情報セキュリティに関する興味を仕事に結びつける

    このページは、英語ページの翻訳です。

     

    情報セキュリティに関する興味を、仕事に結びつける

    ~ポール・スチュアート(Cisco Learning Network の VIP)~

     

    仕事の内容、役割、キャリアに関するトピックの 1 つとして、セキュリティについてお話ししたいと思います。みなさまの多くがすでにご存知かもしれませんが、私は自分自身のことを、特定のテーマに関して深い知識を持っているというより「なんでも屋」であると捉えています。このことはむしろ情報セキュリティにうってつけであると言えます。この記事では、セキュリティとの関連性があるさまざまな分野と、関連性が最も高いスキルについて説明します。また、各役割との関連性が最も高い技術者認定について簡単に触れ、知識と経験を深めながらキャリアを構築していく方法について考えます。

     

    技術者認定(サーティフィケーション)

     

    この記事は Cisco Learning Network の一部となっているので、ほとんどの読者はサーティフィケーション、つまり技術者認定にある程度は関心をお持ちのことと思います。技術者認定を取得しているということは、テクノロジーに関して知識を持っていることの証明となります。これは、情報セキュリティに関しても同じです。シスコでは、多くの技術者認定プログラムを用意しています。セキュリティを中心としたものもあれば、そうでないものもあります。セキュリティに焦点が当てられていない技術者認定でも、通常はセキュリティに関する要素が含まれています。たとえば、CCNA プログラムではデバイスのセキュリティ、アクセス コントロール リスト、スイッチポートのセキュリティが扱われます。

    セキュリティ中心ではない試験にセキュリティが組み込まれているのと同じことが、セキュリティを中心としない職務にも当てはまります。つまり、企業環境において、セキュリティは情報セキュリティの専門家だけでなく、すべての人の仕事の一部となっています。たとえば、ある人がネットワーク設計という業務を担当しているとします。これはセキュリティに関わる職務ではありませんが、セキュリティはその毎日の作業に必ず組み込まれている重要なスキルです。技術者以外の職務や役割を持つ従業員も、強固なセキュリティ プログラムの中で作業を遂行する必要があります。

    セキュリティを中心とした技術者認定に関して、シスコは次のサーティフィケーションおよびスペシャライゼーションを用意しています。これらのプログラムの中には廃止されたものもありますが、引き続き所有している個人の方もいらっしゃいます。

    • CCNA Security
    • CCSP
    • CCNP Security
    • CCIE Security
    • ASA Specialist
    • Firewall Security Specialist
    • IOS Security Specialist
    • IPS Specialist
    • Network Admission Control Specialist
    • VPN Security Specialist
    • Security Sales Specialist(企業の情報セキュリティ業務とは関連性のないリセラー スペシャライゼーション)

     

    ご存知のように、シスコは実際のセキュリティ製品のみを取り扱っているわけではありません。セキュリティに関する幅広いサーティフィケーションおよびスペシャライゼーションを用意しています。ただし、シスコはセキュリティ分野における唯一のセキュリティ ベンダーではありません。セキュリティの観点から見た場合、シスコはネットワーク セキュリティ ベンダーとあると私は考えています。セキュリティ サーティフィケーション プログラムを用意しているネットワーク セキュリティ ベンダーは他にもあります。たとえば、Palo Alto Networks や Juniper などです。特定の製品ベンダーと提携していないセキュリティ サーティフィケーション ベンダーもあります。たとえば、ISC2 は CISSP サーティフィケーションを提供しており、SANS は多種多様な情報セキュリティ サーティフィケーションを提供しています。

     

    セキュリティ全般

     

    情報セキュリティについて考えるとき、私はデータとテクノロジーについて考えます。これらのリソースを効率的かつ効果的に保護するため、何ができるでしょうか。データ保護の 3 つの分野を表すため、CIA という 3 文字の略語がよく使用されます。機密性(Confidentiality)、整合性(Integrity)、および可用性(Availability)を意味します。これはデータ保護に関する 1 つの視点あるいは側面に過ぎませんが、これらのキー ポイントは重要なシステムおよび企業データの全体において維持する必要があります。実際には、これらの概念に関わる職務にはたくさんのタイプがあり、たくさんのタイプの人たちが役割を果たします。

