従業員の中から、サイバーセキュリティ スペシャリストを見つける方法 パート1

    本ページは英語ドキュメントを翻訳したものです。

     


     

    寄稿者:Tom Gilheany、Donna Maurillo

    今管理者のデスクに座っている人が、明日にはサイバーセキュリティ担当の最適な候補者になっているかもしれません。 または、マーケティング部門の人。 心理学を専攻した人、はたまたミステリー小説やパズルの愛好家かもしれません。 ありえない話でしょうか?それなら、次のように考えてみてください。 技術的な知識とスキルはトレーニングで身につけることができます。 しかし、好奇心、問題解決、対人関係、共感力、コミュニケーションなど、いわゆる「ソフト面」の能力をトレーニングで身につけることは難しいものです。 通常、これらの能力は持って生まれたものか、または長い年月をかけて培われたものです。

    適切な資格を持ったサイバーセキュリティ担当者は世界的に不足しており、業界全体がリスクにさらされています。 サイバー犯罪者はその活動から利益を得て、参入コストが低く、逮捕される確率も低い、数十億ドルの価値がある大きな闇ビジネスを生み出しています。 彼らを監視し続ける「良識のある人」の数が圧倒的に足りていないのです。

    彼らはもっと貴重な存在になる可能性もあります。

    ただ、組織の内部に長期間在籍してくれる人材がいるという点では救いがあります。 社内の人材をトレーニングすることで、現在の職務で価値を高めたり、社内でサイバーセキュリティ関連のキャリアを積み、情報、システム、資産を保護する動機づけを得たりすることができます。 組織について、その文化、市場、専門知識、顧客をすでに理解している人を対象にトレーニングを行うことになります。 それに加えて、すべての部署が、サイバーセキュリティについて理解のある人をグループに加える必要があるかもしれません。 彼らのキャリアスキル、学歴、あるいは趣味が非常に貴重なものであることに驚くかもしれません。

    既存の従業員のスキル開発は、既存の人材への投資を進める組織として、企業の評判を高めることにもなります。 これだけでも優秀な候補者を惹きつける魅力になり、将来も良好な雇用関係を維持できる可能性のある人々をつなぎとめることができます。

    Tripwire社の製品管理と戦略担当バイスプレジデント、Tim Erlinの書いた文章を見てみましょう。「サイバーセキュリティ業界は、強力なセキュリティプログラムを構築するために必要なソフト面のスキルを見逃してはなりません。 現実に、現代のセキュリティプロフェッショナルは、技術的な専門知識の枠を超える必要があるのです。 セキュリティ実務者は、サイバーセキュリティの問題を事業の優先順位に結びつけ、組織の他の部署も関与させ、困難な問題を解決して、繊細な問題に対処できる優れたコミュニケーション能力を持つ必要があります。[1]

    世論調査でも、ミレニアル世代の実に87%が、「プロフェッショナルとしてのキャリアの成長と能力開発の機会」が仕事において重要だと評価していることがわかっています。[2]

    この最初の2つの事実について、経営陣が隠れた人材を見抜き、創造的な労働力の開発計画を実施した場合、皆さんの組織にどのような重大な利点があるかについて、ご説明します。

    対象となるのはどのような人材でしょうか。

    ここでは、これらのスキルをサイバーセキュリティに適用した場合について、いくつかの例を示します。

     

    社会学または心理学専攻 - これらの候補者では、社会学または心理学で学んだことが、仕事のグループやサイバーセキュリティプロジェクトチームでの対話をスムーズに進めることに役立つでしょう。 彼らは個人とグループの行動を理解し、他人をリードする方法を知っています。クライアントのグループと心を通わせ、そのニーズに関して深く洞察することができます。 これらの候補者は、サイバーセキュリティの営業やヘルプデスク職で重宝される可能性があります。 チームで取り組み、サイバー犯罪者の心理を理解することで脅威を分析できるでしょう。

     

    次に、別の視点から見てみましょう。 これらの候補者は、ソーシャルエンジニアリング技術(人為的脆弱性)を理解し、セキュリティの弱点につながるリスクのあるユーザー活動を変える最適な方法を理解することができます。 セキュリティチェーンにおいて最も脆弱なリンクは人であることが多いため、人が何によって動機づけられ、行動するかを深く理解できることは大きな利点です。 さらに今、従業員、請負業者、ベンダーに対して身元確認を行う会社が増えています。 心理学や社会学を専攻した人材は、そのプロセスを管理するのに有利になります。

     

