セキュリティの分類と、関連職種に求められるスキルと経験とは
執筆:天野彩
作図:上石尊弥
リサーチ協力:長峰源樹 / 秋山紘樹
近年の急速な情報化の発達により、顧客や社員の個人情報、知的財産などの機密情報などを守るために多くの企業・組織がセキュリティ対策に力を入れています。
それに伴い、セキュリティエンジニア、セキュリティコンサルタント、セキュリティアナリストといったセキュリティ関連職種のニーズも急速に高まっています。
本記事では、セキュリティ対策に今後力を入れていきたい企業の採用担当者の方向けに、セキュリティの分類と、セキュリティ関連職種として働くにあたって必要とされるスキルと経験を紐解きます。
セキュリティ関連職種に就く人たちの来歴の分析結果は「セキュリティ関連職種の人たちはどこから来たのか 経歴の傾向を分析」をご覧ください。
脅威を増すサイバー攻撃、重要性を増すセキュリティ対策
セキュリティとは、安全、保安などの意味のある英単語です。
IT分野では特に、暗号や防御のためのソフトウェアなどを利用してコンピュータやデータ、システムなどを保護し、機密漏洩や外部からの攻撃などの危険を排除することを指します。
セキュリティには、「情報セキュリティ」「サイバーセキュリティ」などがあります。
情報セキュリティは情報の形式を問わず、情報資産が漏洩したり、壊れたりしないように保護することを指します。
Webサイトへの不正アクセスや改ざん、営業秘密の不正メール送信といった電子的手法のほかに、盗聴器による会議の盗聴、機密書類の持ち出し、なりすまし電話による口頭での情報漏洩など物理的手法による漏洩からの保護も含みます。
国際標準化機構(ISO)と国際電気標準会議 (IEC) が共同で策定した国際規格ISO/IEC 27002などで、情報セキュリティは情報の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を維持することと定義され[1]、それぞれの頭文字をとったCIAは情報セキュリティの3要素と呼ばれます[2]。
サイバー攻撃やウイルスなど、情報セキュリティのCIA維持を脅かす方法に注目しているのがサイバーセキュリティです。電子化(IT化)された情報の改ざんや漏洩を防ぐために、制御系システムのプログラム改ざん、社内システムの乗っ取り、ハッキングなどの攻撃から守ることを指します。
サイバー攻撃の手法は変化を繰り返し、攻撃による被害額は世界規模で拡大しています。
従来の情報セキュリティにおける「情報資産を守る」だけではなく、「外部からのサイバー攻撃を防ぐ」というサイバーセキュリティへの発想の転換が求められているのです[3]。
新たに国家資格も誕生 2万人が登録
セキュリティの専門家の中には、セキュリティエンジニア、セキュリティコンサルタント、セキュリティアナリストなど複数の職種が含まれます。
一般的には、セキュリティエンジニアはセキュリティに関するリスクを分析・評価し、組織のサービスやシステムの安全を確保します。社内規定の立案、セキュリティ対策の選定と管理を担うこともあります。
セキュリティコンサルタントは、特に上流工程で経営層を支援します。組織のITインフラなどに対してセキュリティ診断を行い、対策を助言・提案し、セキュリティに対するルール作りなどを行います。
セキュリティアナリストは、サイバー攻撃やウイルスの対処の専門家です。攻撃の手法を調査、分析し、解決策の提示や対策を迅速に行う役割を担います。
ただ、これらセキュリティ関連職種には明確な定義はなく、採用市場ではニーズに対して専門人材が少ないため非常に採用が困難な状況が続いています。
独立行政法人情報処理推進機構(IPA)は2016年、サイバー攻撃による社会的脅威に対応できる人材の確保のため、サイバーセキュリティ分野の国家資格「情報処理安全確保支援士(登録セキスペ)」を新たに設置しました[4]。
国家資格のため、登録者はセキュリティ分野の専門家として信頼できることを示すばかりでなく、所属企業の信用を示すことにも繋がります。
登録セキスペに登録された人には登録証が交付され、氏名や得意分野、勤務先などの情報が登録セキスペの検索サービスで一般公開されます。2024年1月現在、2万人余りが登録されています[5]。
正解のない対策 コスト判定の難しさ
セキュリティ対策で難しいのが、脅威が実在するにもかかわらず対策には多くのアプローチがあり、汎用的な正解はなく、かかるコストとのバランスで対策を打たなければならないということです。
顧客やユーザーとの関連性、組織規模や使える予算規模などによって、何をどのような手段で守るか、どの程度のコストを投じるべきかは組織によって異なります。
そこで組織はセキュリティに関する基本的な方針を行動指針やセキュリティポリシーで設定しますが、この設定にあたっても専門知識が必要になり、日々アップデートされる国内外のガイドラインや法律、新たな攻撃手法などの情報をアップデートする必要があります。
サイバー攻撃の手法は日々高度化し、対策してもいたちごっこのように新たな手法が生み出され、関連する法律なども随時改正されていきます。
導入する対策の選定、コスト判定などあらゆる場面で専門知識が必要なため、急速に専門人材のニーズが高まっているのです。
自社の組織規模やフェーズに見合った適切な予算の投資を提言し、セキュリティ計画を提言できることが、セキュリティ職種に求められる重要な素養のひとつです。
インフラなどIT分野の基礎的なスキルを身につけたうえで、セキュリティ関係の情報をアップデートし続けるとともに、自社の予算や経営状況に見合った適切なセキュリティ計画を立てられることが、セキュリティの専門人材として働く上で必要な素養と言えるでしょう。
参考文献
[1] 日経クロステック, 高橋 宏之, 2018年3月12日, 情報セキュリティとサイバーセキュリティにまつわる誤解
[2] NTT東日本 クラソル, 情報セキュリティ3要素と7要素 CIAの定義から4つの新要素まで解説
[3] Hubspot, 水落 絵理香, 2021年7月21日, サイバーセキュリティとは?対策の基礎がわかる初心者向けガイド
[4] 独立行政法人情報処理推進機構, 情報処理安全確保支援士(登録セキスペ)
[5] 独立行政法人情報処理推進機構, 情報処理安全確保支援士検索サービス