従業員の中から、サイバーセキュリティ スペシャリストを見つける方法 パート2

    本ページは 英語ドキュメント を翻訳したものです。


     

    寄稿者:Tom Gilheany、Donna Maurillo

    このブログ記事の 第1部 で、組織の中に隠れているサイバーセキュリティ人材を見つけるという考え方をご紹介しました。ここでいう 「隠れた人材」 とは、軍隊、法律関係、科学者、教師などの経験がある社員のことです。英文学やコミュニケーションなどの文化系専攻の社員かもしれません。経理・財務関連の経歴を持つなど、現在セキュリティチームに所属する人々とは少し毛色が違うこともあるでしょう。いわゆる変わり者と呼ばれる人々も、既存のセキュリティチームに対して新鮮な視点や意外な知識をもたらしてくれれば、価値が高いと言えます。

    サイバーセキュリティの脅威が世界中で激増している中、サイバーセキュリティに関する訓練を積んだ人材の不足が深刻な問題になっています。この問題を考慮した上で、組織の資産を長期的に守る方法について考えてみましょう。

    視野を広げ、発想を転換することが重要です。このような隠れた候補者の大部分は、IT やサイバーセキュリティ関連の職務に正式に就いたことがなく、もちろんその必要もありません。むしろ、トレーニングを1~2回受講するだけでも今所属しているチームにとって大きな価値を付け加えることができます。セキュリティ意識を持つことは最低限誰にでも必要なことだからです。セキュリティリスクへの対応は、それ以前から存在する業務の一環となる場面が多くなっています。具体的には、安全な製品の設計から、サプライチェーンのリスク管理、損失可能性に対する財政への影響の評価、密かに進行するリスクへの意識の向上への変化などです。

    第2部では、この考え方を現実に実行した例を、いくつかのトレーニングプログラムへのリンクとあわせてご紹介します。

    まずは適切なトレーニングから。

    このような隠れたサイバーセキュリティ候補者の個性あふれる才能を活用するには、どうすればよいでしょうか。第一歩としては、適切なトレーニングを受講してもらうことが最適です。  従業員は、自分がどのような種類の新しいセキュリティ関連の役割や職責に興味があるか、ある程度把握している必要があります。その後で、新しいスキルを習得し、現在の職位を強化させ、サイバーセキュリティの問題を事業の優先順位に結びつけ、組織の他の部署も関与させ、困難な問題を解決して、繊細な問題に対処するためのトレーニングを受けることができます。

    サイバーセキュリティのキャリアパスに高い興味を持っていれば、そのような業務上の役割やスキルセットに関連する各種認定についても調べるようになります。そこから、認定を確実に取得するための知識、スキル、能力を得るために、トレーニングプランを組み立てることができます。このような認定は、キャリアの扉を開き、新しい役割や職責に対する能力を証明する一助となります。

    この 「隠れた人材」 をすでに他の役割のために雇用している場合、さらに進んでサイバーセキュリティトレーニングを受講することに関心があるかどうか、問いかけてみることもできます。自分の可能性について視野が狭くなっていて、予測できる役割から抜け出して自分の職務にサイバーセキュリティの側面を加えることができるとは考えてもいない場合も多々あります。あるいは、従業員がトレーニングを受けたことがきっかけで、最終的にサイバーセキュリティチームに参加するという幸運に恵まれることもあるかもしれません。

    あり得ないことではありません。大企業はこの方向に移動しつつあり、そのための投資も成果を上げ始めています。


    いくつか例を見てみましょう。

    シスコではすでにこのような人材を探し始めていて、それが当社のサイバーセキュリティチームに貴重な人材をもたらしてくれると確信しています。たとえば、Talos チームは、インターネットでサイバー犯罪を探し、その攻撃を止めさせるシスコの優秀なマルウェア研究者が集まったグループです。

     

    Talos の脅威インテリジェンスマネージャーである Joel Esler は、自らの好奇心の赴くままに IT 分野のキャリアに足を踏み入れた1人です。14歳の時点で、彼はラジオや電話機を集めて分解する遊びに熱中していました。「仕組みを確認して、もう一度組み立て直すことができるか挑戦することが好きでした。成功することもありましたよ。」 Students sm.jpg

     

    機械のハッキングに情熱を傾けていた彼は、やがて米軍で電気通信とセキュリティに6年間担当することになり、その後シスコに入社しました。

     

