ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

会員限定

2015年09月07日

ANAが考えるセキュリティ人材戦略、なぜ「正義の味方」でなければならないのか

ANAグループのITシステムを担うANAシステムズで、開発手法の標準化/セキュリティルールの策定/内部監査などを担う品質・セキュリティ監理室では、高度化する近年のサイバー攻撃に対処するための「セキュリティ人材」の育成に注力している。実際に人材育成にはどのような考え方で臨めばいいのか、また社内CSIRTで活躍できる人材にはどのような特性が求められるのか。具体的な取り組みについて、ANAシステムズ 品質・セキュリティ監理室 エグゼクティブマネージャ ANAグループ情報セキュリティセンターの阿部恭一氏が明らかにした。

執筆:西山 毅

3つのセキュリティ機能を提供するANAグループ情報セキュリティセンター

photo

ANAシステムズ
品質・セキュリティ監理室
エグゼクティブマネージャ
ANAグループ情報セキュリティセンター
阿部 恭一 氏

 阿部氏の所属するANAグループ情報セキュリティセンター(以下、セキュリティセンター)は、品質・セキュリティ監理室内でセキュリティの品質管理、セキュリティインシデントへの対応、セキュリティの運用管理という情報システム分野の各機能を提供する部署で、また人的分野でもグループ各社にガバナンスを利かせたり、従業員教育を行ったりする役割を担当している。

 「ガートナー セキュリティ&リスク・マネジメントサミット2015」で登壇した阿部氏は、まず情報システム分野の機能として「端的に言えば、セキュリティの品質管理はCSIRT(Computer Security Incident Response Team)、インシデントへの対応はIRT(Incident Response Team)、そして運用管理はSOC(Security Operation Center)という位置付けになります」と説明する。

「特に注目していただきたいのは、CSIRT機能の1つとして設定しているが、システム構築のための各種ガイドラインを作成および改訂することです。システム完成後に脆弱性が明らかになるのはよくあることで、それを防ぐために我々はシステム構築のためのマニュアルを作り、開発工程の中でチェックポイントをいくつか設けて、セキュリティがきちんと担保されているかを確認しています」

 さらにCSIRT機能としては、JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:PCERT/CC)や日本シーサート協議会などを通じて最新の脅威動向に関する情報収集も行っている。

 次にIRT機能としては、手順化されたインシデント対応はセキュリティセンター内で、またアプリケーションやシステム基盤の担当者の判断が必要となる手順化できないインシデント対応については、その都度、各主管部署と協力しながら対応に当たっている。

 そしてSOC機能としては、インシデントの予兆分析と未然防止策の検討が挙げられ、また内部不正操作防止策の実施と観察、さらに不正発生時には内部調査も行う。

 一方、セキュリティセンターの人的分野の機能としては、セキュリティ関連のルールを設けて、それがきちんと維持できているかを点検し、従業員教育を施し、必要に応じて脆弱性などに関する情報も提供する。リスクの見える化や低減にも取り組み、グループからの情報セキュリティに関する問い合わせへの対応も行う。

「ルールを作って基礎を固め、運用に載せてチェックを行い、さらなる底上げを図っていくということで、人的分野については高いコミュニケーション能力が求められるところです」

セキュリティセンターの運用に求められる3つのスキル

関連記事
 それではシステム的な対応と人的な対応を行う上で、具体的にどのようなスキルが求められるのだろうか。

「セキュリティセンターを運用していくために必要となるスキルは、大きく3つあります。それが知識、企画、コミュニケーションです」

 まず知識は大前提となるもので、セキュリティ全般の知識が求められる。これについては情報セキュリティスペシャリスト試験やCISSP(情報システムセキュリティ専門家認定)などを通じて獲得する。また一般的なIT知識も必要で、特に「ダークサイド」に関する知見も必要だ。

 加えて個人情報保護法やクレジットカード業界のセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standards)、著作権や外為法といった法律関連の知識も必要で、さらにはISMS(情報セキュリティマネジメントシステム)やリスクアセスメント手法などセキュリティマネジメントの知識も求められる。

 次に企画については、ポリシーやガイドラインを策定できる能力、教育内容を策定できる能力、IRTの対応能力が求められる。

 そしてコミュニケーションについては、エンドユーザや経営者に対してはIT用語を使わないで説明できる能力、逆に専門家とは専門用語を使って対話できる能力が必要となる。

「知識については、すべてを1人でカバーするのは難しいので、チームとして補完し合っていきます。また企画力については、実践で育てられたITスキルが必要で、IRTでの対応能力についても、実際の障害対応経験則が役に立ちます。コミュニケーションでは、マネジメント層から資金を調達しなければならないこともあるので、プレゼンスキルも重要です」

【次ページ】3つのグループに分類して、メンバーのスキル育成パスを作成

セキュリティ戦略 ジャンルのセミナー

一覧へ

セキュリティ戦略 ジャンルのトピックス

一覧へ

セキュリティ戦略 ジャンルのIT導入支援情報

一覧へ

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング