近年、サイバー攻撃やオンライン詐欺による脅威は巧妙化・悪質化しながら急激に拡大しています。事実、独立行政法人情報処理推進機構の「情報セキュリティ白書2022」でも、オンライン詐欺による金銭被害やランサムウェアによる被害が過去最大となったことが報告されています。
これに伴い、インシデント対応関連の職種へのニーズが拡大しています。インシデント対応に関わる職種は企業ごとに呼び名が異なることも多く、様々な職種名で求人が出されており、職種名(ジョブタイトル)から職務内容がイメージしづらいケースが多いのも事実です。今回は、インシデント対応に関わる職種であるCSIRT(シーサート)、マルウェアアナリスト・フォレンジックアナリスト(セキュリティアナリスト)、そしてトリアージに焦点を当て、主な業務内容や必要となるスキルや経験、資格について詳しく解説します。
目次
平均年収が高いサイバーセキュリティ業界とは?転職に活かせる経験やスキルもご紹介
記事を読むインシデント対応とは?具体的なステップ
インシデント対応とは、組織が疑わしいサイバーセキュリティ侵害(インシデント)に際して、検知、封じ込め、復旧を実施するために準備を行う一連の取り組みのことを指します。米国立標準技術研究所(NIST)は、インシデント対応の一連のプロセスを以下の4つの主要なフェーズに分類しています。
- 準備・・・急なインシデントの通知があった際に対応できるように、インシデントの防止や対応のための計画を立て、定期的な見直し、更新を行います。また、インシデントに対応する担当者や特定の重要な決断を下す権限を持つ人物を特定します。
- 検知と分析・・・インシデントの兆候の特定や、インシデントの文章化、インシデントの優先順位付け、適切な部門へのインシデントの通知を行います。
- 封じ込め、根絶、回復・・・インシデントの根本的な原因を突き止めて対処し、システムの復旧を目指します。
- インシデント後の活動・・・セキュリティ全体とインシデント処理を改善することを目的とした話し合い、そして新たな計画の策定と実行を行います。
インシデントが最終的に組織に与える影響は、組織のインシデントへの対応によって決まると言っても過言ではありません。適切な措置を怠った場合、従業員への影響や、株主からの訴訟、規制当局からの罰則などのリスクに繋がり、組織の評判にも多大な影響を及ぼします。近年の高度化するサイバー攻撃により、企業はより厳格なサイバーセキュリティ対策を講じる必要性があり、特にインシデント対応に精通した人材への需要は多くの企業で高まっています。
インシデント対応に関わる職種
インシデント対応に関わる職種として有名なものに、CSIRT、マルウェアアナリストやフォレンジックアナリストをはじめとするセキュリティアナリスト、そしてトリアージが挙げられます。以下、それぞれの職種の具体的な仕事内容をご紹介します。
CSIRT(シーサート)
CSIRTはComputer Security Incident Response Team(コンピューター・セキュリティ・インシデント・レスポンス・チーム)の略で、組織に対してインシデント事前対応と事後対応サービスを提供したり、組織のセキュリティの品質を高める活動を行う組織のことを指します。セキュリティインシデントに対し、恒常的に対応する場合と、問題発生時のみに結成される場合があります。
ちなみに、CSIRTとしばしば混同される職種としてSOC (Security Operation Center) がありますが、こちらはインシデント発生前の検知に重点を置くという特徴があり、インシデント発生時の対応に重点を置くCSIRTとは機能が多少異なります。
- CSIRT・・・基本的にインシデント発生時の対応に重点を置き、インシデント発生時にその原因を速やかに解析し、影響の範囲を明確にすることで被害の最小化を目指す。
- SOC・・・インシデント発生前の検知に重点を置き、施策立案から実行までを網羅する。
CSIRTの仕事内容の詳細や種類・体系については、以下の記事をご覧ください。
CSIRTとは?組織にCSIRTを導入する際に確認すべきポイントも解説
記事を読むマルウェアアナリスト/フォレンジックアナリスト(セキュリティアナリスト)
マルウェアアナリストやフォレンジックアナリストは、セキュリティインシデント報告として寄せられたインシデントの調査(マルウェア分析もしくはフォレンジック分析とログ分析など)を行います。また、セキュリティインシデントの被害組織に対して適切な対応方法に関するアドバイスを行い、業務復旧を支援します。その他にも、よりセキュアなインターネットを目指すための技術的施策の立案・実行も行います。
