企業、組織で活躍する情報処理安全確保支援士の皆さんは、これまで様々な経験を経て情報処理安全確保支援士に合格するだけのスキルを習得してこられたと思います。
一方、自分ではなく、部下や後輩のセキュリティスキルを向上させることを考えると、どこから手をつけていいか分からないということもあるのではないでしょうか?
セキュリティ人材を育成に関しては、様々な取組がされていますが、IPAが2014年に作成(2015年に改定)した「ITのスキル指標を活用した情報セキュリティ人材育成ガイド」を改めて読み返すと、今でも十分に通用する内容でした。
本記事では、 情報セキュリティ人材の育成に役立てていただけるよう「ITのスキル指標を活用した情報セキュリティ人材育成ガイド」(本ガイドラインと呼びます) のポイントを紹介したいと思います。
「 ITのスキル指標を活用した情報セキュリティ人材育成ガイド 」本文は、以下からダウンロード可能
本ガイドラインのねらい
本ガイドでは、企業が対策を行うべき50種類以上の情報セキュリティ上の脅威のなかから、最近特に注目されている脅威を6つ取り上げ、その脅威によって発生する被害を防ぐためにはどのような対策が必要なのか、また、その対策を実施するためには、どのような役割(人材)が重要なのかを、例として紹介しています。(本ガイドラインから引用)
ここで挙げられている6つの脅威は、以下のとおりです。
・脅威1:標的型攻撃・サーバー攻撃
・脅威2:不正アクセス
・脅威3:エクスプロイト
・脅威4:クラウド利用におけるデータ消失・流出
・脅威5:スマートデバイスからの情報漏えい
・脅威6:内部不正・うっかりミス
これらの脅威は、今日でも殆ど変わりませんが、強いて言えばランサムウェアを追加したいところです。
各脅威への対策実施、必要な役割と人材
上記で示した6つの脅威について、以下が3点が整理されています。
1.各脅威の説明
例えば、脅威1:標的型攻撃・サーバー攻撃では、脅威を図解つきで、以下のように解説しています。
※本ガイドラインから引用
2.各脅威に対する対策実施チェックリスト
各脅威に対して、実施が必要な項目をチェックリストとして確認できるようになっています。
上記の 脅威1:標的型攻撃・サーバー攻撃に関するチェックリストは以下のとおりです。
※本ガイドラインから引用
3.被害を防ぐために必要な役割とそれを担う人材
上記の対策を実施するのに必要な役割を説明し、その役割を担う人材が「情報セキュリティ強化対応スキル指標」のどの役割に相当するかの紐づけを行っています。
例えば、 脅威1:標的型攻撃・サーバー攻撃 では、システム運用において、セキュリティ障害管理
(事故の検知、初動対応、分析、復旧等)のタスクを実行する役割が求められます。
この役割は、 「情報セキュリティ強化対応スキル指標」 でいう以下の2つの役割が対応します。
※本ガイドラインから引用
情報セキュリティ強化対応スキル指標
IPAでは、情報セキュリティを担うIT人材の育成促進を目的として、「情報セキュリティ強化対応スキル指標」を公表しています(2014年8月)。
これは、情報セキュリティを担う人材としてITベンダー企業とユーザー企業に必要な役割定義を
例示し、役割ごとに想定される業務(タスク)とそれに必要なスキルを対応づけて紹介したものとなっています。
情報セキュリティ強化対応スキル指標は、以下からダウンロード可能です。
情報セキュリティスキル強化についての取り組み:IPA 独立行政法人 情報処理推進機構
IPAのゼロトラスト指南書が面白い (kurage8.com)
政府情報システムにおけるゼロトラスト適用に向けた考え方 (kurage8.com)
次期サイバーセキュリティ戦略(案)のパブコメ始まる (kurage8.com)
情報セキュリティマネジメント試験の独学勉強法 (kurage8.com)
コメント