     

    役割

     

    セキュリティに関する役割として、最初に取り上げるべきものは「その他全員」です。その他全員とはつまり、肩書きに「セキュリティ」という語が含まれていない、組織のすべての人です。「その他全員」をどう扱うかによって、組織のセキュリティに対する姿勢の大部分が決まります。この記事を読んでいて、セキュリティに関する役職に就きたいと思っている方々は、「その他全員」に含まれると言えるでしょう。また、この記事を読んでいるセキュリティ責任者は、「その他全員」があなたに逆らうのではなく協力してくれれば、セキュリティ エコシステムは簡単に構築できると考えているでしょう。

    では、「その他全員」である従業員はセキュリティに関して何ができ、何をすべきでしょうか。何よりもまず、組織のポリシーをよく理解してそれに従うことができます。ひょっとすると、企業の規範をよく理解することの方がもっと重要かもしれません。規範は役職によって大きく異なりますが、誰かが規範から逸れていることに気付いた場合、何かが起ころうとしていることの警告信号となります。そのような心配を誰もが打ち明けにくいセキュリティ管理者であっては、優秀なセキュリティ管理者とはいえません。

     

    セキュリティを中心とした役割

     

    それでは、セキュリティを中心とした組織内の役職について考えてみましょう。これらの役職はいくつかのカテゴリに分けられます。まず、私が運用セキュリティと呼んでいる主要なカテゴリについて説明します。その後、監査およびコンプライアンス、侵入テスト担当者、セキュリティ管理(これらのどの役割にも組み込むことができるサブセット)についても説明します。

     

    情報セキュリティに関する役割

     

    情報セキュリティやセキュリティ全般をテーマとするとき、運用セキュリティ担当者とは、企業データのセキュリティを担うシステムを日々の業務として直接、設定、監視、保守する人のことを指します。多くの場合、セキュリティ運用はネットワーク セキュリティ、アプリケーション セキュリティ、および全般的なセキュリティ運用にさらに分けられます。私の経験では、1 人の人がこれらのすべての分野を専門としていることは実際にはあまりありません。

     

    ネットワーク セキュリティに関する役割

     

    これらのサブカテゴリのうち、シスコは明らかにネットワーク セキュリティを得意としています。ネットワーク セキュリティには、ネットワーク デバイスおよびプロトコルの安全な設定と監視、適切なセキュリティ境界の構築、および安全な接続設定が必要です。そして、このインフラストラクチャを活用して、安全で信頼できる接続をシステムとアプリケーションに提供します。ネットワーク セキュリティ担当者は、多くの場合、次の 1 つ以上の部分を担当します。

     

    • ファイアウォール
    • IPS/IDS
    • ルータ セキュリティ
    • スイッチ セキュリティ
    • ネットワーク監視システム
    • Security Information and Event Management(SIEM; セキュリティ情報およびイベント管理)
    • ネットワーク プロトコル セキュリティ
    • Virtual Private Networks(VPN; バーチャル プライベート ネットワーク)

     

    ネットワーク セキュリティ担当者が働いている(または働きたいと思っている)環境によって、取得しようとする技術者認定は変わります。上のリストからお分かりのように、シスコは情報セキュリティのこの分野において地位を築いています。取得しようとする技術者認定は、その人が責任を負っている範囲や度合いによって変わってくる可能性があります。たとえば、シスコ環境でファイアウォールに毎日変更を加える業務を専任で行っている担当者は、Cisco Firewall Specialist を取得するといいでしょう。ASA ファイアウォールや VPN に定期的に変更を加える担当者は、Cisco ASA Specialist 認定の取得が適切でしょう。

    この担当者がファイアウォール管理者からファイアウォール アーキテクトまたはエンジニアに昇格した(または昇格したいと思っている)場合、CCNP Security または CCIE Security 認定の取得を目指すことが適切です。通常、この分野を担当するエンジニアやアーキテクトは、より幅広く深い知識を持っています。このような人は、これらの主要なネットワーク セキュリティ分野の多く、またはすべてにおいて、高度な作業を行うことが想定されます。さらに、このような上級担当者は、各分野で作業する担当者に深い知識を提供したり、それぞれの担当者がネットワーク セキュリティや他の部門にどのような影響を与えるかについて包括的に教えることで、各担当者の管理や指導を行います。

