インシデント発生時に
対応するスピードを高めることが重要
対応するスピードを高めることが重要
NRIセキュアテクノロジーズ株式会社
セキュリティ教育サービス部
セキュリティ人材育成室 室長
セキュリティ教育サービス部
セキュリティ人材育成室 室長
時田 剛氏
「現在のサイバー攻撃者は組織化されています。攻撃ツールの開発や攻略済み企業の情報共有、マネタイズなどの役割に分業化され、犯罪エコシステムが出来上がっているのです。彼らは多層的・連続的な攻撃を仕掛ける体制を構築することで、成功率とROIの向上を狙っています」とNRIセキュアテクノロジーズの時田 剛氏は警鐘を鳴らす。
このような最新の脅威に備えるためには、セキュリティーの考え方そのものを変えていく必要がある。脅威の侵入を未然に防ぐことはもちろん大事だが、同時に「インシデントは必ず発生する」という前提に立ち、インシデント発生時に可能な限り速やかに対応できるようにしておくことが不可欠だ。
「データバックアップの徹底や、ゼロトラストの考え方に基づく検知・隔離の仕組みの実現など、いくつかのポイントがありますが、中でも不可欠なのが『レジリエンス』の考え方です。ビジネスの“急所”を把握し、致命傷を避ける急場しのぎの策を用意しておくことで、万が一の際にもしぶとく業務を継続できるようにする。このオペレーショナルレジリエンスの実現を目指すことが非常に大切です」と時田氏は強調する(図1)。 また、レジリエンスを高める際にはサプライチェーンの安全性を適切にコントロールする「サプライチェーンマネジメント」の視点も欠かせない。ビジネスは自社だけで完結するわけではなく、グループ会社や取引先との連携で成り立っているからだ。
ある組織が攻撃を受けた場合、ネットワークでつながった別の会社へと被害が波及する可能性がある。サプライチェーンに影響が出て、代替の委託先が見つからなければ、その間のビジネスチャンスを失うだろう。製品・サービスの供給遅延によるペナルティーや顧客離れのリスクもある。ひいては企業のイメージダウンや、それに伴う業績悪化と事業活動の縮小、人材の流出や採用活動の難航なども懸念される。
レジリエンス強化に向けて、
人材に求められる「思考力」
人材に求められる「思考力」
このような複雑な状況を網羅的に把握し、組織のレジリエンスを高めるための施策を打つ上で重要になるのが「ヒト」だ。
「これまでのセキュリティー人材の育成は、ツール操作のスキルや資格取得などが重視されてきました。これからは、そもそも『脅威であるかどうか』の判定も含めて、複数の視点から状況を読み解き、取るべきアクションを導く『思考力』を重視すべきだと当社は考えています」と時田氏は説明する。
同社によれば、思考力の構成要素は「技術」「判断」「組織」の3つあるという。
技術は、SOC分析やフォレンジック、脅威ハンティングなどの知見に加え、クラウドやOT環境など、従来のIT領域以外も理解する力のことを指す。判断は、脅威トレンドを攻撃者視点で思考し、「組織を守るために何が必要で、何を今なすべきか」を意思決定する力だ。組織は経営層、事業部門とのコミュニケーションを密にし、有事のクライシスマネジメントを強化したり、対外的な説明責任を果たすため、法務や広報部門との連携強化を図ったりする力を指す。
「組織のレジリエンス強化に不可欠な、思考力を備えた人材の育成は、従来型の職種ベースの人材育成手法では目的を達成するのは難しい。社員の自発的な学びを促す仕組みやコミュニティーづくり、キャリア形成を支援する施策の拡充なども含めて、企業・組織は新たな人材育成手法を考えることが重要になるでしょう」と時田氏は説明する。
「これまでのセキュリティー人材の育成は、ツール操作のスキルや資格取得などが重視されてきました。これからは、そもそも『脅威であるかどうか』の判定も含めて、複数の視点から状況を読み解き、取るべきアクションを導く『思考力』を重視すべきだと当社は考えています」と時田氏は説明する。
同社によれば、思考力の構成要素は「技術」「判断」「組織」の3つあるという。
技術は、SOC分析やフォレンジック、脅威ハンティングなどの知見に加え、クラウドやOT環境など、従来のIT領域以外も理解する力のことを指す。判断は、脅威トレンドを攻撃者視点で思考し、「組織を守るために何が必要で、何を今なすべきか」を意思決定する力だ。組織は経営層、事業部門とのコミュニケーションを密にし、有事のクライシスマネジメントを強化したり、対外的な説明責任を果たすため、法務や広報部門との連携強化を図ったりする力を指す。
「組織のレジリエンス強化に不可欠な、思考力を備えた人材の育成は、従来型の職種ベースの人材育成手法では目的を達成するのは難しい。社員の自発的な学びを促す仕組みやコミュニティーづくり、キャリア形成を支援する施策の拡充なども含めて、企業・組織は新たな人材育成手法を考えることが重要になるでしょう」と時田氏は説明する。
AIとヒトが協調して
レジリエンス強化を推進する
レジリエンス強化を推進する
加えて現在は、あらゆる局面で生成AIを活用することが前提になりつつある。例えば、生成AIを活用することで、ヒトが実施するのが難しい大量ログの中からリアルタイムに脅威を検知したり、インシデント対応手順の自動提案、脆弱性スキャンやパッチ適用の優先順位付けなどが容易に行えるようになることが期待されている。レジリエンス強化を担うセキュリティー人材にとっても、自らの能力を拡張してくれる頼もしい存在といえるだろう。
