NEC・日立・富士通は、2017年12月に開始した「サイバーセキュリティ人材育成スキーム策定共同プロジェクト」の一環として、国内における実践的なスキルやノウハウを持つセキュリティ人材の育成に向けて、3社のセキュリティ対策の技術やシステム構築実績を活かし、共通的な14種類の人材モデルを定義した「統合セキュリティ人材モデル」を公開する。
また、各人材像のスキル習得に必要となるコースマップ仕様書(コースマップ、シラバスなど)も10月24日から順次公開するという。
「統合セキュリティ人材モデル」
「統合セキュリティ人材モデル」では、14種類の人材像を定義し、各人材像に、セキュリティ事故対応やサイバー攻撃監視などといったセキュリティ人材として習得すべきスキルセットを体系化している。
具体的には、米国国立標準技術研究所(NIST)のセキュリティ対策基準「NIST SP800-181」が定めるセキュリティ対策への対応をベースとし、アプリケーションなどの脆弱性診断を実施するペネトレーションテスターや、サイバー攻撃による被害範囲を分析・調査するフォレンジックエンジニア、セキュリティインシデント時に初動対応するインシデントレスポンダーなど14種類の人材像と各々のスキルセットを体系化・標準化している。
今後、NEC・日立・富士通は、自社でのセキュリティ人材育成において2019年度から「統合セキュリティ人材モデル」の活用を予定している。また、3社のみならずIT・セキュリティベンダーにおけるセキュリティ人材の育成活動と連携し、国内における実践的なスキルやノウハウを持つ高度なセキュリティ技術者の育成に貢献するとともに、国内でのセキュリティ人材モデルの標準化にも取り組んでいくとしている。
■「統合セキュリティ人材モデル」における14の人材像
- 【CT】セキュリティコンサルタント:セキュリティエンジニアリングの上流に位置し、経営課題や業務要件から、セキュリティに関するシステム仕様や運用仕様の方針を策定する。
- 【PL】セキュアシステムプランナー: 求められるセキュリティ要件を満たすシステムやアプリケーションの上流設計を担当する。対象領域は、システムアーキテクチャー、ネットワーク、 サーバ、アプリケーション、データベースなど。
- 【DV】セキュアシステムデベロッパー:セキュアシステムプランナーのアウトプットを引き継ぎ、セキュリティ要件を満たすシステム基盤の開発を担当する。対象領域は、システムアーキ テクチャー、ネットワーク、サーバ、データベースなど。
- 【AD】セキュアアプリケーションデベロッパー:セキュアシステムプランナーのアウトプットを引き継ぎ、セキュリティ要件を満たすアプリケーションの開発を担当する。対象領域はアプリケーション、 データベースアクセスなど。
- 【MG】セキュリティマネージャー:ISMSに代表されるセキュリティマネジメントシステムの整備および運用を担当する。
- 【AU】セキュリティオーディター:ISMSに代表されるセキュリティマネジメントシステムのマネジメント監査を担当する。
- 【SR】システムリスクアセッサー:対象のICTシステムが直面するセキュリティリスクを分析し、適切なセキュリティ対策選択の指針を示す。
- 【PT】ペネトレーションテスター:対象のICTシステムに対して攻撃者視点で攻撃を試み、ICTシステムの弱点(脆弱性や危険性等)を把握し報告する。
- 【NR】ネットワークリスクアセッサー:対象のICTシステムが直面するセキュリティリスクを分析し、適切なセキュリティ対策選択の指針を示す。
- 【RE】リサーチャー:セキュリティ技術に関する各種の研究を行う。
- 【FE】フォレンジックエンジニア:セキュリティインシデント発生時に、コンピュータ・フォレンジックプロセスに基づく詳細な調査を実施する。すでに侵害されたディスクイメージなどを 採取し、また取得したイメージなどを解析し、攻撃者によっていつどのようなことが行われたのか解析を実施する。
- 【IA】インテリジェンスアナリスト:セキュリティに関する外部情報を収集・分析し、ICTシステムへの影響度を把握する。また、インシデント発生時にその背景などを分析し、イン シデントの重大性に対する判断材料を提供する。
- 【IR】インシデントレスポンダー:セキュリティインシデントへの1次対処を行う。必要に応じて、インシデントハンドラーなどの他の人材像へのエスカレーション・引継ぎを行う。
- 【SP】セキュリティオペレーター:ICTシステムのセキュリティに関連する運用を担当する。
