JNSA教育部会では、情報セキュリティに関する業務に携わる人材が身につけるべき知識とスキルを体系的に整理した「情報セキュリティスキルマップ」の作成に2003年度から取り組んでいる。2007年からは、名称をSecBoK(Security Body of Knowledge)と改め、内容を更新したものが経済産業省委託事業の成果物として公開されている。
一方で、SecBoKを構成する知識項目は2009年以来更新されておらず、その後の情報セキュリティ分野における脅威や技術の変化に対応していないことから、JNSAでは情報セキュリティ分野の専門家をメンバーとする「情報セキュリティ知識項目(SecBoK)改訂委員会」(委員長:土井洋・情報セキュリティ大学院大学教授)を組織して、SecBoK改訂に関する検討を行ってきた。
「情報セキュリティ知識項目(SecBoK)」の改訂内容にあたって、基本とした人材育成に関連する取り組みの成果は次のとおり。
- 必要な知識・スキル・能力に関する項目については、米国の国立標準技術研究所(NIST)にて作成されたNICE Cybersecurity Workforce Frameworkに原則として準拠
- 情報セキュリティサービスベンダにおける人材については、NRIセキュアテクノロジーズが定義している職種を参考資料として活用
- ユーザ企業における人材については、日本シーサート協議会が2015年11月に公開した、「CSIRT人材の定義と確保 Ver.1.0」及び補足資料にて定義されているコンピュータインシデントレスポンスチーム(CSIRT)に求められる役割(ロール)を活用
上記の取り組み成果を活用し、改訂委員会における議論を重ねた結果、情報セキュリティ業務の現場の感覚をもとに、現在最も不足している情報セキュリティ人材として、16種類の役割を導き出して整理し、IPAが公表しているiCDの知識項目とSecBoKスキルマップとの対応関係を表示した。この16の個々の役割ごとに必要となる知識等項目を整理したものが、今回公開する「セキュリティ知識項目(SecBoK)2016」(以下、SecBoK)になる。
