@IT主催のIT Security Live Weekで、にゃん☆たく氏の話の中で面白い絵を見た。
セキュリティって、関連する範囲が非常に広いため、端的に表現するのが非常に難しい。
例えば、上の絵の真ん中にCSIRTがあるが、CSIRTを中心にして役割分担を整理しただけでも下記のような複雑な絵になる。
また、ロールではなく、管理策ベースで整理する手もあるが、それでも下記の様に込み入った絵になる。
ちなみに攻撃手法ベースで整理されたものもある。
また、LACさんからは、小学生にも分かる!サイバーセキュリティの仕事を紹介するハンドブックがリリースされている。ここでは、12種類の職種が紹介されており、小学生でもわかるように整理すると、こういう分類になるのだろう。
- インシデントハンドラー
- コンピュータフォレンジッカー
- プラットフォーム診断士
- Webアプリケーション診断士
- サイバー犯罪捜査官
- セキュリティインストラクター
- ゲームセキュリティ診断士
- 情報システムペネトレーションテスター
- IoTデバイスペネトレーションテスター
- セキュリティコンサルタント
- 脅威情報アナリスト
- リスクマネジメント(リスクマネージャー)
んで、一番上の絵に戻るのだが、現在自分は情シスとCSIRTの両方に所属している形になっているのだが、一つ悩みを抱えている。
自分はもともとインフラ運用からセキュリティに入ってきた。
インフラ運用についてはオペレーションクオリティを最高レベルまで引き上げ、PDCAサイクルを通じた標準化や品質強化にはそれなりの自信がある。
で、悩みというのは、インシデントレスポンスにおいては標準化が難しいという事実にぶち当たっているということである。
インフラ運用におけるオペレーションクオリティとは可用性を指し、可用性の阻害要因は障害である。
その障害の原因は大別するとハードとソフトに分かれる。
ハードについては、冗長構成等のアーキ設計、保守レベルの24x365対応と監視強化(例えばアラート発生したら早急に予防交換)で対応する。
ソフトについては改修/パッチ適用と異常な連続稼働が要因となるため、検証環境を用意し、事前確認の徹底を図ったり、メンテナンスウィンドウを設けて定期的にリブートしてメモリをクリアにする等の対応を行う。
上記の様に発生要因を分解し、対応手順を標準化することで、障害はパターン化される。
ところが、セキュリティインシデントは発生要因の分解ができない。
時代の流れとともに新たな要因が出てくるのである。
例えばマルウェア感染の手口にしても、ある時期はUSBメモリが使われたり、(今も主流だが)添付ファイル付きメールをバラまいたり、たまに資産管理ソフトの脆弱性を突いたり、たまにウイルス対策ソフトの管理サーバの脆弱性を突いたりと、時代の流れで要因が変わってくる。
そうなるとセキュリティインシデントで求められる人材は、計画性があって地道に物事を進めるタイプよりは、いろいろと臨機応変に対応できる人の方が求められる。
インフラ運用をやっていた時代、下記のような人の分類をしていた。
・PJ系人材:粗々で物事を進めていけるが、後片付け系が苦手(道づくりに例えると、ブルドーザーで木々をなぎ倒して簡易な道を作るイメージ)
・シスマネ系人材:計画的に着々と仕事を遂行するが、想定外が苦手(道づくりに例えると、ブルドーザーでなぎ倒された木をどかしてきれいに舗装していくイメージ)
※シスマネ:システムマネジメント(「運用」が意味的に近いかも)
個人的なイメージだが、セキュリティインシデントにおける初動対応/暫定対応はPJ系人材が向いている。
一方、暫定対応~恒久対応まではシスマネ系人材が向いていると考えている。
長くなってきたので、続きは気が向いてきたら。。。
【参考】
https://www.security-design.jp/entry/2019/10/01/232409
https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf
https://www.ipa.go.jp/security/manager/protect/pdca/risk.html