...

情報セキュリティ人材育成に係る現状と 今後の検討課題について

by user

on
Category: Documents
12

views

Report

Comments

Transcript

情報セキュリティ人材育成に係る現状と 今後の検討課題について
資料4
情報セキュリティ⼈材育成に係る現状と
今後の検討課題について
2013年11⽉6⽇
内閣官房情報セキュリティセンター(NISC)
http://www.nisc.go.jp/
「サイバーセキュリティ戦略」で示された課題
「サイバーセキュリティ戦略」(平成25年6月10日 情報セキュリティ政策会議決定)で示された
人材育成に係る課題は以下のとおり。
○情報セキュリティ人材の不足解消に向け、積極的な取組が必要
(国内における情報セキュリティに従事する技術者約26.5万人のうち、
約16万人が質的に不足、さらに約8万人が量的に不足)
人材の発掘・育成・活用促進が必要
1.サイバーセキュリティ従事者の能力の底上げ
具体的な取組
① 政府機関における人材育成・登用の推進
② グローバルに活躍できる人材の育成
③ 実践的な教育プログラム等に対する大学等専門教育課程の充実化
④ 必要とされる能力・知識の明確化
2.教育だけでは得られない突出した人材の発掘・育成
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
1
1.現在の取組状況
1.① 政府機関における人材育成・登用の推進(1)
各府省庁における人材育成に関する取組事例
○政府機関における情報セキュリティ人材の育成として、人事ローテーション等の工夫、外部人材
の活用、採用面接時の資格の有無の確認等を行うなどの取組が行われている。
情報セキュリティ担当者に係る
人事ローテーション等の工夫
公務員採用時における
情報セキュリティ関連素養の確認
○専門的知識を有する者を情報セキュリティ担当とし、その後、
係長、課長補佐へ計画的に登用
○採用面接時に、ITパスポート、情報セキュリティ等の資格
の有無を確認
○通常2年の人事異動を、情報セキュリティ担当者については、
長期化
○官庁訪問者に記載させる面談カードにITに関する資格等を
取得しているか記載させるとともに面談の場において確認
○システム関連部門経験者に、独法等のセキュリティ関連部門や
別の部門のセキュリティ業務を担当させるなど人事異動に配慮
○職員を国内外の情報セキュリティ関係大学院等へ留学
外部人材の活用
○専門資格を有する外部人材を任期付で採用し、最長5年に
渡って担当させる。任期中の勤務状況が優れている者は、内部
選考を経て常勤化
○官民交流法に基づき、高度な知識と豊富な経験を有する外部
人材を採用
○採用面接において、情報セキュリティに関する常識について
質疑応答
職員全体の意識啓発と能力の底上げ
○全職員に対し、e‐ラーニングによる情報セキュリティ対策に
かかる研修を実施
○新規採用者、中途採用者、管理職向けに情報セキュリティに
関する研修を実施
○省内で実際に発生した障害・事故の事例やヒヤリハットを
強調
法律家の活用
○公募により、民間セキュリティ人材を期間業務職員として採用
○情報セキュリティに詳しい法学者や弁護士を懇談会等の委
員に委嘱
○セキュリティ監視・管理等を行う業務を外部委託し、委託先職
員が省内に常駐
○別の部署で採用している弁護士と必要に応じ連携
3
1.① 政府機関における人材育成・登用の推進(2)
情報セキュリティ緊急支援チーム(CYMAT)の設置
○政府機関等の情報システムに対するサイバー攻撃等が発生した際、技能を持った要員による
機動的な支援が可能となるチームを内閣官房に整備。
名称・構成等
1.名称
情報セキュリティ緊急支援チーム
通称:CYMAT(Cyber Incident Mobile Assistant Team)
2.構成
各府省庁から派出される情報セキュリティに関する技能・知見を
有す職員を要員に併任。定常時で約50名。政府CISOが
総括責任者。
(注)CYMAT発足当初は要員推薦が困難な府省庁もあるため、要員育成等
の観点から、研修員という枠も用意。
3.設置 平成24年6月29日
発足式の写真
活動の概要
1.活動事象 サイバー攻撃等によって政府機関等の情報システムに障害の発生又はそのおそれがあり、
政府として一体となった対応が必要となる情報セキュリティに係る事象
2.支援対象 政府機関、国会や裁判所等のCISO等連絡会議のオブザーバー機関、独法等
3.活動概要 ①発生事象の正確な把握
②被害拡大防止、復旧、再発防止のための技術的な支援及び助言
