを 策定しているコミュニティ https://owasp.org/ •

    ISACA 情報システム、情報セキュリティ、ITガバナンス、リスク管理、 情報システム監査、情報セキュリティ監査等、情報通信技術専⾨家の 国際的団体 https://www.isaca.gr.jp/ セキュリティ関連のコミュニティ
  16. ハンズオンラボ • TryHackMe:初⼼者歓迎、ゲームのように楽しくサイバーセキュリティを学ぶ 参考:https://tryhackme.com/ • Hack The Box :ペネトレーションテストのスキル向上に 参考:https://www.hackthebox.com/

    実践的なトレーニング コンテスト • CTF(Capture The Flag)コンテストに参加し、実際のセキュリティ問題 を解決するスキルを養う。 ⽇本最⼤級のCTFに「Security Contest(SECCON)」がある。 参考:https://www.seccon.jp/13/
  17. 2 8 ⽇本語のリソースを利⽤する ⽇本語の情報サイト • IPA(情報処理推進機構):⽇本の公的機関で、セキュリティに関する ガイドラインや情報を提供している。 参考: https://www.ipa.go.jp/index.html •

    JPCERT/CC:特定の政府機関や企業からは独⽴した中⽴の組織として、 インターネットを介して発⽣する侵⼊やサービス妨害等のコンピュータ セキュリティインシデント対応や、セキュリティ情報や事例を公開している。 参考: https://www.jpcert.or.jp/ • ScanNetSecurity:サイバーセキュリティ情報誌の草分け的企業。 最新のセキュリティニュースやインシデント情報を提供している。 参考: https://scan.netsecurity.ne.jp/
  18. 1. 翻訳ツールを使う 翻訳ツールを使って翻訳し理解する 2. コミュニティーで確認 訳がイマイチ理解できないときは、コミュニティーの 有識者を頼る 参考) knowledgehut :

    Top 22 Ethical Hacking Forums to Hangout in 2024(Ethical Hacker (ホワイトハッカー)のコミュニティーサイト情報) https://www.knowledgehut.com/blog/security/ethical-hacking-forums Meetup:サイバーセキュリティ関連の⽇本語のグループやイベントが多数開催されている Redditの⽇本語サブレディット:セキュリティに関する情報共有のコミュニティがある 私がおこなっている⽅法
  19. • 世界のセキュリティトレンド • サイバーセキュリティ⼈材に必要なスキル • サイバーセキュリティ⼈材に必要なスキルを⾝に つける⽅法 まとめ Call to

    Action 今⽇のセッションを聞いて、あなたは どこから始めようと思いましたか? ぜひアンケートに書いて教えてください。
  20. ワークショップ、セッション、および資料は、IBMまたはセッション発表者によって準備され、それぞれ独⾃の⾒解を反映したものです。それらは情報 提供の⽬的のみで提供されており、いかなる参加者に対しても法律的またはその他の指導や助⾔を意図したものではなく、またIBM製品やサービスがお 客様に適⽤ある特定の法令に適合することを保証するものでもありません。本講演資料に含まれている情報については、完全性と正確性を期するよう努 めておりますが、「現状のまま」提供され、明⽰または黙⽰にかかわらず、商業性、特定の⽬的への適合性、⾮侵害性を含め、いかなる保証も伴わない ものとします。本講演資料またはその他の資料の使⽤によって、あるいはその他の関連によって、いかなる損害が⽣じた場合も、IBMは責任を負わない ものとします。 本講演資料で⾔及されるIBM製品、プログラム、またはサービスは、IBMがビジネスを⾏っているすべての国・地域でご提供可能なわけ ではありません。本講演資料で⾔及される将来の展望(製品リリース⽇付や製品機能を含む)は、市場機会またはその他の要因に基づいてIBM独⾃の決 定権をもっていつでも変更できるものとし、将来の製品または機能が使⽤可能になること、もしくは特定の結果を確約することを意図するものではあり ません。本講演資料は、⾔及される

    IBM製品またはサービスに適⽤ある契約条件を変更するものでも、追加の表明または保証を意図するものでもありま せん。 本講演資料に含まれている内容は、参加者の活動によって特定の結果が⽣じると述べる、または暗⽰することを意図したものでも、またそのような結果 を⽣むものでもありません。 パフォーマンスは、管理された環境において標準的なIBMベンチマークを使⽤した測定と予測に基づいています。ユーザー が経験する実際のスループットやパフォーマンスは、ユーザーのジョブ・ストリームにおけるマルチプログラミングの量、⼊出⼒構成、ストレージ構成、 および処理されるワークロードなどの考慮事項を含む、数多くの要因に応じて変化します。したがって、個々のユーザーがここで述べられているものと 同様の結果を得られると確約するものではありません。記述されているすべてのお客様事例は、それらのお客様がどのようにIBM製品を使⽤したか、ま たそれらのお客様が達成した結果の実例として⽰されたものです。実際の環境コストおよびパフォーマンス特性は、お客様ごとに異なる場合があります。 • IBM、IBM ロゴ、ibm.comは、 世界の多くの国で登録されたInternational Business Machines Corporationの商標です。他の製品名およびサービス 名等は、それぞれIBMまたは各社の商標である場合があります。現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml をご覧ください。 [以下特定の他社商標についての商標帰属表⽰] courseraはCoursera, Inc.,の登録商標です。