セキュリティ対策はCOOL!な仕事――SANS代表が語る最新の脅威と人材:インフラ防衛を担うエキスパートを求む
コンピュータが生活に浸透する一方で、サイバーテロなどの脅威も広がる。「セキュリティ対策の仕事は魅力的で、エキスパートも求められる」とSANSのアラン・パーラー代表は話す。
アラン・パーラー代表「セキュリティ対策は、病魔に立ち向かう医師のように使命感のある魅力的な仕事だ」――このほど来日した米セキュリティ研究機関SANS Instituteのアラン・パーラー代表は、ますます高度化するセキュリティ犯罪に対抗するエキスパートの存在が社会から強く求められていると話す。
同氏は、まずコンピュータの世界を脅かす最新の脅威として、未解決の脆弱性と洗練化されたソーシャルエンジニアリングを組み合わせた攻撃と、正規サイトと利用者を標的にした攻撃、サプライチェーン型攻撃の3つを挙げた。
未解決の脆弱性とソーシャルエンジニアリングを併用する攻撃は、実在する組織や人物になりすましたメールを送り付け、アプリケーションの脆弱性を突く不正プログラムを添付ファイルやリンクによって実行させようとする手口である。
サイトと利用者を標的にした攻撃では、SQLインジェクションなどの脆弱性を抱えるWebサイトを不正に改ざんし、利用者をマルウェアに感染させるもの。サプライチェーン型攻撃は、出荷させるハードウェア製品の一部に製造段階でマルウェアを仕掛け、ユーザーが使用する段階で実行させてしまう。
パーラー氏はこうした最新の脅威から、今後5〜10年先のセキュリティ対策では事前防衛型の従来手法だけではなく、被害を受けることを意識して影響を最小化する手法が重要になると指摘する。複雑な攻撃手法を正確に理解し、対処に必要な深いノウハウを有するセキュリティのエキスパートがますます求められるとして、人材育成の必要性を提起している。
サイバー攻撃に立ち向かう仕事
SANSでは、日々発生するサイバー攻撃の監視や手口の解析、脅威動向の分析を手掛けるとともに、政府機関や企業などでセキュリティ業務に携わる人材の育成支援を手掛ける。例えば、最新の脅威の手口や対策を学ぶのべ6日間のカリキュラムは、毎年1万5000人が受講する。
国内でセキュリティ専任の人材を確保しているのは、官公庁や大学、大規模企業などの一部にとどまっており、多くの一般企業では情報システム担当者が兼務しているケースがほとんど。セキュリティのエキスパート育成は大きな課題となっているが、多くの企業では人的リソースやコストの制約で思うように進まないのが実情だ。
パーラー氏によれば、米国では1990年代後半からCode RedやSlammer、Nimdaといった大規模なウイルス被害が企業を中心に発生したことで、セキュリティ専門職の重要性が認識されるようになった。多くの場合、システムやネットワークの開発や運用管理などの理解や経験を蓄積した後に、SANSのような機関での研修を経てセキュリティのエキスパートとしてキャリアアップしている。企業側でもセキュリティ従事者の詳細な募集要件を示して、人材を確保している。
SANSでは以前、980人の若年層を対象にセキュリティ職に対するイメージ調査を実施した。若年層が魅力的に感じる職種のトップは情報セキュリティ犯罪調査官で、以下はシステムやネットワーク、Webへのペネトレーションテスター(不正侵入調査テストの実施者)、フォレンジック(科学捜査)解析者などが挙がった。
「セキュリティの職業に対しては、プロバスケットボールの選手やFBI捜査官のように“カッコイイ”というイメージが広がりつつある」(同氏)
エキスパートの育成術
SANSが実施しているセキュリティ研修では、JavaやC言語、.NETなどのプログラミングでのセキュアコーディングといった基本的なものから、ペネトレーションテストやフォレンジックなどの高度なものまで、広範な内容を実施している。
例えば、米エネルギー省と共同で実施している研修は、システム管理者が不正アクセスなどを検知、解析できるスキルを身に付ける目的で行っているという。外部からの攻撃に対してシステムや機器での防御に依存するのではなく、システム管理者が攻撃の内容を理解し、対策を自ら構築するスキルを育成するのが狙いだ。研修は半年単位で繰り返し行われ、最新の攻撃パターンに備えるための内容が参加者に伝えられる。
セキュリティ人材の獲得には、米国ばかりではなく、中国なども積極的であるとパーラー氏は指摘する。中国では人民解放軍がハッキングコンテストなどを定期的に開催して、優秀な人材を採用しているという。米国でも「US Cyber Challenge」と題する国家レベルの競技会が開かれ、フォレンジックやネットワーク防衛などのカテゴリーごとに技術レベルを参加者が競い合っている。
このほかにもSANSは、米国家安全保障局(NSA)や軍隊などと共同でセキュリティに関する20種類のガイドラインを策定している。このうち、15種類はセキュリティ対策の自動化を支援する内容で、組織のセキュリティ担当者の負担を軽減するものだという。
最後にパーラー氏は、今後の脅威動向と人材育成について、国境に左右されない組織犯罪がますます増加し、脅威に立ち向かうエキスパートの専門分野も広がっていくだろうと予測する。
「日本は特殊な言語環境から比較的安全だとされてきたが、日本語サイトが多数改ざんされたように、今後は安全ではなくなるだろう。医療分野でも新たな疾病が登場する度に専門医が広がったが、セキュリティの仕事も同様に広がっていくとみている」(同氏)
米国企業ではセキュリティ人材を育成するために、毎年数人ずつシステム管理者をセキュリティ研修へ参加させることが定着しつつあるという。日本でもセキュリティ研修の普及を目指し、日本語によるSANSの研修プログラムを始めるとしている。
関連記事
ログを収集する企業は87%――SANSらが調査
米SANSとLogLogicn共同調査で、システムやネットワークから収集したログをセキュリティ対策などに活用していることが分かった。
「最も危険なプログラミングエラー」25種類のリスト発表
サイバースパイやサイバー犯罪につながる「危険なプログラミングエラー」の上位25種類をSANSが発表した。
Webサイトやカスタムアプリの脆弱性を見つけるには
企業のWebサイトやカスタムアプリケーションは、「安全性を考慮した開発がなされるべきだ」とSANSのパーラー代表は話す。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。