    法律関係の経験 - これらの人材は、法律と秩序に則って考えます。 人の資産と物質的な資産を守ることが彼らの優先目標であるため、コンプライアンスの考え方が身についています。 彼らは調査プロトコルと法医学を理解し、証拠を収集・分析する方法を熟知しています。 適切な手続き、不審な点を見抜く方法、厳密に調査する方法を理解しています。

     

    これらの候補者は、常にサイバー犯罪者の一歩先を行き、次の行動を予測し、脆弱性を追求し、差し迫った攻撃を阻止する方法を知っています。 彼らは、コンプライアンス、監査、ポリシー、調査のチェックなどで、サイバーセキュリティチームやその他の仕事のグループに大きく貢献します。Woman at desk sm.jpg さらに、皆さんの組織でサイバー犯罪が発生した場合、法務や法執行機関のチーム(FBIなど)が関与する場合があります。 法執行機関とのやり取りに慣れた人材がチームにいれば、このような状況では大きな利点となるでしょう。

     

    軍隊での経験 - チームワークは軍隊でのトレーニングの基本であり、チームの目的を達成することが優先目標です。 彼らは戦略と戦術の違いを理解しています。 法執行機関での経験者と同様に、軍隊を経験した人は、攻撃への防御の第一歩として、資産の強化と保護の考えが深く根付いています。 これらの候補者は、規律正しく行動し、「勤務時間外の活動」が必要であっても、問題に対して勤勉に取り組むように訓練されているため、貴重なチームメンバーになるでしょう。 彼らはプレッシャーがかかった状態で働く方法や、ストレスに対処する方法、警戒を怠らない方法を知っています。 軍隊で就いていた役割に応じて、チームにいくつでも適合することができます。

     

    女性と少数派のグループ - 成長著しく学術研究機関によると、人の偏見のほとんどは無意識に行われていることが示唆されています。 さまざまな文化、社会、性別の背景を持つ多様なチームを置くことで、人の生来の偏見や「集団浅慮」に抗うことができます。 多様性のあるサイバーセキュリティチームは、可能性のあるセキュリティの問題について、既存の枠にとらわれずに考えることができます。サイバーセキュリティは、誰もが影響を受ける世界的な問題です。 攻撃者は均質なグループではないので、防御チームも同じように多様である必要があります。

     

    教師経験 - 教師経験のある候補者は、組織の内部であるかクライアント企業であるかを問わず、企業のサイバーセキュリティトレーニングをリードするスキルがあります。 これらの候補者は、大人数の集団や、少人数のプロジェクトチームにサイバーセキュリティのベストプラクティスをトレーニングする才能があります。 サイバーセキュリティにおいては、多くの場合人が弱点となります。 優れたトレーナーは、すべての従業員がセキュリティポリシーを学び、理解し、それに従うことを確実にすることができます。 組織のポリシーや手続きが明確かつ正確で、内容を知る必要がある人に理解されるものになるように、ポリシーの作成者を指導することもできます。

     

    英文学またはコミュニケーション専攻 - サイバーセキュリティに関する情報は、書面でも口頭でも、明確で正確、簡潔であり、入手可能である必要があります。 教師の経歴がある候補者と同じく、この種のトレーニングを受けた候補者は、サイバーセキュリティ関連の指導マニュアル、ポリシーマニュアル、パワーポイント、スピーチ、ウェブサイト、ソーシャルメディアなどのコミュニケーション手段の質を向上させることができます。 彼らは自分でプレゼンテーションを作成したり、「トレーナーをトレーニングする」能力に長けているかもしれません。 このようなプロフェッショナルは、危機的な状況のためのコミュニケーションフローチャートを作成したり、危機の発生時に社内および社外への適切なメッセージの発信を決定することに役立ちます。

     

    科学者 - 多くの科学者は、コンピューターやテクノロジーとの連携に移行しています。 あるテーマについて調査し、証拠を収集し、何が動機で何が動機でないかを理解するように取り組み、そのプロセスを記録し、他の研究を調べ、その推理を防御することに精通しています。 科学者は、意見ではなく事実を探求することに慣れています。 これらの候補者は、論理的に考え、大量の情報を処理でき、理論をテストし、証拠を活用して何かを立証することができるチームメンバーが必要なときに重宝します。

     

    秘書、事務員 - これらの役職の人材は、多くの場合会社について隅から隅まで知っています。 誰に聞けば情報が得られるか知っています。 会社のプロセスを熟知しています。 多くの場合、プロセスがうまく運ぶようにしているのは彼らです。 サイバーセキュリティのヘルプデスクチームに適任でしょう。 秘書には各所との関係構築の役割もあります。 普段から会社全体で幅広く人脈を作っているため、物事の流れを掴み、何が実際に起こっているかを判断し、揉め事をおさめることができます。 例えばセキュリティイベントの間に最新情報を伝え、チームが邪魔されないように守るなど、技術チームにとっては優れた緩衝材となるかもしれません。