③対処能力の向上に向けた平時の取組(研修、訓練等の実施)
*習得した技能を省庁内で共有し、他の職員のスキルの向上
4
1.② グローバルに活躍できる人材の育成
グローバルに活躍できる人材の育成に向けた取組
○企業による海外展開の動きに合わせ、グローバル化に対応するIT人材の需要が高まっている
が、グローバルIT人材は大幅に不足。
○グローバルに活躍できる人材の育成を目指し、海外の専門的な大学院等への留学支援や
国際会議への参加等の取組を推進している。
ユーザー企業におけるグローバルIT人材の確保状況
出典:独立行政法人情報処理推進機構「IT人材白書2013」
グローバルIT人材を育成するための取組事例
(政府・関係機関)
○職員を国内外の情報セキュリティ関係大学院等へ留学
等
(企業等) (出典: IT人材白書2013 (独立行政法人情報処理推進機構))
○インターンシップや海外ベンダーへの派遣などのプログラムを実施。
○トレーニー制度を活用した若手人材の海外派遣を行っている。トレーニー経験者の多くは、帰国後、戦略・
企画スタッフとして、日本から海外をサポートする業務や海外との人脈を活かしたプロジェクトに配属
等
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
5
1.③ 実践的な教育プログラム等に関する大学等専門教育課程の充実化(1)
情報セキュリティ教育の取組み事例
○大学等において、情報セキュリティに関する専門教育課程の設置が進みつつある。
教育課程等の区分
大学・学部名
(情報理工学部総合情報学科)
•ネットワークセキュリティ、ソフトウエアセキュリティ、
暗号理論、コンテンツセキュリティ等のセキュリティ
関連の講義を幅広く開講。 (学科定員 150名)
情報セキュリティ大学院大学、
中央大学、東京大学
(修士課程)
•3大学と8企業等が連携し、ISSスクエアとして、セ
キュリティの研究と実務を融合した教育プログラム
を提供。 (3年間に96名が教育プログラムを修了)
奈良先端科学技術大学院大学、
京都大学、大阪大学、
北陸先端科学技術大学院大学
(修士課程)
•4大学と4企業等が連携し、IT Keysとして、高度か
つ実践的な教育プログラムを提供。
(3年間に67名が教育プログラムを修了)
中央大学
•選択科目として、「ネットワーク時代のセキュリティ
とガバナンス」(2単位)を開講。
電気通信大学
セキュリティ
専門課程
特徴
(戦略経営研究科)
MBAコース
青山学院大学
(国際マネジメント研究科)
•選択科目として、「情報セキュリティ」(2単位)を開
講。
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
6
実践的な教育プログラム等に関する大学等専門教育課程の充実化
情報技術人材育成のための実践教育ネットワーク形成事業(enPiT)
○文部科学省では、情報技術を活用して社会の具体的な課題を解決できる人材を育成するため、平成24年度
より、「情報技術人材育成のための実践教育ネットワーク形成事業」を実施し、大学と産業界の連携による実
践教育の推進ネットワーク形成を支援している。
【代表校】 国立大学法人大阪大学
【補助期間】 5年間 【平成25年度参加学生数】90名
・4つの分野で、情報技術を活用して社会の具体的な課題を解決できる
人材の育成に取り組む。
セキュリティ分野では、全国の学生、大学、ITベンダー企業、ユーザ企
業等が参加して、実践的なセキュリティ能力を有する人材を育成する。
・連携大学間の実践的なセキュリティ教育に関する情報を蓄積し、セ
キュリティ教育のための教材をHP等を通して共有する。
いわゆるビッグデータの分
析手法,新しいビジネス分
野の創出といった社会の具
体的な課題を,クラウド技
術を活用し解決できる人材
セキュリティ分野(5機関):
東北大学、慶応義塾大学、北陸先端科学技術大学院大学、
奈良先端科学技術大学院大学、 情報セキュリティ大学院大学
・実践的セキュリティ教育の内容や指導の仕方を共有し、教員のFDを
推進する。
社会・経済活動の根幹にか
かわる情報資産および情報
流通のセキュリティ対策を,
技術面・管理面で牽引でき
る実践リーダー
「情報技術人材育成のための実践教育ネットワーク形成事業」
組込みシステム開発技術を
活用して産業界の具体的な
課題を解決し,付加価値の高
いサイバー・フィジカル・シス
テムズを構築できる人材
各種の先端情報技術を有
機的に活用し,社会情報基
盤の中核となるビジネスア
プリケーション分野の実践
的問題解決ができる人材.