     

    アプリケーション セキュリティに関する役割

     

    情報セキュリティの次の主要な分野は、アプリケーション セキュリティです。正直なところ、アプリケーション セキュリティが常に強固であれば、ネットワーク セキュリティの専門家は基になるインフラストラクチャとプロトコルを保護するだけでかまいません。アプリケーション セキュリティは見過ごされることがよくあるので、ネットワーク セキュリティの専門家はその短所を補うように努力します。では、アプリケーション セキュリティが問題となるのはなぜでしょうか。ほとんどの開発者が必然的に機能提供に集中するためである、というのが私の意見です。セキュリティに関して懸念を抱いているとしても、通常は主な懸念事項ではありません。その結果、ソフトウェアにはたくさんのバグと脆弱性が存在しています。ネットワーク セキュリティの観点からすると、ファイアウォール管理者は通常、IP アドレス、プロトコル、およびポートに基づいてトラフィックを許可または拒否します。この結果、脆弱なソフトウェアによって提供されるサービスに対して悪意を持っている可能性のある異常なトラフィックを、ファイアウォールで検出することが難しくなります。これは、アプリケーションがある種の暗号化を実行している場合に特に当てはまります。ネットワーク セキュリティの専門家にとって、やり取りの詳細が見えないからです。

     

    では、アプリケーション セキュリティの専門家は何ができるでしょうか。その答えは、仕事をしている環境のタイプによって大きく変わります。場合によっては、組織は独自のソフトウェアや、他の組織が使用するためのソフトウェアを開発しています。そのような場合、アプリケーション セキュリティの担当者は安全な開発プロセスを監督する必要があるでしょう。また、市販のソフトウェアのみを使用している組織もあります。このような場合、アプリケーション セキュリティの専門家は各種バグ追跡サイトを定期的にチェックし、組織で使用されているソフトウェアで見つかった脆弱性の問題について理解する必要があります。私の経験では、1 人の人がアプリケーション セキュリティとネットワーク セキュリティの両方に精通していることはあまりありません。SANS は、アプリケーション セキュリティとの関連性が非常に高い技術者認定とトレーニングを用意しています。

     

    全般的な運用セキュリティに関する役割

     

    運用セキュリティ カテゴリには、もう 1 つのグループ、つまり担当者のタイプがあります。この役職は、そのまま運用セキュリティ(最初に説明した「運用セキュリティ カテゴリ」のサブセットとして)、あるいは似たような名称で呼ばれることがあります。この非常に重要な役職または分野は、組織のプロセスが互いにどのようにやり取りするかだけでなく、ネットワークおよびアプリケーションとどのように安全にやり取りするかに注目します。組織のネットワークとアプリケーションが比較的安全でも、システムとテクノロジーの利用方法によっては組織がかなり脆弱になる可能性があります。単一のプロセスではリスクがないように見えることもありますが、そのプロセスが組織内の他のプロセスと組み合わされると、リスクが急激に高まることがあります。

     

    この全般的なセキュリティの役職に就いている担当者は、システムとプロセスの間のやり取りについて理解し、組織が運用上のリスクを十分認識できるようにする必要があります。小さい組織では、この役割が CSO または CISO の役割の一部になっていることもあります。このカテゴリの担当者にとっては、アプリケーション セキュリティとネットワーク セキュリティに関する知識に加えて、組織を構成しているビジネス プロセスを理解することが役立ちます。これらのプロセスは組織ごとにかなり異なるため、技術者認定の関連性は低くなる可能性があります。しかし、ISC2 の CISSP など、広範な分野を扱う技術者認定プログラムが役立つかもしれません。

     

    監査およびコンプライアンスに関する役割

     

