企業・組織で高まる標的型攻撃の脅威、対策の再点検を考えるITmedia エンタープライズ ソリューションセミナー レポート(2/5 ページ)

» 2016年01月19日 08時00分 公開
[ITmedia]

セキュリティ人材をうまく育てるには?

サイバー大学IT総合学部専任教授 園田道夫氏

 ランチセッションに登壇したサイバー大学IT総合学部専任教授の園田道夫氏は、世界的に人数が不足しているとセキュリティ人材を育成していくためのユニークな方法を紹介した。

 情報処理推進機構が2014年7月に発表した情報セキュリティ人材に関する分析結果によると、国内では8万強のセキュリティ人材の不足が指摘されている。標的型攻撃などの脅威が多くの企業・組織にとって問題になる中、インシデントに対応できる高度なスキルを有する人材の獲得競争がし烈を極めつつある。

 セキュリティ人材の不足を解決していく上で注目されるのは、ITの現場で開発や運用を担っている情報システム担当者の活用だ。コンピュータのセキュリティインシデントに対応する上でITの知識はまず不可欠となる。それと同時にインデントの対応プロセスでは組織の内外との連携も必須になることから、コミュニケーション能力を含めた情報システム担当者のスキルアップを通じて、セキュリティ人材を確保していく.

 ただし、セキュリティ技術の習得には多額のコストを伴う。セキュリティ技術の教育サービスにおける受講料は、数日間の講習で1人あたり数十万円規模だ。実際のセキュリティインシデントでスキルを学ぶわけにはいかず、疑似的に再現する環境の構築などにどうしてもコストがかかってしまう。

 そこで園田氏が勧めるのは、ゲーム形式で実践的なスキルを身につける方法だ。園田氏は、国内最大級のセキュリティ競技会「SECCON」の実行委員を務め、SECCONの舞台ではグループ対抗でシステムへの攻撃と防御をそれぞれに競う「Capture The Flag」(CTF)などが行われる。CTFは世界各地で開催される人気競技だ。

 園田氏によれば、CTFなどを通じて実際のインシデントに近い状況を経験でき、そこでの対応も極めて実践的である。競技の参加費は安価であり、競技会も頻繁に開催され、オンラインで参加できるイベントも多い。最近ではCTFを社内イベントで開催し、優秀な人材を評価するIT企業も登場しているという。

 2015-2016年のSECCONではCSIRT演習に初めてカードゲームを採用し、情報資産が示されたカードを防御することを学ぶ試みも。セキュリティ人材の育成ではぜひこうした身近な方法も活用してほしいと呼び掛けた。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