「ただ、生成AIは強力なセキュリティーの道具であると同時に、ガバナンスの対象でもあります。なぜなら、適切に管理しなければ情報の外部流出やデータ汚染などのリスクを生じさせる温床になってしまうからです」と時田氏。利用状況の可視化やAIベンダーと自社の責任の明確化、AIの判断を鵜呑みにしないバイアス・偽情報リスクの管理などを徹底するとともに、環境を継続的に評価・見直すことが大切だと話す。
その上で、AIとヒトが「協調」して価値を生み出す。すべてをAIに任せるのではなく、AIと共に動いて判断する人材が、これからの組織の競争力の源泉になるという。
AIと協調して働くセキュリティー人材には3つのタイプがある(図2)。AIを使った脅威分析や自動化を開発・運用する「AIネイティブ人材」、経営と技術をつなぎ、AIツールを使いこなして判断や意思決定を支援する「Bridge/Hub人材」、インシデント時に判断力・連携力を発揮して各部門の対応を指揮する「ビジネス特化型人材」だ。 NRIセキュアテクノロジーズは、この3つのタイプの人材教育・育成を支援する体制を整えている。顧客のニーズや課題に応じた研修を行う「オーダーメイド研修」や、標的型攻撃訓練メールに代表される「ソリューション連動型研修」、セキュリティー人材の成熟度の可視化や人材育成戦略・育成計画の策定を支援する「セキュリティ人材開発コンサルティング」などのメニューがある。
「3つのタイプのうち、特に不足しているのがBridge/Hub人材ではないでしょうか。経営と技術の橋渡し役となるため、幅広い知識や視点、柔軟な思考力が求められます。当社であれば、そのような人材の育成もご支援することが可能です」と時田氏は話す。顧客支援の典型的なプロセスとしては、まずスポットで経営層や現場向けのオーダーメイド研修を実施する。そこで顧客がNRIセキュアテクノロジーズのサービスを評価したら、より大規模な研修の実施や、コンサルティングに基づく人材育成戦略の策定などにステップアップしていくという。
事業継続を脅かすサイバー攻撃が増加する中、企業・組織が意識を向けるべきなのがレジリエンスだ。高度なオペレーショナルレジリエンスを実現するためには、局面ごとの意思決定やセキュリティー対策の運用などを担う現場の人材を育成することが欠かせない。つまりレジリエンス向上と人材育成は、切っても切れない関係にあるものなのである。
NRIセキュアテクノロジーズは、組織のレジリエンス向上と、それに向けた人材育成を強力に支援する。同社と共に歩むことが、企業・組織のビジネス継続性強化に向けた後押しとなるだろう。
「ただ、生成AIは強力なセキュリティーの道具であると同時に、ガバナンスの対象でもあります。なぜなら、適切に管理しなければ情報の外部流出やデータ汚染などのリスクを生じさせる温床になってしまうからです」と時田氏。利用状況の可視化やAIベンダーと自社の責任の明確化、AIの判断を鵜呑みにしないバイアス・偽情報リスクの管理などを徹底するとともに、環境を継続的に評価・見直すことが大切だと話す。
その上で、AIとヒトが「協調」して価値を生み出す。すべてをAIに任せるのではなく、AIと共に動いて判断する人材が、これからの組織の競争力の源泉になるという。
AIと協調して働くセキュリティー人材には3つのタイプがある(図2)。AIを使った脅威分析や自動化を開発・運用する「AIネイティブ人材」、経営と技術をつなぎ、AIツールを使いこなして判断や意思決定を支援する「Bridge/Hub人材」、インシデント時に判断力・連携力を発揮して各部門の対応を指揮する「ビジネス特化型人材」だ。 NRIセキュアテクノロジーズは、この3つのタイプの人材教育・育成を支援する体制を整えている。顧客のニーズや課題に応じた研修を行う「オーダーメイド研修」や、標的型攻撃訓練メールに代表される「ソリューション連動型研修」、セキュリティー人材の成熟度の可視化や人材育成戦略・育成計画の策定を支援する「セキュリティ人材開発コンサルティング」などのメニューがある。
「3つのタイプのうち、特に不足しているのがBridge/Hub人材ではないでしょうか。経営と技術の橋渡し役となるため、幅広い知識や視点、柔軟な思考力が求められます。当社であれば、そのような人材の育成もご支援することが可能です」と時田氏は話す。顧客支援の典型的なプロセスとしては、まずスポットで経営層や現場向けのオーダーメイド研修を実施する。そこで顧客がNRIセキュアテクノロジーズのサービスを評価したら、より大規模な研修の実施や、コンサルティングに基づく人材育成戦略の策定などにステップアップしていくという。
事業継続を脅かすサイバー攻撃が増加する中、企業・組織が意識を向けるべきなのがレジリエンスだ。高度なオペレーショナルレジリエンスを実現するためには、局面ごとの意思決定やセキュリティー対策の運用などを担う現場の人材を育成することが欠かせない。つまりレジリエンス向上と人材育成は、切っても切れない関係にあるものなのである。
NRIセキュアテクノロジーズは、組織のレジリエンス向上と、それに向けた人材育成を強力に支援する。同社と共に歩むことが、企業・組織のビジネス継続性強化に向けた後押しとなるだろう。