    セキュリティの専門家の最後の 3 つのカテゴリは、運用セキュリティという 1 つの主要なグループに入れました。監査およびコンプライアンスは、通常は別個のグループですが、セキュリティの他の分野と最も密接に連携します。グループを分けた 1 つの理由は、担当領域の混乱を避けるためです。この分野の担当者は、適用されるすべての規制ガイドラインの表と裏に深く精通する必要があります。また、各担当者と協力して、それぞれのガイドラインに従う方法を確立する必要があります。不十分または不適切な点がある場合、監査およびコンプライアンスの専門家が、規制要件に準拠していない分野についてさらなる指導を行うことがあります。ただし、情報セキュリティは監査およびコンプライアンスの主要な要素ではありますが、唯一の関心分野というわけではありません。

     

    侵入テスト担当者

     

    前述のとおり、アプリケーション セキュリティ、ネットワーク セキュリティ、および運用全般に関するしっかりとした専門知識を持つ人はあまりいません。侵入テスト担当者には、これらのすべての分野に関する専門知識が必要です。これらの専門家は、良い意図を持ってわざとシステムに侵入します。目的は、不適切な制御に関して担当者に恥をかかせることではなく、システムの弱点に関して組織を教育することです。

     

    ある程度までの侵入テストは、ネットワークおよびアプリケーション セキュリティを担当する専門家が行います。これは、設定した制御が適切かどうかをテストするためです。しかし、CEO、取締役会、他の責任者または評価者に報告する侵入テストは、利害関係のない独立した第三者が実行する必要があります。ファイアウォールを設計して設定した人が、実装の安全性を取締役会に報告してもほとんど意味がありません。セキュリティが重要であれば、独立した評価を行うべきです。さらに、ファイアウォールに対してだけ侵入テストを行うのではなく、プロセスとセキュリティのポスチャを総体的にテストするべきです。

     

    責任

     

    ここまでで、セキュリティに積極的に関与するさまざまな役割について説明しました。さらに、組織がすべての規制要件に従っていることを確認する役割についても説明しました。加えて、見過ごされているかもしれない脆弱性も探すことができる侵入テスト担当者の役割についても触れました。ではここで、責任について説明しましょう。責任は、組織内のほとんどどの箇所にも割り当てることができます。実際、すべての人は自分の行動に責任があります。しかし、ここで説明するのは、企業の幹部となっているような人です。何かが起きた場合、このような人が厳しい質問に答え、なぜ起きたのかを説明する必要があります(その会社が既にセキュリティに投資したこと、あるいは投資したと考えていることが前提です)。

     

    大きな組織では、Chief Information Officer(CIO; 最高情報責任者)、Chief Information Security Officer(CISO; 最高情報セキュリティ責任者)、または Chief Security Officer(CSO; 最高セキュリティ責任者)がこのような人に相当します。CIO は通常、情報システムとデータに対して総体的な責任を負っています。CSO と CISO は、CIO よりもセキュリティに焦点を当てています。CSO はセキュリティ全般との関連性が高く、CISO は情報セキュリティに焦点を当てています。組織はこれらの役割のいずれかを割り当てることも、すべて割り当てることもできます。多くの場合、CIO は CEO に直接報告しますが、取締役会に直接報告することもあります。CISO または CSO は、CIO やエグゼクティブの他のメンバーに報告したり、取締役会に直接報告することができます。

     

    物理的なセキュリティ

     

    セキュリティに関する最後の点として、物理的なセキュリティについて忘れてはならないことに触れておきます。物理的なセキュリティに関して責任を負う組織内の担当者は、情報セキュリティとも深い関連性があります。最良のファイアウォールやアンチウイルスをインストールし、最も強力な暗号化を使用したとしても、正面玄関を通ってストレージ ラックを持ち出すことができるなら情報セキュリティは全くの無駄です。また、ドライブ全体を暗号化したのはいいとしても、停電の可能性もあります(これが CIA の 3 番目の要素です)。

     

    まとめ

     

    セキュリティは絶えず進化している分野です。特に情報セキュリティに関しては、新しい脆弱性が毎日見つかっています。最も疑いの低いソースから新たな脅威が生じることもあります。テクノロジーの他の分野と同様、自分に関する分野についてよく調べることをお勧めします。テクノロジーを広く詳しく調査して応用することが好きなら、情報セキュリティはキャリアの選択肢として良いかもしれません。