http://enpit.jp
7
1.④ 必要とされる能力・知識の明確化
資格試験、教材等の活用による能力・知識の明確化
○資格試験・基礎的な教材・スキル標準の活用等により、必要とされる能力・知識の明確
化に取組んできている。
取 組
機関名
帝京大学
•ITパスポート試験関連の参考書を参考文献として
扱い、ITパスポート試験の合格により単位取得を
認めている。
早稲田大学
•選択科目として「CompTIA Security+入門」(2単
位)の講義を開講。
独立行政法人
情報処理推進機構
(IPA)
•IPAでは、学生が情報セキュリティの重要性と基礎
的な技術について理解するとともに、リスクを見出
す問題発見の重要性について理解できることを学
習目標とする教材の開発に着手している。
経済産業省
•各種IT関連サービスの提供に必要とされる能力を
明確化・体系化した指標であるスキル標準の策定
及び活用
資格試験の活用
教材の提供
スキル標準
内 容
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
8
2. 教育だけでは得られない突出した能力を有する人材の確保(1)
セキュリティ・キャンプ
(独立行政法人情報処理推進機構(IPA))
○合宿形式の研修で、ITに対する意識の高い若者に対し、情報セキュリティおよびプログラミングに関する
高度な教育を実施。 技術面のみならずモラル面、セキュリティ意識等の向上を図り、将来のIT産業の
担い手となり得る優れた人材の発掘と育成を目的としている。
○2004年度から「セキュリティキャンプ」として開催し、これまで数多くの将来有望な人材を輩出してきている。
2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
合計
応募者
76
69
131
168
260
368
309
274
294
250
2199
受講者
30
30
36
35
46
61
59
60
40
41
438
出典:独立行政法人情報処理推進機構ホームページ
http://www.ipa.go.jp/jinzai/renkei/index_5.html
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
9
2. 教育だけでは得られない突出した能力を有する人材の確保(2)
セキュリティコンテスト(SECCON)(SECCON実行委員会)
○国や自治体、企業、組織を含めた日本の情報セキュリティ技術者人材の育成を目的に実施する
競技イベント。 チームに分かれて、主催者の用意する課題をクリアしながら、得点を競う。
○参加者はハッキング攻撃を仕掛けるだけでなく、ハッキング攻撃からシステムを防衛することも
求められ、攻撃と防御の2つの立場での能力が求められる。
各地方大会のCTF予選ではそれぞれ上位1チーム
(横浜予選のみ2チーム)合計10チームが
SECCON 2013全国大会のCTF決勝戦に出場する
権利を取得。
CTF地方予選を通過した10チームと、オンライ
ン予選上位最大10チームを招待し、全20チーム
で全国大会の決勝戦を実施。
SECCON 2013全国大会では300名規模のカン
ファレンスも併催。
出典:SECCON2013 (https://challenge.seccon.jp/)
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
10
2.現状分析
企業等における人材・スキルの不足
○現状、企業等においては、情報セキュリティ人材は、量的にも質的にも強い不足感。
○情報セキュリティ技術者の人数もスキルも足りていると感じている企業等は、全体の4分の1
に満たない。
人材不足の状況及び原因
0%
社内向け
N=3160
社外向け
N=812
25%
22.8%
24.3%
50%
22.3%
75%
16.1%
25.0%
100%
38.8%
19.3%
31.4%
人数もスキルも足りている
人数は足りているが、スキルが足りていない
スキルは足りているが、人数が足りていない
「人数もスキルも足りている」
は全体の1/4に満たない
人数もスキルも足りていない
出典:独立行政法人情報処理推進機構「情報セキュリティ人材の育成に関する基礎調査」2012年4月
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
12
人材不足に対する企業等の取組状況
○人材不足解消に対する取組みについて、6割の企業が何らかの姿勢で取組む意向を示している
ものの、特に取組んでいないという回答が半数近くを占める。
