SANSの20 Coolest Careers in Cybersecurity を活用して、組織やチームに必要なセキュリティ人材像を整理する方法（NIKKEI Tech Talk #18）

SANS の 20 Coolest Careers in Cybersecurity を活⽤して、 組織やチームに必要なセキュリティ⼈材像を整理する⽅法 2024年3⽉28⽇ NIKKEI Tech Talk #18 ⽇本経済新聞社 1

発表者のプロフィール ● ㈱⽇本経済新聞社 セキュリティエンジニア ● 藤⽥ 尚宏 ( @tanafuji_sec ) ● 2022年 ⼊社 ⽇経が⾃社開発するプロダクトのセキュリティを 横断的に⾼める活動を推進。システムエンジニ ア、警視庁サイバー犯罪特別捜査官を経て現職。 ● 趣味 ○ クラフトビール（びあけん３級） 2

• https://twitter.com/tanafuji_sec

⽇経 デジタル有料購読者数 🎉 100万を突破 🎉 ⽇経、デジタル購読数100万に 専⾨メディアで法⼈開拓 （2023年12⽉8⽇付, ⽇経電⼦版より） 3

• https://www.nikkei.com/article/DGXZQODL249F10U3A121C2000000/

⽇経のプロダクト（例） BtoC BtoB その他サービス ‧ ⽇経電⼦版 ‧ 法⼈向け⽇経電⼦版 ‧ ⽇経マガジン ‧ ⽇経ID（ID基盤、課⾦決済） (PRO, FOR OFFICE) ‧ 各種イベント ‧ ⽇経転職版 ‧ ⽇経テレコン ‧ ⽇経リスキリング ‧ Nikkei Primeシリーズ ‧ ⽇経NEEDS ‧ ⽇経オフィスパス ‧ Nikkei Asia ‧ ⽇経バリューサーチ ‧ ⽇経リスク＆コンプライアンス 内部向け ‧ ⽇経スマートクリップ ‧ ⽇経COMPASS ‧ データ基盤(Atlas) ‧ 統合マーケティング(IMS) 4

Mission 質の⾼い報道とサービスで 読者‧顧客の判断を助け 世界で最も公正で信頼されるメディアになる To be the most trusted, independent provider of quality journalism to a global community, helping our customers make better decisions. 日経の理念 https://www.nikkei.co.jp/nikkeiinfo/about/ 5

• https://www.nikkei.co.jp/nikkeiinfo/about/

当⾯やりたいこと 自社のプロダクトセキュリティの強化を推進しつつ、世の中で活躍する プラス・ セキュリティ人材（主にエンジニア系）が増えてほしい ● 実践： 社内のセキュリティ推進、人材の発掘、育成、研修やキャリア採用 ● 直近の情報発信： 【レベル別】どこから始める？プロダクトセキュリティ（NIKKEI Tech Talk #12） 安全なクラウドネイティブ実現へ：内製開発におけるプロダクトセキュリティ強化の軌跡と開 発チームとの協調 - CNDT2023 6

• https://www.docswell.com/s/tanafuji-sec/Z4QM8Q-2023-10-19-product-security
• https://www.docswell.com/s/tanafuji-sec/5YW68E-cndt20231211

SANS 20 Coolest Careers in Cybersecurity https://x.com/SANS_JAPAN/status/1650424351530033153?s=20 今最も注目されているサイバーセキュリティの仕事 (SANS Institute, April 28, 2022, 掲載許諾済み ) https://www.sans.org/posters/20-coolest-careers-cybersecurity-japanese/ 7

• https://www.sans.org/posters/20-coolest-careers-cybersecurity-japanese/
• https://x.com/SANS_JAPAN/status/1650424351530033153?s=20

