top
  • パートナーシップ
  • 採用情報
  • サイトマップ
  • English
  • 緊急連絡先
  • お問い合わせ

セミナー・イベント

~2018年度 サイバーセキュリティ対策の潮流は『シフトレフト』へ~
昨今のセキュリティインシデントを紐解くと見えてくる、脆弱性管理の重要性

せミナーレポート内容

【セッション1】
「敵を知り己を知れば百戦殆うからず」という孫子の兵法になぞらえて、現在のサイバー脅威がどのようなものなのか?を、今日の外部脅威について実害と特徴を振り返り、報道されるインシデントは氷山の一角に過ぎず、実害母数の増加背景に迫りました。

次いでダークウェブやサイバー犯罪の関係を紐解き、アンダーグラウンドマーケットを形成する世界的組織の壊滅経緯や攻撃者組織の分業体制までも迫り、また攻撃者の具体的手口について、巧妙な標的型メールや国内インシデントを実例に詐欺の手口が使われている実情をご紹介しました。

不正アクセスや標的型攻撃は、いわば「玄関から堂々と入ってくる泥棒」のようなもので、詐欺の手口を応用した犯罪と言えます。すわなち事前準備やリスクの見える化が必要とされます。これは警察庁の発表でも明らかなように近年のスキャン(侵入などに至っていない脆弱性の探索行為)増加は攻撃の激化そのものを表しています。大流行から1年が経過しても未だに感染が収まらないWannaCryを例に、サイバーリスクは経営リスクそのものと表現し、空き巣を狙う犯罪者同様に、サイバー犯罪もスキャン行為を行ってから犯行に及んでいる実情をご紹介しました。

弱点を事前に把握すること、これはすなわち脆弱性管理を意味する、そんなセッション内容となりました。

~2018年度 サイバーセキュリティ対策の潮流は『シフトレフト』へ~
昨今のセキュリティインシデントを紐解くと見えてくる、脆弱性管理の重要性

【セッション2】
次世代ファイヤーウォールの主要メーカであるJuniperNetworks社を始めに、セキュリティディストリビュータが下記のソリューション及び事例をご紹介しました。

 ・機械学習により未知の脅威への対策のDarktrace
 ・リスク管理のトータルマネージメントツールのRapid7 について

■『脆弱性を悪用した攻撃に対する対策』では、脆弱性を利用した攻撃への対策アプローチとして、どのようなことが必要で、どのような視点で対策する必要があるのかについてご説明するとともにこれらを簡単に実現可能なソリューションをご紹介しました。

■『猛威を振るう標的型攻撃から組織を守る感染しない仕組みの実現』と題し、これまでの感染から防御するセキュリティー対策から、感染することを前提に拡散しないセキュリティー対策として、自社開発(国産)のインターネット分離ソリューションである「SCVX(Secure Container Virtual Extentions)」を、ご紹介しました。

「インターネット分離」は総務省から業務用システムとインターネットへの通信経路を分けるようガイドラインがでたことにより、自治体や教育委員会などで取り入れられ始めた新しいセキュリティ対策となります。

⮚セキュリティディストリビュータが語る海外のセキュリティ動向と打ち手
⮚脆弱性を悪用した攻撃に対する対策
⮚猛威を振るう標的型攻撃から組織を守る感染しない仕組みの実現

【セッション3】
「~外注から内製へ~なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?」と題し、セキュリティ人材不足の背景やそれがほんとうに起きているのか?そもそもセキュリティ人材とは?などに対する解をご提示しました。

セキュリティ人材不足の背景としては以下の状況となります。

・攻撃者の目的の変化としては「金儲け(ビジネス)目的であり、確固たる信念で攻撃してくる」状況となります。
・攻撃件数の増加背景としては「ネットワークにつながるモノが増えたから、攻撃が儲かるから」が挙げられます。
・攻撃先の変化としては「数少ないサーバではなく、ネットワークにつながるものすべて」が対象になってきています。

またセキュリティ人材不足は本当なの?という点については、主に3つの企業体で起きていると分類できます。

1. ユーザ企業のセキュリティ人材
2. IT企業のセキュリティ人材
3. セキュリティベンダーのセキュリティ人材

また各人材種別は、下記の3つの段階に分類できます。

1. スキルがない人材→教育
2. スキルが不十分な人材→育成/演習
3. スキルが十分な人材→演習

セキュリティ人材については、以下のようにまとめることができます。

1. ホワイトハッカーのような高度セキュリティ技術者
  セキュリティベンダ:高度セキュリティ技術者(ホワイトハッカー)
2. 安全な情報システムを作るために必要セキュリィ技術身つけ人材
  セキュリティベンダ:セキュリティ製品・ツールの開発者/セキュリティ監視・運用サービス提供者
  IT ベンダ(SIer等):製品・サービスにセキュリティを実装する技術者
  ユーザ企業:自社の製品・サービスにセキュリティを実装する技術者
3. ユーザ企業において、社内セキュリティ技術者と連携しの情報リティ確保を管理する人材
  ユーザ企業:全社の情報セキュリティ管理者/部門の情報セキュリティ管理者

また更に、業種別に纏めると...

セキュリティベンダ
 ■ホワイトハッカーのような高度セキュリティ技術者
 ■安全な情報システムを作るために必要なセキュリティ技術を身につけた人材
  →セキュリティ製品・ツール開発者、セキュリティ監視・運用サービス提供者

ITベンダ(SIer等)
 ■安全な情報システムを作るために必要なセキュリティ技術を身につけた人材
  →製品・サービスにセキュリティを実装する技術者

ユーザ企業
 ■安全な情報システムを作るために必要なセキュリティ技術を身につけた人材
  →自社の製品・サービスにセキュリティを実装する技術者
 ■ユーザ企業において、社内セキュリティ技術者と連携して企業の情報セキュリティ確保を管理する人材
  →全社の情報セキュリティ管理者、部門の情報セキュリティ管理者

このようなセキュリティ人材不足の背景やその実情、セキュリティ人材とは?に対する解と弊社コンテンツであるEC-Councilセキュリティエンジニア養成講座のCND及びCEHコースウェアをご紹介しました。

セミナープログラムを確認する

セミナー資料(一部抜粋)

SlideShareページで確認する

アンケート結果(回答数173件、一部抜粋)

Pagetop