    Alex Chiu は Talos の脅威研究者であり、関連する趣味があります。「自分の趣味はパズルですが、セキュリティに共通点があると思います。パズルのすべてのピースが揃っていない状態で、それらを組み合わせて完全なストーリーを作る必要があるのですが、それが楽しいのです。」

     

    データアナリストである Kate Nolan は、Talos では数は増えているものの、まだ数少ない女性のセキュリティ研究者です。伝統的なセキュリティではなく、データ分析で経歴を重ねてきたことから、彼女のものの見方は新鮮です。「同僚はいつもセキュリティの穴を探すのですが、私は開発者寄りの思考なので、マルウェアの作成者側に立って考えます。脅威をどのように解体するかではなく、どのように組み立てるかを考えるのです。」

     

    このような粘り強い IT 専門家1人ひとりがシスコに集い、従来とは異なる才能を発揮することで、優秀なサイバーセキュリティチームのメンバーになることができるのです。ご自分の組織を見渡してみて、彼らに似た宝石がないか探してみてください。

     

    こんな方法もあります。

     

    まず、可能性のある候補者を特定します。次に、現在の役職の範囲を広げた場合、候補者と会社にとってメリットがあるサイバースキルを特定します。実際に、サイバーセキュリティのトレーニングを現在のスキルと組み合わせた場合、全く新しい、より価値の高い職務への道が開ける場合があるのです。3番目に、そのようなスキルを取得できるようにトレーニングを受講する機会を設けます。

     

    そして最後に、その新しいスキルを活用する機会を与えます。職務範囲を広げたり、部門内でのセキュリティリスクに対応したり、企業のサイバーセキュリティやリスク管理部門と連携するなどです。

     

    IBM では、今までとは異なる属性の人材をサイバーセキュリティのキャリアに呼び込むための方法として、2年前から独自の 「ニューカラー」 ジョブを提唱しています。このプログラムは現在まで非常にうまく機能しており、2015年以降、同社が米国でサイバーセキュリティの業務に採用した人材の20%が 「ニューカラー」 ワーカーです。サイバー犯罪集団は、誰でも仲間に受け入れることが指摘されています。[1] そうであるなら、企業もサイバーセキュリティの有望な人材を限定する根拠はないはずです。

     

    IBM は積極的に、他の組織に対して就業見習い、認定、コミュニティカレッジでの講座、その他のトレーニング機会の促進を推奨しています。IBM に最近入社したサイバーセキュリティ人材の一部は、小売、教育、エンターテイメント、法律分野の出身でした。彼らに共通していたのは、サイバーセキュリティについての好奇心があり、学習する意欲があったことです。

     

    シスコがお役に立てること。

    Learning@Cisco は、テクノロジー業界で高い認知度を誇る幅広い種類の認定を提供します。シスコ認定を取得することは、従業員にとって大きな付加価値となり、組織にもたらすメリットも増加します。これは、その従業員が IT およびサイバーセキュリティの専門家として成熟したキャリアを継続する場合でも、現在の業務チームに残り、追加トレーニングを通じて自分の付加価値を高めていく場合でも当てはまります。

     

    皆さんの従業員が受講できる、関連するサイバーセキュリティコースのいくつかをご紹介します。

     

    • サイバーセキュリティのトレーニングおよび認定ページ – このページは、サイバーセキュリティにおける多くの専門的役職の概要を説明しています。興味はあるけれど、もう少し詳しい情報が必要な場合に、手始めとして最適です。
    • シスコネットワーキングアカデミー [英語] – 技術者でない従業員の中には、コミュニティカレッジに出席し続けている人もいます。ネットワーキングアカデミーでは、ネットワーク、コーディング、オペレーティングシステム、セキュリティの導入となる考え方を学ぶことができます。キャリアが始まったばかりの多くの若い人たちにとって、最適なスタートポイントであると言えます。
    • CCNA CyberOps 認定 – このトレーニングは、セキュリティオペレーションセンター (SOC) の中でアソシエイトレベルのサイバーセキュリティアナリストと連携してキャリアを始めるために役立ちます。また、高度なサイバーセキュリティアナリスト、インシデント対応担当者、サイバー鑑識の専門家、サイバーセキュリティ監督者など、サイバーセキュリティオペレーションの中でも高度なレベルの役職に就くための基本を学べます。
    • CCNA Security 認定 – この認定を取得すると、ネットワークセキュリティスペシャリスト、セキュリティ管理者、ネットワークセキュリティサポートエンジニアなどの役職の基本を学べます。

