松澤 伸一
2つの視点が必要
具体的にどのように施策化すれば良いのだろうか。
まず、(1)スキルの見える化であるが、例えばNTTデータグループでは、様々な人材タイプに応じた独自の認定資格制度にセキュリティ人材を設定し、4段階のレベルと、各レベルを達成するための基準を定義している。これにより、自身の力量レベルと不足要件を把握でき、効果的に育成が図られている。
もう一つのポイント、(2)実体験による経験蓄積を実現するために、今後期待できる有望な方法として注目を集めているのがTLPT(Threat-Led Penetration Test)だ。これまでは米国などを中心に主に大手金融機関において活用されてきた手法で、日本語では「脅威ベースのペネトレーションテスト」と呼ばれる。簡単に言うと、攻撃担当と防御担当にチーム分けして疑似攻撃を実施する、従来よりも高度なセキュリティ診断方法である。
これまでのセキュリティ診断は、主にシステムの基盤部分やアプリケーション部分についてセキュリティ上の不備や脆弱な点がないかを網羅的に確認するものであったのに対し、TLPTは、網羅的に不備を確認することが目的ではなく、組織として「最も避けたいリスク」に対してどの程度の耐性があるかを確認することを目的としている。
また、組織全体としてセキュリティ対応状況に不備がないかを確認できる点についても違いがある。レッドチームと呼ばれる高度な技術をもった技術者が行う擬似攻撃に対して、ブルーチームと呼ばれる攻撃の検知・対応を行うチームのメンバとしてプラスセキュリティ人材(の候補者)が参加すると、擬似的とはいえ最新の脅威シナリオに基づいた現実に近い攻撃を経験することになる。
使えるセキュリティ人材は、今や机上の学習だけでは育たない。力量の厳しい客観的評価と生々しい攻撃者目線を経験することで、実践スキルを向上させ、知識と経験に基づいた判断力を養う必要があると考える。