Comments
Description
Transcript
企業が求める 情報セキュリティ人材について
資料4 企業が求める 情報セキュリティ人材について 2011月3月3日 日本ネットワークセキュリティ協会 事務局長 下村正洋 1/12 情報セキュリティ人材の種類と分類 ユーザ ベンダ 企業 企業 上記のマップは情報セキュリティ教育事業者連絡会(ISEPA)が作成した 「情報セキュリティ人財アーキテクチャガイドブック2009年度版」より抜粋し、 ユーザ企業、ベンダー企業別の分類を加筆。 ISEPAホームページ: http://www.jnsa.org/isepa/index.html 資料URL: http://www.jnsa.org/isepa/images/outputs/jinzai_arch_2009.pdf 2/12 情報セキュリティ人材の種類と分類 ユーザ ベンダ 企業 企業 上記のマップは情報セキュリティ教育事業者連絡会(ISEPA)が作成した 「情報セキュリティ人財アーキテクチャガイドブック2009年度版」より抜粋し、 ユーザ企業、ベンダー企業別の分類を加筆。 ISEPAホームページ: http://www.jnsa.org/isepa/index.html 資料URL: http://www.jnsa.org/isepa/images/outputs/jinzai_arch_2009.pdf 3/12 情報セキュリティ資格保有者の推移 情報セキュリティ教育事業者連絡会(ISEPA)ホームページより http://www.jnsa.org/isepa/images/top/obj_lisence.gif 4/12 情報セキュリティ企業が必要としている人材(例) 職 務 概 要 職 務 設 計 ネットワーク構築における「要件定義」、「提案書作成」、「設計」の局面を担当する 構 築 ネットワーク構築における「構築」・「検証」の局面を担当する 運用設計 製品企画 製品サポート 品質管理 運 用 オペレーション サービスデスク 保 守 営業サポート マネジメント系 セキュリティコンサルタント 技術系 セキュリティコンサルタント 教 育 フォレンジック 顧客ITシステムの運用最適化に主眼をおき、業務分析、ポリシー設計、手順化、運用体制の設計をコンサルティングする 顧客ニーズに対応するために、製品及びサービスの市場動向を予測かつ分析し、製品戦略、販売促進計画の企画及び立 案を実施する 自社取扱製品に関し、購入見込み客からの導入前の仕様問い合わせや製品導入後の電話、E-Mail等によるトラブル問い 合わせに対するヘルプデスク業務を行い、顧客満足度向上に寄与する 自社取扱製品に関する評価・検証を担当し、品質向上に関してメーカーとの交渉窓口となり顧客満足度向上に貢献する 構築及び販売したシステムの安定稼動を目的とした運用方法の提案・変更及び手順に沿ったオペレーション等を行う 構築したシステムおよび顧客の持つ既存システムの監視、手順に沿った業務の実施などを含む運用業務、および障害時の 緊急対応、ベンダコントロールを含むマネジメント業務を行う 主にネットワークインテグレーション案件で構築したシステムについて構築後の電話、E-Mail等による障害対応に関する問 い合わせに対するヘルプデスク業務を行う。 案件受注を目的としたセールスプロセスにおいて、技術者の観点から提案活動全般において営業活動を支援する 顧客の情報セキュリティ管理システムにおいて、フェーズ全体を通じた助言と、リスク分析、文書策定支援、運用支援業務を 行う 顧客の情報セキュリティ管理システムの構築、運用において、システムのセキュリティ対策の実効性の評価や運用の適切 性の評価と対策の提示、内部監査の支援等の業務を行う 担当分野の専門技術・知識と、研修に関する専門技術を活用し、ユーザーのスキル開発要件に合致した研修カリキュラム や研修コースのニーズの分析、設計、開発、運営、評価を実施する 顧客の情報セキュリティ管理システムにおいて、セキュリティインシデントの発生時の対策の助言と、インシデントの実態把 握および証拠保全のためのコンピュータ上の証跡の収集・保全・分析の業務を主として担当する ある会社の例であり、主な事業はネットワーク製品・セキュリティ製品の販売、ネットワーク構築、セキュリティシステム構築、 ネットワーク系システム開発など。 開発技術者は除外してある。 