サイバーセキュリティ スキル

以前掲載した「サイバーセキュリティ業界におけるキャリアの歩み方【5つの職種と必要なスキルも徹底解説】」の記事では、セキュリティ業界の中でテクニカルな部分を担う5つの職種と、それぞれに必要なスキルについて解説しました。近年では人材不足が大きな課題となっているセキュリティ分野ですが、人材不足から起こるスキル不足に対しても、世界中の多くの組織において最大の懸案事項の一つとなっています。米Fortinet, Inc.は、セキュリティ侵害とそれに伴う損失の約80%が、このスキルギャップと相互関係にあるとのグローバル調査結果を発表しました。

では、現在企業からのニーズが高まっているサイバーセキュリティスキルには、どのようなものがあるのでしょうか?CompTIAの「2020サイバーセキュリティの現状」では、企業が今後更なる改善を望んでいるサイバーセキュリティのエリアを公開しています。今回の記事では、これらの結果に基づき、今後サイバーセキュリティ領域でより一層需要が高まるであろう10のスキルをご紹介します。

 

サイバーセキュリティ スキル

サイバーセキュリティ業界におけるキャリアの歩み方【5つの職種と必要なスキルも徹底解説】

記事を読む

データセキュリティ

データセキュリティとは、承認されていないアクセスからデータを保護し、データの機密性や整合性、可用性を維持するために採用される保護手段を表します。具体的には、データ暗号化、データ秘匿化、キー管理、データサブセット化、データマスキングなどのデータ保護手法を導入すること、そして特権ユーザーアクセスの制御、監査、監視などが含まれます。

例えばGDPR(EU一般データ保護規則)の下ではデータ侵害は組織の年間収益の最大4%の罰金に繋がる恐れがあるように、データセキュリティは多くの場合重大な経済的損失へと繋がります。CompTIAの調査によると、現状では、多くの企業ではデータに対する正式なアプローチを持っていないため、アプローチがより厳密になるまで、データセキュリティ分野へどの程度投資をすべきなのか把握できていないのが状況です。今後、正式なデータ戦略を構築している企業の経営層から、データセキュリティに関する知識やスキルを身に着けた人材が求めらることが予想されています。

 

ネットワークセキュリティ

企業の商品やサービスを通して取得した顧客情報や製品の技術情報、企業の財政情報などの企業経営に関わる情報を、情報資産と呼びます。情報資産は、ネットワークを介して常に漏えいや破壊(クラッキング)、悪用などのサイバーテロと呼ばれるサイバー攻撃の危険性にさらされていますが、これらを失うことは企業経営を揺るがす事態になりかねません。このためにデジタルな情報資産を守り、安全にネットワークを使用するためのネットワークセキュリティの重要性が高まっています。

ネットワークセキュリティには、社内のみで完結している「クローズドネットワーク」とインターネットを通じて直接的または間接的に外部公開している「オープンネットワーク」の二つの種類があり、それぞれに対応したネットワークセキュリティを都度取捨選択する必要があります。そのため、ネットワークセキュリティ強化のために必要な対応を提案・実行できる人材が求められています。

 

データ分析

データ分析とは、様々な方法でデータを収集し、整理、加工、統合した後に分析を行うことを指します。CompTIAは「2022年に求められるITスキル」という記事を発表しており、リスク分析とサイバーセキュリティ分析を、現在サイバーセキュリティ分野のデータ分析に関して求められている必須スキルの二つとして挙げています。

 

リスク分析

リスク分析とは、組織に危害を及ぼす可能性のあるリスクや脆弱性を評価することを指します。主にリスク分析では、分析対象の価値と被害の規模や影響、予想される脅威と脅威が発生する可能性、そして、脅威発生時の受容可能性が評価基準として用いられます。

リスク分析の手法としては、ベースラインアプローチ、非形式的アプローチ、詳細アプローチ(詳細リスク分析)、組み合わせアプローチの四つが挙げられます。

  • ベースラインアプローチ - 既存の標準よりリスクアセスメントを行うアプローチ。
  • 非形式 アプローチ - コンサルタントや組織の担当者などが独自の方法で行う、リスクアセスメントのアプローチ。
  • 詳細アプローチ(詳細リスク 分析) - 情報資産(情報・ハードウェア・ソフトウェア・ネットワークなど)と資産価値、脅威、脆弱性、セキュリティ要件を識別、計数化し、詳細にリスクアセスメントを行うアプローチ。ヒートマップやマトリクスなどにまとめるのが一般的。
  • 組み合わせアプローチ - 上記3つのアプローチを組み合わせる。