組織に必要なセキュリティ人材像の解像度の問題 セキュリティ業界の仕事 ● ● ● ● ● ● ● ● ● ● ● セキュリティマネージャ セキュリティコンサル 脆弱性診断士 ペンテスター セキュリティアナリスト セキュリティオペレータ エシカルハッカー インシデントハンドラー フォレンジック専門家 フィッシングハンター CISO 等 vs ユーザー企業 ？？？「贅沢な名だね。」 ？？？「今からお前の名前はセキュリティエンジニアだ。い いかい、セキュリティエンジニアだよ。分かったら返事をする んだ、セキュリティエンジニア！」 “セキュリティ人材”に対する解像度が不足 (さらに、企業によって微妙に呼び方も異なる） 8

組織に必要なセキュリティ人材像の解像度の問題を解消したい セキュリティに関する職種の理解と、自社とのギャップを理解する ● ● ● ● ● ● ● ● ● ● ● セキュリティマネージャ セキュリティコンサル 脆弱性診断士 ペンテスター セキュリティアナリスト セキュリティオペレータ エシカルハッカー インシデントハンドラー フォレンジック専門家 フィッシングハンター CISO 等 ● どの職種が必要？ ● 不足している職種は？ ● 仕事に必要な知識は？ 社内で人材像を共通言語化し、解像度を上げる 9

人は理解できないものを恐れる、故に手を出せない プロダクト開発現場に求められるセキュリティ人材とは？ ● セキュリティ人材像を定義して理解みることに挑戦 ○ Step1. 業務の整理 → 何をしているか ○ Step2. 必要な人材像 → 仕事に名前をつける ○ Step3. 教育や研修 → 何の知識が必要か 10

Step1. セキュリティ関連業務の整理 １：開発系 ２ : セキュリティチーム ３ : ガバナンス部門 セキュリティを意識して開発する プロダクトセキュリティを支える 第三者的にセキュリティを担保する ● セキュアコーディング ● 脆弱性診断結果への対応 ● 脆弱性管理 ● ソフトウェアサプライチェーン ● クラウドのガードレール実装 ● インフラセキュリティ ● クラウドセキュリティ監視 ● SAST, DASTツールの導入検討 ● セキュリティレビュー ● 人材育成、強化方針の検討 等 ● 等 セキュリティ機構の実装 ● 課金・決済 ● 認証・認可 ● 暗号化・復号処理 ● ログやバックアップ設計 等 組織横断的なセキュリティ強化 ● 監査やガイドライン整備 ○ セキュリティ報告窓口 ● クラウドセキュリティのリスク評価 ○ バグバウンティ企画・運営 ● コーポレートガバナンス (業務用端末、ネットワーク) 等 全社的なセキュリティインシデント対応チーム（CSIRT） 網羅性のあるテストや検証の観点ではOWASP ASVS も参考になる (OWASP Application Security Verification Standard 4.0) 11

Step2. 必要なセキュリティ人材像 1. 幅広いセキュリティの仕事に”名前”をつけていく作業 2. 一から考えるのは辛い 3. SANS 20 Coolest Careers in CyberSecurity を参考に人材要件を整理する a. 専門職の仕事を理解する b. 自社のセキュリティ人材需要と過不足をマッピングする c. 人材育成や採用要件に反映し、セキュリティ強化に活かす この後のスライドで見ていきます → 12

参考にするのは SANS の資料 SANS Institute SANS インスティテュートは、1989 年に設立された米国の民間営利企業で、情報セキュリティ、サ イバーセキュリティ トレーニング、および認定書の販売を専門としています。 SANS Cybersecurity Training Community SANS は、サイバー セキュリティ トレーニングの世界最大のプロバイダーです。SANS.org コミュ ニティのメンバーになると、最先端のオンライン サイバー セキュリティ トレーニング ツールとリソー スを無料で利用できるようになります。サイバー セキュリティ トレーニング コミュニティで最も優秀 な人材とつながり、興味やスキルを次のレベルに引き上げる準備を整えてください。 13

