「CISSP」とは、「Certified Information Systems Security Professional」の略で、セキュリティ・プロフェッショナル認定資格制度を指します。
国際的なベンチマークであるISO/IEC 17024の認証を受けており、幅広い知識が必要な国際的に認められている認定資格です。
サイバーセキュリティ メンバー
-プロフィール-
K.N.
工学部出身
2001年入社
T.K.
工学部出身
2007年入社
K.N.
工学部出身
2001年入社
T.K.
工学部出身
2007年入社
怪しいメール1通を
国際的なセキュリティ
セキュリティ運用部門の役割 は、保守部門 ・設計部門 とユーザー を繋ぐハブ
私たちが所属しているのは、SOC(セキュリティオペレーションセンター)と呼ばれる、セキュリティ運用部門です。この部署は、ユーザーである大和証券のサイバーセキュリティ窓口(CSIRT)から頂いた情報を整理し、保守部門や設計部門と連携していくハブのような役割を担っています。
業務は大きく分けて3つです。まずは事前対策。次に、事後の対策。最後に、セキュリティに関連する各種案件支援や報告業務になります。
事前対策とは、情報資産に危害を与える可能性のある脅威情報を入手してセキュリティデバイスでブロックしたり、セキュリティ対策上の欠陥となる脆弱性情報を入手・判別して保守部門に「パッチを当ててほしい」と伝えたりと、攻撃を受けたとき実被害に遭わないようガードする作業のことです。
事後の対策は、「誰かが不審メールをクリックしてマルウェアに感染してしまった」というような場合に封じ込める作業です。別名「インシデント対応」とも呼ばれます。
攻撃を受けた可能性がある場合、システムが検知し、インシデント対応が始まります。まずは検知内容を確認し、状況や影響を確認します。ベンダーへ問い合わせしたり、保守部門や開発部門、大和証券の利用者にヒヤリングを行います。
検知した瞬間だけでもけっこうなタスクがあり、本検知/誤検知の判断や暫定対応、恒久対応など皆さんが思っている以上に忙しい現場です。
とはいえ、たいていは取り越し苦労なのですが……。
実は、過去に勤務していたある企業で一度攻撃されてしまったことがあるんです。
社員のひとりが怪しいメールをクリックしてしまって、通信が発生。その通信からリモート操作されてサーバーへ侵入され、様々な情報を抜き取られてしまいました。しかも気づいたのが攻撃を仕掛けられた3ヶ月後で……。私たちだけでは対応しきれないほど被害が広がっていたため、数千万円かけて専門のセキュリティベンダーへ助力を請いました。私も2~3ヶ月ずっとその対応に追われ、徹夜仕事もあって、本当につらかったですね。
「セキュリティエンジニアを育成 していこう」 という 気運 が高まる中 、国際的な 資格 「CISSP」 取得 を勧められる
世間的にも会社的にもサイバーセキュリティの重要性が認知され、「セキュリティを担える人材を育成していこう」という気運が高まっています。その中で、弊社でも人材育成の一環としてCISSP(セキュリティプロフェッショナル認定資格制度)の取得を目的とした活動が始まりました。
CISSPとは国際的に高く評価されている資格で、世界では15万6,000人以上、日本国内ですと約4,000人が取得しています。
「セキュリティとリスクマネジメント」「ソフトウェア開発セキュリティ」など、8つの分野が出題され、そのうち2つの分野で5年以上の業務経験が必要となるため、少々ハードルは高いですね。
私は大学院修士課程の社会人講座を受講し、国際化サイバーセキュリティ学を学ぶ中でCISSPのことを知りました。最初は「雲の上の資格だ、私には関係ない」と思っていたんです。しかし、本部から「挑戦してみないか」と声をかけられ、2023年3月に取得しました。
私もCISSPは難しそうな資格ですし、自分には縁がないと考えていました。ですが、T.K.さんが取得したことで背中を押され、挑戦してみることにしたんです。私が取得したのは2023年10月ですね。
CISSPは経営者層に近い考え方が求められる上、論理に一癖も二癖もあってかなり苦労しましたね。エンジニア目線ならマルウェア感染の恐れのあるサーバーは停止させたいのですが、経営的目線から見ると、ビジネスに悪影響を及ぼすのであれば、動かすのが正解とか。