 

サイバー犯罪の危険性が高まる中、現に存在する、もしくは潜在的なセキュリティリスクを分析し、分析結果に正しく対応することで、リスクがコントロールされ、事故発生の可能性も低減されます。

 

サイバーセキュリティ分析

サイバーセキュリティ分析とは、サイバーセキュリティへのプロアクティブなアプローチで、データの収集、集約、分析機能などを利用して、サイバー脅威の検出、分析、軽減を行うことを言います。前述のリスク分析に加え、脅威インテリジェンス、侵入検知と対応、データモニタリングなどがこのサイバーセキュリティ分析に含まれます。

例えば、セキュリティ情報イベント管理のためのソフトウェア(SIEM)では、セキュリティ装置やネットワーク機能、業務アプリケーション、SaaSサーバーや、クライアントを保護するエンドポイント、ディレクションやレスポンス(EDR)など、様々な種類のログデータを収集・分析することで、外部からのサイバー攻撃や従業員による不正行為などを検出します。

 

脅威に関する知識

サイバーセキュリティ対する脅威は意図的脅威(コンピューターウイルス、不正侵入、改ざん、なりすまし盗難、盗聴など)・偶発的脅威(人為的ミス、誤動作装置、故障など)・環境的脅威(天災など)の3つに分類され、それぞれ異なる侵入経路や警戒ポイントがあります。脅威も日々進化してきており、これらに関する基本的かつアップデートされた知識を持つ人材が重宝されています。例えば、2020年における組織の10大脅威は以下の通りとなっています。(参考:情報セキュリティ10大脅威2021

 

10位:脆弱性対策情報の公開に伴う悪用増加

9位:不注意による情報漏えい等の被害

8位:インターネット上のサービスへの不正ログイン

7位:予期せぬIT基盤の障害に伴う業務停止

6位:内部不正による情報漏えい

5位:ビジネスメール詐欺による金銭被害

4位:サプライチェーンの弱点を悪用した攻撃

3位:テレワーク等のニューノーマルな働き方を狙った攻撃

2位:標的型攻撃による機密情報の窃取

1位:ランサムウェアによる被害

 

脅威に関する基本的な知識は、情報セキュリティ初級認定試験情報セキュリティ管理士認定試験などの資格取得することで、一通り身に着けることができます。

 

アプリケーションセキュリティ

アプリケーションセキュリティとは、アプリケーション内のデータやコードを盗難や乗っ取りから保護することを目的とした、アプリケーションレベルのセキュリティ対策です。アプリケーションセキュリティは、セキュリティの脆弱性の特定・最小化を行うハードウェア、ソフトウェアおよび手順などで構成されます。

現在のアプリケーションは様々なネットワークから使用できるため、クラウドにも接続していることが多く、セキュリティの脅威や侵害に対して脆弱です。近年は、ネットワークレベルのセキュリティ確保に加え、急増するアプリケーション自体を対象とする攻撃へのセキュリティ確保のための要求も高まっています。

 

エンドポイントセキュリティ

エンドポイントセキュリティとは、エンドポイント(スマートフォンやタブレットなどの端末機器)自体や、エンドポイントに保存している情報を、サイバー攻撃から守るためのセキュリティのことを指します。

近年では、「働き方改革」の影響で、テレワークの機会が幅広く提供されるようになりました。社内のサーバーやデスクトップだけでなく、従業員が自宅や外出先で利用するノートパソコンやタブレットなどのエンドポイント環境のセキュリティ対策が求められています。セキュリティ・スキームもワークスタイルに適合したものにする必要があるため、エンドポイントセキュリティの見直しを求める企業も増えています。

 

ID管理

ID(アイデンティティ)とは、人やモノにまつわる必要な情報全てを表します。例えば、ある企業の従業員のIDは、従業員番号、所属部署、入社年、役職、性別、住所、生年月日などが含まれます。近年では、リモートワーカーを含むクラウドファーストの環境において、特にこのID管理のための適切な対応が必須となっています。