SANS 20 Coolest Careers in Cybersecurity 01 スレットハンター 02 レッドチーマー 03 デジタルフォレンジックアナリスト 04 パープルチーマー 05 マルウェア・アナリスト 06 最高情報セキュリティ責任者（CISO） 07 ブルーチーマー 08 セキュリティアーキテクト＆エンジニア★ 09 インシデントレスポンスチームメンバー★ 10 サイバーセキュリティ・アナリスト/エンジニア 11 OSINT調査員/アナリスト 12 テクニカルディレクター★ 13 クラウドセキュリティアナリスト★ 14 侵入検知/SOCアナリスト 15 セキュリティアウェアネスオフィサー 16 脆弱性研究者・エクスプロイト開発者 17 アプリケーションペンテスター 18 ICS/OTセキュリティ・アセスメント・コンサルタント 19 DEVSECOPS エンジニア★ 20 メディアエクスプロイテーションアナリスト 今最も注目されているサイバーセキュリティの仕事 (SANS Institute, April 28, 2022, 掲載許諾済み ) https://www.sans.org/posters/20-coolest-careers-cybersecurity-japanese/ ★ プロダクト開発現場に近いと思われるセキュリティの仕事 14

• https://www.sans.org/posters/20-coolest-careers-cybersecurity-japanese/

15

16

17

セキュリティ人材要件定義ワークショップ 高 ● 強化すべき人材の領域を探すことが目的 ● 実施は一人でも、複数人でもOK ● 20のキャリアを自組織に当てはめて検討 ● 左上のエリアの人材を重点的に強化 ● 実施結果を育成や採用担当者にも共有 役 割 の 必 要 性 低 不足 人材の充足状況 充足 18

Step3. 教育や研修 １．独学 ‧ 書籍、勉強会、X(旧Twitter)、Slack ‧ 規格、フレームワーク、ベンチマーク ‧ 競技⼤会、CTFへの取り組み ２．専⾨教育 ‧ セキュアコーディング研修 ‧ オンデマンド講習 ‧ 有償講習（CompTIA、(ISC)²、等） ‧ セキュリティ‧キャンプの聴講 ３．資格取得 ‧ 情報処理安全確保⽀援⼠ ‧ CompTIA、CISSP等 ‧ クラウド関連資格(AWS/GCP) 学習コンテンツの一覧を整理 （抜粋） 19

ワークショップ結果の反映 ● 既存メンバーへのトレーニング、受講の提案 ● 管理職やチームメンバーの目標設定、1on1 にも活用 ● 求人情報の見直し（ポジション説明） ○ “全部盛り”セキュリティ人材要件からの脱却 ○ DevSecOpsエンジニア、セキュリティエンジニアと定義 ● キャリア採用スカウト対象のペルソナ定義 20

• https://hack.nikkei.com/jobs/product_security/

活動の結果 ● セキュリティ関係のトレーニング受講者が増えた ● 同僚とのセキュリティ文脈での共通言語化が進んだ ● 転職エージェントとのコミュニケーションが円滑に ● DevSecOpsエンジニアでカジュアル面談の自主応募が来た ○ 特に、エンジニアからのキャリアチェンジに興味を持たれる 21

まとめ ● セキュリティ人材像の整理 ○ SANS 20 Coolest Careers in Cybersecurity ■ セキュリティ人材像を共通言語化 ■ 教育、採用などの場面で有効活用できる ■ 応用次第でプロダクトセキュリティ以外でも活用できる ● 専任のセキュリティエンジニアが在籍しないセキュリティチームや、組成直後の セキュリティチームにおいて有効な手段である 22

終わりに SANS Cybersecurity Training Community に感謝。 自組織の改善だけでなく、自身のキャリア形成の参考にもご活用ください。 詳しい仕事の紹介はこちら https://hack.nikkei.com/jobs/product_security/ カジュアル面談はアンケートからも希望できます。 （現在キャリア採用はクローズ中。秋頃に再オープン予定。） 23

• https://hack.nikkei.com/jobs/product_security/