5/12 職務と一般的な資格などのマッピング(1) 資格・受講 Microsoft Certified Architect プラットフォーム Microsoft Certified Architect セキュリティ Microsoft Certified Systems Engineer Microsoft Certified Systems A dministrator Cisco Certified Network Professional 実施機関 設計 オペ マネジ レー メント 技術系 フォレ 運用設 製品企 製品サ 品質管 ション 営業サ 系 セキュ 構築 運用 保守 教育 ンジッ 計 画 ポート 理 サービ ポート セキュ リティコ ク スデス リティコ ンサル ク ンサル Microsoft ○ ○ ○ ○ ○ Microsoft ○ ○ ○ ○ ○ Microsoft ○ ○ ○ ○ ○ Microsoft ○ ○ ○ ○ ○ Cisco ○ ○ ○ ○ ○ Cisco ○ ○ ○ ○ ○ Red Hat Certified Engineer Red Hat ○ ○ ○ ○ LPIC Level 1 ○ ○ ○ ○ ○ ○ ○ ITパスポート試験 LPI-JAPAN Project Management Institute 情報処理技術者試験 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 基本情報技術者試験 情報処理技術者試験 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 応用情報技術者試験 情報処理技術者試験 ○ ○ ○ ○ ネットワークスペシャリスト試験 情報処理技術者試験 ○ ○ ○ ○ ○ ○ ○ Cisco Certified Network Associate Project Management Professional サービスマネージャ試験 情報処理技術者試験 情報セキュリティスペシャリスト試験 情報処理技術者試験 ITストラテジスト試験 情報処理技術者試験 プロジェクトマネージャ試験 情報処理技術者試験 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ITの基礎が必須となっている ○ ○ 6/12 職務と一般的な資格などのマッピング(2) 資格・受講 実施機関 システム監査技術者試験 情報処理技術者試験 公認不正検査士 ACFE JAPAN 公認情報セキュリティ主任監査人 公認情報セキュリティ監査人 情報セキュリティ監査人補 情報セキュリティ監査アソシエイト 公認情報システム監査人 Certified Information Systems Security Professional SEA/J 情報セキュリティ技術者認定基礎 コース SEA/J 情報セキュリティ技術者認定応用 テクニカル SEA/J 情報セキュリティ技術者認定応用 マネジメント 設計 オペ マネジ レー メント 技術系 フォレ 運用設 製品企 製品サ 品質管 ション 営業サ 系 セキュ 構築 運用 保守 教育 ンジッ 計 画 ポート 理 サービ ポート セキュ リティコ ク スデス リティコ ンサル ク ンサル ○ ○ 日本セキュリティ監査 協会 日本セキュリティ監査 協会 日本セキュリティ監査 協会 日本セキュリティ監査 協会 ○ ○ ○ ○ ○ ISACA ○ (ISC)2ジャパン ○ SEA/J ○ ○ ○ ○ ○ SEA/J ○ ○ ○ ○ ○ SEA/J ○ ○ ○ WildPackets Certified Network Analysis WildPackets ○ ○ ○ WildPackets Certified Network Engineer WildPackets ○ ○ ○ TOEIC ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 500800 情報セキュリティの基礎が必須となっている 7/12 ある教育事業の展開状況 受講推移≪一般vsアカデミー≫ 1600 認定校 1400 1200 アカデミー 1000 一般 ①株式会社 大塚商会(札幌、水道橋、名古屋、大阪、福岡) ②株式会社 ディアイティ ③日立ソフトウェアエンジニアリング株式会社 ④マカフィー株式会社 ⑤NECラーニング株式会社 東京(田町)・大阪 ⑥株式会社 東芝OAコンサルタント ⑦株式会社 ケンソフト ⑧社団法人 中部産業連盟(名古屋) 800 600 400 200 0 ⑨東北電子専門学校(仙台/アカデミー 2006/4~) ⑩株式会社リコーヒューマンクリエイツ(2006/9) 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 受講者推移(一般+アカデミー) 決算期対応 2010.10.12 2003 2004 2005 2006 2007 2008 一般 777 1427 1345 923 1063 898 アカデミー 0 0 0 0 290 323 合計 777 1427 1345 923 1353 1221 前年同期比 - • • 2010.10 更新 183.7% 94.3% 68.6% 146.6% 2009 980 425 1405 2010 321 341 662 2011 400 450 850 2012 450 550 1000 90.2% 115.1% 47.1% 128.4% 117.6% リーマンショック後、一般の受講者が激減 – 今年度受講者が逆転する可能性有り 専門学校の認定校が増加 – 上記以外に検討中が13校 – この教育コンテンツの採用理由 • IT教育の基本として必要性が増加 • セキュリティ一般を学習できること • 自前でコンテンツの開発 • 教師の育成が不可能 ⑪新潟情報専門学校(新潟/アカデミー 2007/4 ⑫広島情報専門学校(広島/アカデミー 2007/4 ⑬KCS北九州情報専門学校(北九州/アカデミー ⑭KCS鹿児島情報専門学校(鹿児島/アカデミー ~ ) ~ ) 2007/4 ~ ) 2007/4 ~ ) ⑮コニカミノルタビジネスソリューションズ (2007/6 ~) ⑯専門学校ITカレッジ沖縄(那覇/アカデミー 2008/10 ~ ) ⑰麻生情報ビジネス専門学校(福岡/アカデミー 2009/4 ~ ) ⑱国際情報ビジネス専門学校(那覇/アカデミー 2009/4 ~ ) ⑲宮崎情報ビジネス専門学校(宮崎/アカデミー 2009/4 ~ ) ⑳KCS福岡情報専門学校(福岡/アカデミー 2009/4 ~ ) 21日本工学院八王子専門学校(八王子/アカデミー 2010/4 ~) 22日本工学院専門学校(大田区/アカデミー 2010/4 ~ ) 23専門学校ビーマックス(岡山/アカデミー 2010/9 ~ ) 注.「アカデミー」とは、学校生徒向けのSEA/Jアカデミープログラムのことです。 専門教育としてではない 網羅性がある 教科書・教材・試験の提供 教師育成講座の開催 8/12 JNSAの活動 • • 教育部会 – セキュリティ講師スキル研究WG • 情報セキュリティ教育の指導者向け手引書(2007年版)経済産業省委託事業 – http://www.jnsa.org/result/2007/edu/materials/071111/tebiki2007.pdf • 「2010年度セキュリティ講師スキル実証実験報告書(仮)」予定 – 情報セキュリティ教科書執筆者WG • 2009年3月 情報セキュリティプロフェッショナル教科書を出版 – 情報セキュリティ基本教育実証WG • 岡山理科大学での履修2単位対象となる半期(6ヶ月)で計15回の正規講義を実施。 他大学/大学院および専門学校に対する特別講義の実施 U40部会 – 若手技術者の育成が目的であり、40歳未満の会員が参加 – 活動内容 • 月例勉強会 自ら企画し、実行することにより人脈の形成と知識の 拡大を目指す • ラボネット JNSA自前で研究用ネットワーク環境を構築 セキュリティ強化で遊べなくなった社内ネットワークの代用 自由に接続実験が出来る環境を提供 IPV6機器やデジタル家電の接続実験を企画中 9/12 情報セキュリティ産業が要求する人材 • 二種類の人材に大別 A.情報セキュリティを理解している○○○人材 • 技術系 – プログラマー、システムエンジニア、ネットワーク技術者、運用技術 者、品質管理者・・・・ • マネジメント系 質 不足すると 脆弱性が増加 力 不足すると 防御力、回復力 低下 – 経営管理者(CIO,CSO・・)、経営企画、システム企画、情報シス テム責任者、コンサルタント・・・ B.情報セキュリティプロフェッショナル • 技術系 – 良性のハッカー、セキュアプログラミング、解析技術者、セキュリ ティ運用技術者、フォレンジック技術者・・・・ • マネジメント系 – セキュリティコンサルタント、セキュリティマネジメント評価者、情報 セキュリティ監査人 • AとBの両方とも育成が必要 – Aは現IT技術者などの再教育=情報セキュリティ基礎教育 • 定期的な教育実施などが有効 • 例えば、社会人教育(学習)の支援 – Bは資質保持者の発見と育成=情報セキュリティ専門教育 • 大学、高校などアカデミーでの発見と教育が有効 • 例えば、セキュリティキャンプなどの集中教育やコンテスト 10/12 人材育成の方法 • IT基礎知識がない人材にITセキュリティ教育は出来ない • ITセキュリティ知識がない人材にマネジメント教育は出来ない • マネジメント教育は社会経験も必要(他の業務の理解が必要) 企業内研修 (新入社員研修) 外部研修機関活用 (大学、大学院大学、 教育事業者など) マネジメント系 セキュリティ知識 プログラミング系 セキュリティ知識 大学など教育機関 構築・運用系 セキュリティ知識 ITセキュリティ基礎知識 (暗号、暗号通信、ファイアウォール、IDマネジメント、ロギング等) IT基礎知識 (コンピュータ、OS、ネットワーク、データベース、プログラミング等) 知 識 の 積 み 上 げ 方 向 11/12 まとめに代えて • 大学など教育機関に対しての要望 – IT関連学部においては情報セキュリティの基礎について教育 を実施 • 情報セキュリティリテラシー教育と混同しないことは重要 – 情報セキュリティプロフェッショナルの育成 • 人材の発掘と早期育成が必要 – 情報セキュリティ講師の育成 – 社会人受入体制の充実 • 異業種からの人材、マネジメント系教育の受け皿 • 国に対しての要望 – 上記大学向け要望実現に向けた大学への支援 – 社会人教育のための企業ならびに個人に向けた支援 – 積極的な情報セキュリティ投資の推進 • ニーズが無くては何も育たない 12/12