はじめに
日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会、NCAなどとも)が『CSIRT人材の育成 Ver 1.0』を公開しました。
インシデントが起きると様々な役割の人達が入り乱れて、時に統制され、時に混沌としたまま収束へ向かうわけですが、役割の分類については『CSIRT 人材の定義と確保 Ver.2.1』で取り組まれています。『人材の育成』は、『人材の定義と確保』で定義した各役割を育成するにあたって、どういった教育が必要かをまとめたものです。
また、この資料はあくまでNCA人材育成WGで収集・編纂したベストプラクティスであって、組織によってCSIRTの業務内容や人材構成大きく異なることを前提に、「それぞれの組織に合わせて柔軟に考えてほしい」とも書いてあります。
自分自身のキャリアパスやラーニングパスの整理のためにも、通しで読んでエッセンスをまとめておきたいと思います。
育成STEPの定義
『人材の育成 Ver 1.0』では、育成のSTEPを以下のように定義しています。育成カリキュラムや評価制度を自分たちで作ろうとした時、レベル分けというアイデアは容易に思いつきますが、「どう分けるか」って結構難しいですよね。
このガイドラインでは0から5のSTEPを定義していて、そのうち担当役割における一人前になるまでのSTEP3までについて、資料内で言及があるみたいです。
STEP | 対象者 | 内容 | 目標 |
---|---|---|---|
0 | 新規配属者 | 自社のセキュリティ業務を行うために必要な基礎知識を身に着ける。 | 基礎教育修了者 |
1 | 基礎教育終了者 | 組織における自分の役割、立ち位置を理解する。 | 担当役割の初心者 |
2 | 担当役割の初心者 | 担当する役割のより深い知識を、OJTを通して身に着ける。上位職が支援すれば業務をこなせるようになる。 | 担当役割の見習い |
3 | 担当役割の見習い | 実践、訓練を通じて知識経験を慣熟させる。独り立ち。 | 担当役割の一人前 |
4 | 担当役割の一人前(トレーナー) | 各役割における想定外事象に対応できるスキルを身に着ける。 | 担当役割の熟練技術者 |
5 | - | - |
役割グループの定義
『人材の定義と役割』では、インシデントにかかわる人々の役割を細分化しています。それぞれについて求められる専門性はあるものの、基礎的な教育については共通化していい組み合わせがあるだろう、というのが『人材の育成』での考え方のようで、7つのグループに分かれています。『人材の育成』には『人材の定義と役割』における機能分類を基準とした表が載っていますが、この記事では兼任グループを基準にした表を作ってみました。
兼任グループ | 役割 | 機能分類 | 役割 |
---|---|---|---|
兼任グループ1「連絡・全体統括」 |
|
情報共有 | 社外PoC:自組織外連絡担当 |
社内PoC:自組織内連絡担当 | |||
リーガルアドバイザー:リーガルアドバイス担当 | |||
ノーティフィケーション担当:自組織内調整・情報発信担当、IT部門調整担当 | |||
インシデント対応 | コマンダー:CSIRT全体統括担当 | ||
インベスティゲーター:調査・操作担当 | |||
トリアージ担当:優先順位選定担当 | |||
兼任グループ2「インシデント対応」 |
|
インシデント対応 | インシデントマネージャー:インシデント管理担当 |
インシデントハンドラー:インシデント処理担当 | |||
兼任グループ3「情報収集/情報分析(SOC/監視)」 |
|
情報収集・分析 | リサーチャー:情報収集担当 |
キュレーター:情報分析担当 | |||
兼任グループ4「脆弱性管理/診断」 |
|
情報収集・分析 | 脆弱性診断士:脆弱性の診断・評価担当 |
兼任グループ5「フォレンジック」 |
|
情報収集・分析 | フォレンジック担当 |
兼任グループ6「セキュリティマネジメント」 |
|
情報収集・分析 | セルフアセスメント担当 |
自社組織内教育 | 教育担当:教育・啓発担当 | ||
兼任グループ7「開発/開発支援」 |
|
情報収集・分析 | ソリューションアナリスト:セキュリティ戦略担当 |
兼任グループを基準に見てみると、フォレンジックや脆弱性診断などに比べて、グループ1「連絡・全体統括」でカバーする役割が多めですね。これらの役割は専門的な知識よりもコミュ力や組織理解、ビジネス理解が重要な点で共通するということだと思います。
参考までに、日本セキュリティオペレーション事業者協議会(ISOGJ)が公開している『セキュリティ対応組織成熟度セルフチェックシート』(ISOMM)では、グループ1のような役割は「自組織で実施すべき領域」ないし「自組織を中心に連携すべき領域」として位置づけられています。アウトソーシングしづらい領域こそ教育が重要なわけで、優先的に対応すべきなのかもしれません。
基礎教育
『人材の育成』では、基礎教育を「CSIRT もしくはセキュリティ部⾨に配属された要員が、これから⾃社のセキュリティに関する業務を⾏うために必要な基礎知識を⾝につけるための教育である」としています。『人材の育成』でのグルーピングがあんまりしっくりこなかったので、私なりに「自社に関する理解」「CSIRTに関する理解」「セキュリティに関する理解」「関連法令に関する理解」の4つに分けてみました。
- 自社に関する理解
- 自社のセキュリティポリシー、ガイドライン、マネジメントシステム
- 自社のシステム構成
- セキュリティ施策
- 認証、アクセス制御
- バックアップ
- 侵入検知・防御、侵入後対応の仕組み
- 内部不正対策の実施内容
- セキュリティ施策
- CSIRTに関する理解
- CSIRTの役割、守備範囲、サービス提供内容
- SLA
- セキュリティに関する理解
- 一般的なセキュリティ事象、攻撃手法など
- システムやソフトウェアの設計、設定
- バージョンアップ、パッチ適用
- ライフサイクル管理
- 関連法令に関する理解
- 電気通信事業法
- 不正指令電磁的記録に関する罪(ウイルス作成罪)、電子計算機使用詐欺罪に関する警報
- 不正アクセス行為の禁止等に関する法律
- 不正競争防止法(営業秘密、限定提供データに伴う)
- 著作権法(データの権利やリバースエンジニアリングに伴う)
- 刑事訴訟法(差し押さえや操作関係事項紹介に伴う)
- その他、業界特有の順守すべき法令やガイドライン
見るに、基礎教育にはプログラミングやTCP/IPなど、IT一般に関する知識は含まれていません。以降の担当別教育の内容を見てもITに関する基礎知識は含まれていないようなので、どうやら事前学習(入社時研修など)に含まれている前提のようです。兼任グループ1に分類されているようなマネジメント系の役割についても最低限身に着けているべき技術知識というのはあると思うので、ここをカバーする方法は別途考える必要があります。
また、法令に関しても、以下のように事前教育を前提とした部分がある旨の言及がありました。
契約不履⾏、損害賠償請求に関する⺠法、善管注意義務に関する会社法、個⼈情報保護法、マイナンバー法に関しては、特に CSIRT 業務に限らずとも理解しておくべき法令のため、全社教育で実施されているものとする。
以降、各役割については、必要に応じて個別に記事を作ろうと思います。