日本人的な感覚だとダメなんだよね。アメリカらしい、効率的かつ合理的な考え方。たとえば、攻撃されたとしても価値が低いものにはお金をかけないんですよ。重要な情報さえ守れれば、あとは穴だらけでも構わない。ほかにも、「退職が決まった社員は、1~2週間強制的に休ませるのがセキュリティ上正しい」という問題もあって、本当に衝撃を受けましたね。
退職の決定した社員が会社にいると、アクセス権を剥奪しても他人のアカウントを使用してサーバーへ侵入する可能性がありますから、「まず出社させないのが一番安全」というロジックなんです。
CISSPを取るなら、まずは 情報処理安全確保支援士 の資格取得から
CISSPを取得したことで、自分のスキルがどの程度のものなのか確認できたのがよかったです。セキュリティ運用をサポートする立場ではありますが、周囲から一目置かれ、意見を求められることも多くなりました。
私も、嬉しいことに実力を認められ、期待されるようになったと感じています。特に社長からは「どんどんCISSPを社内に広めていってくれ」「勉強会を担当してほしい」と声をかけられるようになりましたね。
とはいえ、CISSPは特殊な試験。それよりも、若い社員にはまず情報処理安全確保支援士の資格を取得してほしいです。
情報処理安全確保支援士は情報セキュリティに関する日本の国家資格で、最新のセキュリティに関する知識や技能を備えていることを証明するものです。登録者数約22,000人と、国内での認知度はCISSPに比べて高くなっています。私の周りにも、取得されている方が多数いらっしゃいますね。
情報処理安全確保支援士も、幅広い知識が求められる上マネジメント系の思考が必要になります。ですが、CISSPのような癖はありませんし、業務未経験でも受験可ですので、CISSPに比べてハードルが低いのではないでしょうか。資格取得を目指すのでしたら、はじめに情報処理安全確保支援士をとる。その上で物足りないようであれば、CISSPに向けて勉強する……という流れがよいのではないかと思います。
2024年4月からCISSPの試験体系が変更になり、マネジメント領域の割合が増加すると発表されていますし……。
情報処理安全確保支援士も、2023年10月実施分から試験の出題構成が変わりましたね。
そう考えると、やはり「経営者層は自社のリスクに目を向けて、セキュリティ対策をしっかり行う必要がある」という点が重視される風潮になってきているのかもしれないね。
肝は「経営者層にサイバー 攻撃 のリスク を理解してもらう」 こと
各種セミナーでよく聞くテーマが「経営者層にどう理解してもらって、巻き込んでいくか」なんですよね。経営陣を巻き込めないと、人も資金も出ないですし。
ランサムウェアに感染してサーバーが使えなくなると、身代金の請求が来たりしますし、セキュリティが脆弱ですと相当なリスクです。
2022年、医療センターの電子カルテがランサムウェアによって暗号化され、2ヶ月以上外来診療や検査の停止を余儀なくされた事件もありました。こうしたリスクを経営者層に分かりやすく説明するのも、セキュリティ運用部門の役目です。
また経営者層だけでなく、各個人が普段からセキュリティに対する意識を持つのが重要だと思います。ネットに繋がることで、私たちは知らず知らずのうちに危険なサイバー空間に晒されているんです。たとえば、スマホに妙なアプリをインストールしたり、銀行のポータルサイトを装ったURLをクリックしてしまったり。それぞれが危機感を持ち、騙されないよう細心の注意を払わなければ、サイバー犯罪はなくならないのではないでしょうか。
サイバー攻撃を防ぐため、今後も事前対策に力を入れていくつもりです。社内に不審メールが届いたら声かけをする、関係部門に通報して注意喚起を上げてもらうなど、やりようはいくらでもあります。
また、「この件名やアドレス、リンク先が危ない」など、兆候を把握してそもそも脅威のあるメールが入ってこないよう、システム側でも防止策を考えていきたいです。
CISSPを通じて身につけた思考力は、セキュリティ運用の様々な場面で活かされています。「今のやり方は本当に正しいのか」「自動化できないのか」など、普段何気なく行っている作業をもう一度ゼロベースで見つめ直す。そして違う方法でトライしたり、不要であれば取りやめたりする。このように、異なる視点で業務へ取り組めるようになりました。
今後、ますますサイバー犯罪は増加するでしょう。いかに未然に防ぐことができるか、いかに効率よく対応を進められるかが重要です。CISSPの考え方を業務に取り入れ、自社はもちろん大和証券グループ各社の発展に寄与できればと考えています。