※調査対象:社内向け業務
出典:独立行政法人情報処理推進機構「情報セキュリティ人材の育成に関する基礎調査」2012年4月
では、誰についてどのような取組を進めるべきか。
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
13
現実のセキュリティインシデントに対応できる人材
情報セキュリティに関する最近の事例
○頻発するインシデントの防止・対応が求められている。そのためにはどのような事件が
発生しているかを観察する必要。
最近の事例
2010.7
イランの原⼦⼒発電所へのスタックスネットによる攻撃が判明。
その後、ウラン濃縮施設への攻撃も判明し、遠⼼分離機が全て停⽌。
2011.4
ソニー⽶国⼦会社のネットワークへの不正侵⼊。最⼤で7700万⼈分の顧客情報が流出。
2011.9~ 三菱重⼯業、衆議院等において標的型攻撃によるウイルス感染事案発⽣。
2012.5
原⼦⼒安全基盤機構においてウイルス感染事案発⽣。過去数か⽉間に情報流出の可能性が確認。
2012.11 宇宙航空研究開発機構(JAXA)及び三菱重⼯業においてウイルス感染事案発⽣。
2012.12 ⽇本原⼦⼒研究開発機構においてウイルス感染事案の発⽣。
2013.1
農林⽔産省においてサイバー攻撃事案に関する報道。調査等の結果、情報流出の可能性が確認。
2013.3
韓国内重要インフラ事業者における同時多発的IT障害の発⽣。
2013.4
宇宙航空研究開発機構(JAXA)のサーバに対する外部からの不正アクセス。
2013.7
OCNのサーバーに不正侵⼊。最⼤で400万⼈分の顧客情報が流出。
2013.10 セブンネットショッピングに不正侵⼊。最⼤で15万⼈分の顧客情報が流出。
※ 本資料は報道ベースで作成
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
14
最近の情報セキュリティに係る脅威の本質
○最近の代表的な脅威として、脆弱性をついた攻撃、標的型攻撃等が挙げられる。
○これらは、ソフトウェアの更新等の脆弱性対策等を行うとともに、ウイルスが潜入した際の内部か
らの攻撃を想定した対策を講じておくことで、被害を大幅に低減することが可能と言われている。
IPA「10大脅威」(2013年度版)より
基礎的な対策・システム設計等がきちんとできる人材が求められているのでないか。
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
15
企画、設計、開発段階から情報セキュリティを考える人材の重要性
○一般的に、開発ライフサイクルの下流工程になるほど、システムの脆弱性等を修正する費用
は増大するとされる。
○より上流工程でセキュリティ対策が実施されるのが望ましいと考えられる。
○したがって、企画、設計段階に携わる人材にセキュリティ知識、技能が必要ではないか。
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
16
ITの普及と情報セキュリティ人材
○ITの普及により、サイバー攻撃の対象となりうる範囲が、個人や家庭等の私的な空間から
社会インフラ等の公的な空間まで拡大している。
○したがって、ますます幅広い領域で情報セキュリティ技術者が必要。
○やはり、これらの企画、設計、開発等のエンジニアがセキュリティを知るべきでないか。
⼀般利⽤者(個⼈・家庭)
自動車
スマートデバイス
店舗
職場
デジタル複合機
BYOD(スマートデバイス)
施設(社会インフラ等)
様々な機器における
インターネットへの接続
POS端末
防犯カメラ
ビル
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
社会インフラ
17
3.検討課題
人材不足の解消に向けた仮説
高度人材の発掘に引き続き取組むと共に、量的不足(8万人)及び質的不足(16万
人)を解決するために、エンジニアを中心としたIT人材の情報セキュリティに係るスキ
ルを高めることが必要ではないか。
わが国のIT人材の規模感と、国が実施しているセキュリティ教育の現状は以下のとおり。
IT人材
国内約106万人*
(うち約80万人がエンジニア)
【対象としたセキュリティ人材育成施策】
・スキル標準の策定・資格制度等(間接的な支援)
・普及啓発セミナー等の開催 等
高度人材
(左のうち一部)
【対象としたセキュリティ人材育成施策】
・SECCON
・セキュリティキャンプ 等
IT人材のボリュームゾーンであり、システム設計・運用の要でもあるエンジニアに対し、
実践的なセキュリティ教育が足りていないのではないか?
