ニュース

「CSIRT」に求められる役割とその実現に必要な人材のスキルとは

 日本シーサート協議会(NCA)が23日、セキュリティ人材の育成・確保に向けた取り組みの一環として、東京電機大学「国際化サイバーセキュリティ学特別コース(CySec:サイセック)」との共催で、同大学東京千住キャンパスにおいて「CSIRT人材セミナー」を開催した。

 企業や公共機関を狙ったサイバー攻撃が頻発し、深刻な被害も発生する中、その対策の1つとして、さまざまな企業や組織で「CSIRT(シーサート:Computer Security Incident Response Team)」を構築するケースが増えている。CSIRTとは、インシデント(サイバー攻撃などによって引き起こされるIT関連の事故・事象)を100%完全に防ぐことはできないという“事故前提”の考えに基づき、インシデントへの対応を場当たり的ではなく、事前の対応を含めて包括的に行う“インシデントマネジメント”の中核を担う組織または機能である。

 この数年でNCAに加盟するCSIRTが急増しているなど、CSIRTを構築する企業や組織が増える一方で、その実務を担当する人材の確保が大きな課題となっている。このような現状を踏まえ、NCAは、CSIRTに求められる役割とその実現に必要な人材のスキル、キャリアパスについてまとめた資料を、昨年11月に「CSIRT 人材の定義と確保」として公開している。

CSIRT 人材の定義と確保 Ver.1.0(PDF)
http://www.nca.gr.jp/imgs/recruit-hr20151116.pdf

 今回のセミナーでは、この資料の解説を中心に、国内におけるサイバーセキュリティ人材に関する取り組みを把握できるように、サイバーセキュリティ人材にかかわる他の団体の関係者による講演が行われた。

 基調講演とNCA公開資料の解説に続き、まず産業横断サイバーセキュリティ人材育成検討会教育部会からは、日本経済団体連合会(経団連)のワーキンググループ参加企業から収集した「必要なスキル」の定義や、それらを保有する要員の産官学を交えたエコシステムとしての育成・活用について紹介された。

 次に、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)教育部会からは、NICE(National Initiative for Cybersecurity Education)フレームワークをベースとし、ユーザー企業での活用も意識した「セキュリティ知識分野(SecBoK:Security Body of Knowledge)」の改訂とその活用方法の検討について紹介された。さらに(ISC)2 Japanからは、セキュリティの国際資格であるCISSP/SSCPが紹介・解説された。

 NCA公開資料の解説は、これらの関係者と連携した形で、統一感を持って行われた。以下、本稿では、今回のセミナーで詳細に解説されたNCA公開資料「CSIRT 人材の定義と確保」について紹介する。

 まず、この資料では、CSIRTおよびインシデント対応体制において担うべき役割を業務内容から定義している。今回のセミナーでは個々の役割について特に詳細な解説が行われた。

 次に、CSIRTを大きく以下の3つのパターンに分け、それぞれで、どの役割までを自社で用意し、どこからを外部の専門業者にアウトソーシングするかを例示している。

A:ユーザー企業で総務部門等を主体として構築・運用されているCSIRT
B:ユーザ企業でIT系子会社、または情報セキュリティに関する専門部署を主体として構築・運用されているCSIRT
C:IT系、セキュリティベンダー系企業において構築・運用されているCSIRT

 ただし、この3つはあくまで分かりやすく説明するための便宜上のものであり、すべての企業や組織が必ずしも3つのパターンのいずれかに分類されるわけではなく、実際には、規模や運用形態などによって異なってくる。例えば、AとBの中間、またはAとBの中間だがB寄り、もしくはA寄りといったケースもあり得る。また、アウトソーシングについても企業によって範囲が異なることは当然あるので、資料で示されたものはあくまで例であり、適宜、自組織の事情に合わせて読み替える必要がある。

 資料では、パターンAの例として、専門的な役割のほぼすべてをアウトソーシングしている(黄色の部分)。

 ここで重要なことは、全体を統括する「コマンダー」や社内外との連携・調整などの役割はアウトソーシングせずに自社内で担うということである。

 さらに、これらの役割同士の関係を平時と有事に分けて図解している。ただし、企業の規模によっては、複数の役割を1人で担うケースもあることに注意が必要だ。

 また、自社内で持つべき役割について「必要なスキル」と「キャリアパス」を紹介している。

 資料では、他にパターンBとパターンCについても同様に紹介・解説している。

 今回の資料は、あくまで例であり、この内容に厳密に縛られる必要はない。新たにCSIRTを構築したり、CSIRTの役割の一部をアウトソーシングしたり、またはCSIRTを担う人材を定義・確保したりするための参考情報を提供するものであり、さらに、社内向けのCSIRT人材の募集要項を作成したり、CSIRTの機能や人材を社外に求める場合のRFP(提案依頼書)や人材募集要項を作成したりする際の参考情報として使われることを想定している。

 また、この資料は改善の余地があることから、現在は改訂に向けた作業が進められており、利用者からのフィードバックを求めている。問い合わせ先については以下のページを参照してほしい。

CSIRT 人材 SWG の活動概要
http://www.nca.gr.jp/activity/training-hr.html

(松山 正隼)