また、このID管理は、アプリケーションやデータセットに蓄積された情報が漏洩するリスクを軽減するだけでなく、作業の効率化の意味も持っています。IDを管理するための全ての作業を簡略化することができ、作業を効率化、ミスを軽減、そしてオーバーヘッドを削減することも可能となるため、組織に適切なID管理を施すことができる人材が重宝されています。

 

コンプライアンスに関する理解

コンプライアンスとは、規制に準ずるアクションや事実と定義することができます。コンプライアンスに関する専門知識は、医療や金融など規制の厳しい業界では以前から必要とされていましたが、近年では、業界や規模に関わらず、どの企業にとっても不可欠なものとなりつつあります。デジタルプライバシーに対する監視の目が厳しくなり、州や国によってガイドラインが異なるため、こうした知見を持つプロフェッショナルへの需要がより一層高まっています。

 

暗号化

暗号化とは、一定のルールに従って文字列を変えるなどし、データ内容を第三者に分からなくする技術・手法です。例えば、圧縮ファイルとして知られるZIPファイルにパスワードを付けて暗号化する、SSL/TLSによってWebページを暗号化することなどが一例として挙げられます。

この他にも、代表的な暗号化の手法として、ハードディスクの暗号化、クラウドデータの暗号化、通信内容(電子メール、無線LAN)の暗号化、メッセージの暗号化、パスワードの暗号化などがあり、多くの企業において、これらの手法を取り入れる際に必要な知識とスキルが重要視されています。

CompTIAの「2022年に求められる22つのITスキル」の記事では、上記の他にもペネトレーションテストに関するスキルが、企業からの需要が高まるサイバーセキュリティ関連スキルの一つとして取り上げられています。

 

ペネトレーションテスト

ペネトレーションテストとは、指定されたシステムにアクセスするための脆弱性を見つけ出すことを指します。これらのテストにより、企業が修正するべきシステムの弱点・維持すべき強みを特定し、企業はこれらの情報をもとにサイバーセキュリティに対して具体的な対策を施します。

ペネトレーションテストのスキルは、市販の教材やコース、もしくは海外版の最新版調査ツールを利用するなどして習得することができます。原理、特に攻撃コードの仕組みをきちんと理解することで、ペネトレーション・テスター(ペンテスター)としてのキャリアを築くことも可能となります。

 

 

ペンテスター

バグバウンティとも呼ばれる脆弱性報奨金制度を副業として利用し、収入を増やすことも可能で、中にはバグバウンティをフルタイムの仕事として取り組む人もいます。こちらの記事ではバグバウンティを副業として、もしくはフルタイムのお仕事としてお考えの方のためのヒントを、バグバウンティの専門家のお話も交えながらご紹介しています。

記事を読む

 

サイバーセキュリティスキル|まとめ

情報セキュリティを専門とする人材の不足が浮き彫りになっているのも事実であり、情報セキュリティを担う人材の育成や採用を希望する企業も多くあります。特に今回ご紹介したスキル持った人材の市場価値は、今後ますます高まることが予想されます。

サイバーセキュリティ業界でのキャリアには多くの選択肢があります。この業界の良い点としては、全ての職種が何らかの形で相互に関連していることが挙げられ、「サイバーセキュリティ業界におけるキャリアの歩み方【5つの職種と必要なスキルも徹底解説】」の記事でもご紹介したように、意欲さえあればシステム管理者などの職種から始め、ご自身が最終的に目指している職種に就くまでサイバーセキュリティのキャリアを着実に歩んでいくことが可能です。

弊社ではサイバーセキュリティ分野のポジションを数多くご紹介可能です。また、業界の展望や他業界との比較など、各種ご相談も随時受け付けております。サイバーセキュリティ領域のスペシャリストをお探しの方、また当領域でキャリアアップの機会をお探しの方は以下のフォームからお問い合わせください。

最新の求人情報はこちら

スキルや経験を活かした転職をお考えですか?または高いスキルを持つ人材をお探しですか?Computer Futuresにお任せください。

このフォームを送信することで、弊社のプライバシーポリシーに沿って個人データが取り扱われることに同意したものとみなします。