     

    経理・財務関連の人材 - このような人々は、正式なリスク分析の実施方法を把握していることが多いため、そのスキルを活用してサイバーセキュリティのリスクを事業への影響という視点から計算することができます。 現在、サイバーセキュリティ保険商品を提供している保険会社は、財務とサイバーセキュリティの両方を理解している人材を常に募集しています。 財務スキルのある労働者は、費用便益分析から、組織がサイバーセキュリティリスクを軽減するために、いくら支払う必要があるか決定することができます。 これらの部門で働く人材の多くは、財務監査に携わった経験があり、監査プロセスに精通しています。 サイバーセキュリティ監査が一般的になるにつれ、財務または会計の経歴がある人は、リスク、監査、管理の理解と数値化において大きく活躍できる可能性があります。 サイバーセキュリティのトレーニングとスキル開発をさらに行うことで、スキルを組み合わせてサイバーセキュリティ監査とサイバーセキュリティ保険の問題に取り組むこともできるでしょう。

     

    パズルやミステリー小説の愛好家 - パズルを解いたりミステリー小説の謎解きが趣味な候補者は、サイバーセキュリティの問題を取り上げ、ヒントを分析し、1つひとつを追跡して論理的な結論を下します。 たとえ行き詰まっても、落胆することはありません。 シンプルに別の道を選び、答えが見つかるまで進み続けます。 その後は次の課題を取り上げます。 彼らは多くの場合、すべてのピースが揃っていなくても全体像を把握することができます。

     

    変わり者 - 冗談ではありません。 これらの候補者は、普通とは異なることをして、何が起こるか確認しようとします。 部品を取り外し、その仕組みを理解したら、もっと良い方法で作り直します。 このような候補者は、斬新なアイデアを、ときには斬新な方法で考え出します。 社会的には適合しないこともあるかもしれません。また、彼らの集中力を維持し、決められたことに従いたくないという彼らの希望を管理する必要があるかもしれません。 しかし、本能的に欠陥を見つけ出せる人が必要なときには、彼らは本当の資産となる可能性があります。 セキュリティ強化製品や侵入テストを実施する才能がある場合もあります。 セキュリティ上の欠陥を発見するために広く使用されている方法は、このような人々に、システムの設計者が決して予想しないような、想定外の行動をしてもらうことです。

     

    第2部では、以下について説明します…

     

    次の部 では、この実践の適用例を紹介し、このような候補者向けの多彩なトレーニングプログラムへのリンクを示します。 ところで、今回の内容について皆さんはどう思いましたか? ここで挙げたような人々がサイバーセキュリティの防御に貢献している例をご存知ですか?

     

    [1] Tripwire社のニュースSurvey Says: Soft Skills Valued by Security Team(調査結果:セキュリティチームはソフト面のスキルを重視する) [英語] 、2017年10月17日.

    [2] Gallup社のニュース「Millennials Want Jobs to Be Development Opportunities [英語] (ミレニアル世代は仕事を能力開発の機会としたい)」2016年6月30日

     

    IT業界の最新ニュースやシスコラーニングの限定オファーをご確認ください。 今すぐ登録

     

    Tom Gilheany_final_thumb.jpgTom Gilheanyはセキュリティトレーニングおよび認定担当のシスコのプロダクトマネージャーです。 Fortune 100に選ばれた多国籍企業を通じて、スタートアップ企業で多様な経歴を重ねてきました。 20年以上の製品管理の実績とテクニカルマーケティング職の経験を兼ね備え、さらにITおよび事業部門で12年以上の経験があります。最新技術、サイバーセキュリティ、電気通信の分野で50近い製品を世に送り出しました。 TomはCertified Information Systems Security Professional(CISSP)とMBAを取得しており、Silicon Valley Product Management AssociationおよびProduct Camp Silicon Valleyの役員として積極的に活動しています。

     

    Donna Head Shot 2 sm.jpg
    Donna MaurilloはLearning@Ciscoのコンテンツマネージャーであり、ホワイトペーパー、ブログ、ウェブサイトのコンテンツ、その他資料の作成を担当しています。 キャリア全体を通じて広報に携わってきました。 彼女の目標は、常時接続環境の多くのメリットを強調することです。

    CLNBanner