     

    軍隊経験者の場合:

     

    • 軍隊経験者向けの認定リソース [英語] – このページでは、軍隊での IT 経験を、軍隊、政府、民間でのキャリアに広く通用する資格に移行する方法について説明します。
    • US DoD 承認済み8570ベースライン認定 [英語] – 特権的なシステムで情報の安全保障の職務を遂行する US DoD のスタッフ (米国軍人または民間コントラクター) は、その役職に応じて承認を受けた認定を取得し、それを維持する必要があります。シスコの CCNA Security 認定および CCNP Security 認定は、Information Assurance Technician (IAT) の役職に承認されています。シスコのサイバーセキュリティスペシャリスト認定 (SCYBER) は、Computer Network Defense/Cybersecurity Service Provider (CND/CSSP) Analyst および CND/CSSP Incident Responder の各役職に承認されています。

     

    既存のセキュリティスタッフも、追加トレーニングや認定からメリットを得ることができます。これらの従業員もそれぞれの役職で付加価値を高められることを見逃してはいけません。

     

    専門家レベル向け:

     

    • CCNP Security 認定 – この認定は、ネットワークセキュリティエンジニアの役職向けです。CCNA Security、または任意の CCIE 認定が前提条件として必要です。  CCNP Security 認定取得者は、次世代ファイアウォール、次世代 IPS システム、Advanced Malware Protection など、その他多くの重要なセキュリティ管理技術を含むネットワークセキュリティのすべての関連分野で、専門家レベルの能力があることが証明されています。

     

    エキスパート向け:

     

    • CCIE Security 認定 – この人体は、シスコがネットワークセキュリティエキスパートに付与する認定の中でも最高レベルのものです。  このような優秀な人々は、一般的に最高レベル (エキスパート) のセキュリティ技術の経験を持ち、最も困難で技術的なセキュリティ問題に対処し、新しいセキュリティ問題に対するソリューションを設計し、組織全体のセキュリティシステムと管理方法を構築します。

     

    皆さんの従業員は手助けを必要としています。

    私たちは皆、サイバーセキュリティのリスクが拡大していることを知っています。組織だけでなく、個人であってもその事実を受け入れざるを得ません。皆さんの従業員は、脅威が存在することをすでに認識しています。彼らに手助けが必要な理由は、組織にとって、組織の顧客やサプライヤーにとって、そして彼らの専門家としての人生にとって、安定の確保が重要であることを彼らは知っているからです。 それを長期的に実現するには、経営陣が意外な場所に潜む才能を発掘し、その才能を訓練して組織の安全を守る必要があるのです。

     

    [1] ハーバード・ビジネス・レビュー、 Cybersecurity Has a Serious Talent Shortage.Here’s How to Fix It [英語] (サイバーセキュリティの深刻な人材不足とその解消方法」 2017年5月4日 .

     

    IT 業界の最新ニュースやシスコラーニングの限定オファーをご確認ください。 今すぐ登録

     

     Tom Gilheany_final_thumb.jpg Tom Gilheany はセキュリティトレーニングおよび認定担当のシスコのプロダクトマネージャーです。Fortune 100に選ばれた多国籍企業を通じて、スタートアップ企業で多様な経歴を重ねてきました。20年以上の製品管理の実績とテクニカルマーケティング職の経験を兼ね備え、さらに IT および事業部門で12年以上の経験があります。最新技術、サイバーセキュリティ、電気通信の分野で50近い製品を世に送り出しました。Tom は Certified Information Systems Security Professional (CISSP) と MBA を取得しており、Silicon Valley Product Management Association および Product Camp Silicon Valley の役員として積極的に活動しています。

     

     Donna Head Shot 2 sm.jpg
    Donna Maurillo は Learning@Cisco のコンテンツマネージャーであり、ホワイトペーパー、ブログ、ウェブサイトのコンテンツ、その他資料の作成を担当しています。キャリア全体を通じて広報に携わってきました。彼女の目標は、 常時接続環境の多くのメリットを強調することです。

     CLNBanner