トリアージ
一般的に、トリアージとは医療現場における重症度や治療の緊急度に基づいた傷病者の振り分け・優先順位付けを意味します。セキュリティにおけるトリアージとは、発生したセキュリティインシデントの深刻度と、対応における緊急性の二つの基準をもとに対応の順序を決める役割を果たします。また、対応の順序だけでなく、それぞれの事象について自社で対応するべきか外部に対応を依頼すべきかといった判断も行います。
具体的なトリアージ業務のプロセスとしては、事象の切り分け(発生したインシデントの情報収集を行い、自社で対応すべきか判断する)、優先度付け(事象を分析し、深刻度と緊急性などから対応の優先順位をつける)、関係者への連絡(インシデントに関係する部署や担当者、外部組織へ連絡し対応を依頼する)が挙げられます。
インシデント対応関連職に転職するために必要なスキルや経験、資格
ここからは、上記の職種に転職する際に求められるスキルや経験、資格について解説します。
CSIRTに必要なスキルと経験
CSIRTは、ネットワークやセキュリティシステムに関する豊富な知識と、セキュリティインシデント関連情報の収集分析能力が求められる職種です。
SOCにおけるアナリストもしくはエンジニアとしての業務経験を求める企業も見られます。また、自社システムやサービス、もしくは顧客の環境にセキュリティ機器を導入・運用した経験、プロジェクト管理の経験も重宝されます。CSIRTはインシデントに対応をする際に外部への説明をする場面もあるため、コミュニケーション能力やプレゼンテーション能力も求められます。
資格取得は必須ではありませんが、ITパスポート以上のセキュリティ関連の情報処理資格を取得することで、転職時に有利に働くことがあります。
セキュリティアナリストに必要なスキルと経験
マルウェアアナリストやフォレンジックアナリストと呼ばれることも多いセキュリティアナリストは、職種未経験での転職は可能であるものの、情報セキュリティやネットワーク、IT関連技術に関する幅広い知識が必須とされる職種です。特にセキュリティ関連業務もしくはシステム管理・運用、システム構築、ソフトウエア開発、インシデントレスポンス、ネットワーク構築などの経験があると、転職に有利に働くでしょう。加えて、インシデント対応時にインシデント発生元との調整が必要となるため、高いコミュニケーション能力も必要となります。
この他に、情報処理安全確保支援士または今まで担当したセキュリティの関連資格の保持を必須としている企業もあるため、これらの資格を事前に取得しておくことが推奨されます。その他にも、CISSPやCSFA、CCSPなどの高度セキュリティ資格を取得することで転職時に有利に働く可能性もあります。
トリアージに必要なスキルと経験
トリアージは非常に高度な専門知識が求められ、対応の初期段階においては正しい決断を下して事態を収拾するためのリーダーシップを取る必要がある、業界での豊富な経験が必要とされる職種です。
基本的には、以下の3つの職種における経験が必要となります。
- セキュリティエンジニアとしての経験
- 情報セキュリティアナリストとしての経験
- システムエンジニアとしての経験
将来的のトリアージ業務に携わることを目指す場合、まずはこれらの職種で経験を積むことが求められます。
また、必要な資格はありませんが、セキュリティインシデントに対する分析能力、問題を切り分ける力などが必要となります。CEH(認定ホワイトハッカー)やネットワーク情報セキュリティマネージャーの資格を取得することで、これらの知識を得ることが出来、転職の際に武器となるためおすすめです。
インシデント対応|まとめ
以上のように、インシデント対応に関連した職種の中にも、インシデント対応におけるフェーズやシステムごとに、様々な職種が存在します。近年ニーズが高まるセキュリティ領域において、インシデント対応関連職へ転職しキャリアアップ・年収アップを目指すには、転職エージェントの活用をおすすめします。Computer Futuresでは、ご要望に合わせて転職先のご紹介やキャリアパスについてのアドバイスなど、皆様の転職活動のサポートをいたします。サイバーセキュリティ業界全般における採用動向について詳しく聞きたいという方も、以下のフォームよりお気軽にお問い合わせくださいませ。