潜在的なセキュリティ人材不足(8万人)について、エンジニアを中心としたIT人材(106万人)のセ
キュリティに係るスキルを高めることが求められるのでないか。
セキュリティ人材(26.5万人)の約6割(16万人)は能力不足と企業が感じているのであれば、
エンジニアを中心として全体的な能力の底上げが必要ではないか。
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
19
情報セキュリティ人材のキャリアパス
○これまでも、セキュリティ人材の必要性は主張されてきたが、人材のキャリアパスを考えるべき。
○現在示されているキャリアパスモデルも、一部のセキュリティの専門家についてのもの。
経済産業省が公開しているモデルキャリアの例
(ITスペシャリストのモデルキャリアパス(基本パターン))
むしろ、セキュリティの専門家だけ
でなく、広く一般的なエンジニアの
キャリアパス上でもセキュリティ素
養の向上を図っていくべきではな
いか。
出典:経済産業省「平成 24 年度情報セキュリティ対策推進事業
(情報セキュリティ人材の育成指標等の策定事業)事業報告書」
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
20
情報セキュリティの素養を身につける環境の整備
職種別のIT技術者に対し、
今後5年間程度で自分自身にとって重要になると思う
技術領域・分野についてアンケートを行った結果、
○重要と考える項目は多岐にわたるが、
「情報セキュリティ」の項目は全体として
ポイントが最も高い。
⇒IT関係各分野の技術者は情報セキュリティ
を今後重要となる分野と認識している。
○エンジニアが、情報セキュリティの素養を身
につける環境(研修・教育等)が必要とされてい
るのではないか。
今後5年間程度の環境の変化を考えた場合に自分自身にとって
重要になると思う技術領域・分野(技術者別)
(出典:独立行政法人情報処理推進機構「IT人材白書2013」より)
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
21
実践的な能力の養成
○全体の半数以上のIT企業において、採用における質の高い人材の確保が人材に関する課題の中で最も重
要な課題として位置づけられている。
○そうした中で、即戦力と思われる、高等専門学校や専門学校に対する企業の需要は増加している。
○企業からの需要に応じた質の高い人材、特に職業に必要となる実践的な能力を有する人材の育成
を、情報セキュリティの面でも強化すべきでないか。
情報系学科卒業生に対する企業の需要の変化
(2012年と2011年との比較)
IT人材育成に関する優先度の高い課題
出典:独立行政法人情報処理推進機構「IT人材白書2013」
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
22
企業経営層への動機づけ
○企業の人員不足の原因として、「情報セキュリティにまで人材が割けない」 「経営層の理解や認
識が足りない」が半数を超えている。
○経営層のセキュリティに対する理解度として「やや理解が不足」「全く理解していない」が6割程度。
○企業経営層に、情報セキュリティに対する何らかの動機づけを与えることが必要ではないか。
人員不足の原因(社内向け業務)
人材不足の原因(社内向け業務)
0%
25%
50%
75%
100%
3.1%
28.6%
27.9%
21.9%
17.1%
本業が忙しく、情報セキュリティにまで人材が割けない
経営層の理解や認識が足りない
社内に情報セキュリティ業務の適任者が少ない
分からない
採用をしたいが、情報セキュリティ業務への応募者が少ない
その他
1.4%
N=1,736
企業経営層の情報セキュリティに対する理解度
(経営層以外からの回答)
出典:独立行政法人情報処理推進機構「情報セキュリティ人材の育成に関する基礎調査」2012年4月
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
23
課題解決に向けた方向性の検討
高度人材の育成に引き続き取組むことに加え、以下のようなエンジ
ニアの能力向上策による底上げを検討するのはどうか。
○実践的なセキュリティ能力が身につく仕組み作り
①教育機関(高等教育含む)、企業(経営者、人材部門、エンジニア)等において、セキュリティのスキルが不
可欠である共通認識を形成
②セキュリティのスキルを身に着けさせることで、職業上の報酬や待遇等につなげる(経営層の意識改革)
③セキュリティ能力の評価基準策定(一般エンジニアのレベルで有するべきセキュリティ技術の基準、
