ばぁど・うぉっちんぐ

セキュリティを頑張りたいプログラマ。自由と春を求めて羽ばたく渡り鳥。

セキュリティ技術者の共通人材モデル公表について

ばぁどです。 Twitterをぼーっと眺めていたら、こんな記事が流れてきました。

news.mynavi.jp

NEC・日立・富士通の日本大手三社がセキュリティに関する共通モデルを作って、発表してくれたとのこと。

14の人材とスキルセットを定義してくれたようです。

サイバーセキュリティは、すごい幅広い分野を指し示す単語です。 一言でサイバーセキュリティといっても、フォレンジックスやら、マルウェア解析、セキュアプログラミングなど技術面だけでも様々な要素を含んでいます。 そんなことを思っていた矢先だったので、このように区切ってくれたのはとてもありがたいです。

統合セキュリティ人材モデル

人材像 説明
[CT ]セキュリティコンサルタント セキュリティエンジニアの上流に位置し、経営課題や業務要件から、セキュリティに関するシステm水曜や運用仕様の方針を策定する。
[PL] セキュアシステムプランナー 求められるセキュリティ要件を満たすシステムやアプリケーションの上流設計を担当する。対象領域はシステムアーキテクチャー、ネットワーク、サーバー、アプリケーションデータベースなど。
[DV]セキュアシステムデベロッパ セキュアシステムプランナーのアウトプットを引き継ぎ、セキュリティ要件を満たすシステム基盤の開発を担当する。対象領域はシステムアーキテクチャー、ネットワーク、サーバー、アプリケーションデータベースなど。
[AD] セキュアアプリケーションデベロッパ セキュアシステムプランナーのアウトプットを引き継ぎ、セキュリティ要件を満たすアプリケーションの開発を担当する。対象領域はシステムアーキテクチャー、ネットワーク、サーバー、アプリケーションデータベースなど。
[MG] セキュリティマネージャー ISMSに代表されるセキュリティマネジメントシステムの整備及び運用を担当する。
[AU] セキュリティオーディター ISMSに代表されるセキュリティマネジメントシステムのマネジメント監査を担当する。
[SR]システムリスクアセッサー 対象のICTシステムが直面するセキュリティリスクを分析し、適切なセキュリティ対策選択の指針を示す。
[PT]ペネトレーションテスター 対象のICTシステムに対して攻撃者視点で攻撃を試み、ICTシステムの弱点(脆弱性や危険性等)を把握し報告する。
[NR]ネットワークリスクアセッサー 対象のICTシステムが直面するセキュリティリスクを分析し、適切なセキュリティ対策選択の指針を示す。
[RE]リサーチャー セキュリティ技術に関する各種の研究を行う。
[FE]フォレンジックエンジニア セキュリティインシデント発生時に、コンピュータ・フォレンジックプロセスに基づく詳細な調査を実施する。すでに侵害されたディスクイメージなどを採取し、また取得したイメージなどを解析し、攻撃者によっていつどのようなことが行われたか解析を実施する。
[IA] インテリジェンスアナリスト セキュリティに関する外部情報を収集・分析し、ICTシステムへの影響度を把握する。また、インシデント発生時にそのは池などを分析し、インシデントの渋滞性に対する判断材料を提供する。
[IR]インシデントレスポンダー セキュリティインシデントへの一次対処を行う。必要に応じて、インシデントハンドラーなどの他の人材像へのエスカレーション・引き継ぎを行う
[SP]セキュリティオペレーター ICTシステムのセキュリティに関連する運用を担当する。

個人的に目指していきたいところ

現在、20代後半の私ですが、20歳のうちの頭が若いうちはまだ技術をやっていきたいと考えています。 なので、セキュリティエンジニアとしては、フォレンジックエンジニア(FA)、セキュアアプリケーションデベロッパー(AD)を目指していきたいと考えています。

もちろん、将来的には、セキュアシステムプランナー(PL)、セキュリティコンサルタント(CT)などの上位の仕事に挑戦していきたいところです。

まずは、技術面たくさん勉強しよう。 CTF ベースにしてセキュリティ知識つけていかなければですね。