スキルの評価等)
④政府調達におけるセキュリティ資格等の要件設定。それに伴う、企業等におけるセキュリティ能力の向上。
○セキュリティのスキル向上のための実践的取組の実施
①実践的な知識として、サイバー攻撃の事例の情報共有、ケースの作成
②ケースを基にした、教材、教育プログラムの提供
③ケースを基にした、多くの人が取り組みやすいコンテンツ(シミュレーション等)の開発
④仮想空間上でのインシデント発生時の対応訓練等、現場での対応力の強化
⑤設計段階からのセキュリティ対策織り込み必要性の認識の共有
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
24
(参考) 有識者からの主な意見
有識者からの主な意見(1)
○エンジニアを中心としたIT人材の底上げについて
・高度人材育成策中心では、不足する8万人が埋まらないというのは確か。
・SIerはシステムを設計・開発する段階からセキュリティを意識したものにしないといけない。設計段階のセキュ
リティ教育にもっと力を入れた方がよい。
・セキュリティを外部に頼む場合も、自社のITエンジニア部隊が中身を理解しておく必要がある。現場の力があれ
ば外部サービスの活用もスムーズに行く。
・IT人材の素養底上げは必要であるが、一部の層だけでなく各層を同時に強化する必要がある。
・IT人材の素養底上げは必要であるが、教育する場所やコンテンツがない。教える側の知識も少ない。
・理屈だけでなく、実践活動の中でないと学ぶのは難しい。実践で揉まれる場面をもっと増やしてほしい。
・セキュリティのわかる人材に対する需要がない。需要が生まれれば、自然と人は育ってくる。
・教育機関で、セキュリティを単独で教えることは難しい。ネットワーク、ハードウェアのベースの上で学ぶべき。
・enPiTでは、ハッキングを実習することなどで必要な能力を磨いている。
○経営者の意識改革について
・セキュリティの重要性を企業が理解し、投資することが最も重要。現在、セキュリティのできるITエンジニアが
いても不遇な状況。この状況を解決する必要がある。
・セキュリティがビジネスに不可欠であり、費用をかけるべきという共通認識が必要。
・事案事例を示すことで、経営的にどう対処すべきか考えてもらうことが重要。なぜ今対策が必要か、どの程度ま
で対策するかは議論の必要がある。
・セキュリティが必要という一般的な認識は高まったが、自社が攻撃を受けるという当事者意識がまだまだ。
・経営側に何らかのインセンティブが必要。政府調達でセキュリティ確保を要件にするなどして業界に波及させて
いくのはどうか。
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
26
有識者からの主な意見(2)
○調達の際の要件としてセキュリティを義務付ける事について
・セキュリティの資格や認定基準を政府が要件化すれば、業者は必ずその資格を取ってくる。
・意識向上ではなく、調達要件という外部的な力が必要。Pマークのように国が率先して進めるべき。
・調達に資格を設けるのは、競争の阻害要因にならなければ、個人的には良いと思う。講習やCYDERの受講
歴を書かせるなどが考えられる。手軽に受講できるようなものがあると良い。
・現状、セキュリティは発注要件に書きづらい。その結果、受注したベンダーは予算の範囲内で書かれてい
る最低限のものを作る結果になる。
○事例をもとにしたケースの作成、共有、教材化について
・どんなインシデントが起こり、それがどのウィルスでどういう挙動で感染拡大に至り、どの程度の被害が出て、
どう収束に至ったかという一連の情報があれば、非常に役にたつ。
・インシデントのデータベース共有化は難しい。現状、インシデントがあっても外に言わない。
・秘密保持や匿名などルールがあればできるのではないか。
・標準化した知識を教えつつ、ある程度から先はケーススタディ教育のように自ら考えさせた方が良い。
・米国のようにオープンソースを活用して教育コンテンツを作成できないか。
・情報をどこまで出してくれるかは、信頼関係が重要になるであろう。
・若者にとってハードルが低く、広く提供できるシリアスゲームの活用は効果があると思う。
○必要なセキュリティレベルの基準について
・何らかの能力の標準があるとよいという意見は、ユーザー、ベンダー双方から聞く。
・一般のITエンジニアにどこまで教えるかの基準は難しい。ネットワークやデータベース等との縦横の関
係性の上で考えなくてはならない。
Copyright (c) 2013 National Information Security Center (NISC). All Rights Reserved.
27
Fly UP