NEC、日立製作所、富士通の3社は2018年10月24日、サイバーセキュリティ技術者の共通人材モデル「統合セキュリティ人材モデル」を策定し、同日付けでITベンダーおよびセキュリティベンダー向けに公開した。3社のセキュリティ対策の技術やシステム構築実績を活かし、共通的な14種類の人材モデルを定義した。
統合セキュリティ人材モデルは、NEC、日立製作所、富士通の3社のセキュリティ対策の技術やシステム構築実績を活かし、共通的な14種類の人材モデルを定義した。14種類の人材像ごとに、セキュリティ事故対応やサイバー攻撃監視といった、セキュリティ人材として習得すべきスキルセットを体系化している。
具体的には、アプリケーションなどの脆弱性診断を実施する「ペネトレーションテスター」や、サイバー攻撃による被害範囲を分析・調査する「フォレンジックエンジニア」、セキュリティインシデント時に初動対応する「インシデントレスポンダー」など14種類の人材像と各々のスキルセットを体系化・標準化している。
NEC、日立製作所、富士通の3社は、2019年度から、自社でのセキュリティ人材育成に統合セキュリティ人材モデルを適用する。3社だけでなく、ITベンダーやセキュリティベンダーの人材育成活動と連携し、国内における実践的なスキルやノウハウを持つセキュリティ技術者の育成に注力する。
公開情報として、統合セキュリティ人材モデルのほかに、各人材像のスキル習得に必要となるコースマップ仕様書(コースマップ、シラバスなど)も順次公開を開始した。これらの公開情報は、以下のURLから入手できる。
なお、統合セキュリティ人材モデルは、2017年12月にNEC、日立製作所、富士通の3社が始めた「サイバーセキュリティ人材育成スキーム策定共同プロジェクト」の一環である(関連記事:NEC、日立製作所、富士通、共同でセキュリティ技術者育成プログラムを策定)。
| 人材像 | 説明 |
|---|---|
| 【CT】セキュリティコンサルタント | セキュリティエンジニアリングの上流に位置し、経営課題や業務要件から、セキュリティに関するシステム仕様や運用仕様の方針を策定する |
| 【PL】セキュアシステムプランナー | 求められるセキュリティ要件を満たすシステムやアプリケーションの上流設計を担当する。対象領域は、システムアーキテクチャー、ネットワーク、サーバ、アプリケーション、データベースなど |
| 【DV】セキュアシステムデベロッパー | セキュアシステムプランナーのアウトプットを引き継ぎ、セキュリティ要件を満たすシステム基盤の開発を担当する。対象領域は、システムアーキテクチャー、ネットワーク、サーバ、データベースなど |
| 【AD】セキュアアプリケーションデベロッパー | セキュアシステムプランナーのアウトプットを引き継ぎ、セキュリティ要件を満たすアプリケーションの開発を担当する。対象領域はアプリケーション、データベースアクセスなど |
| 【MG】セキュリティマネージャー | ISMSに代表されるセキュリティマネジメントシステムの整備および運用を担当する |
| 【AU】セキュリティオーディター | ISMSに代表されるセキュリティマネジメントシステムのマネジメント監査を担当する |
| 【SR】システムリスクアセッサー | 対象のICTシステムが直面するセキュリティリスクを分析し、適切なセキュリティ対策選択の指針を示す |
| 【PT】ペネトレーションテスター | 対象のICTシステムに対して攻撃者視点で攻撃を試み、ICTシステムの弱点(脆弱性や危険性など)を把握し報告する |
| 【NR】ネットワークリスクアセッサー | 対象のICTシステムが直面するセキュリティリスクを分析し、適切なセキュリティ対策選択の指針を示す |
| 【RE】リサーチャー | セキュリティ技術に関する各種の研究を行う |
| 【FE】フォレンジックエンジニア | セキュリティインシデント発生時に、コンピュータ・フォレンジックプロセスに基づく詳細な調査を実施する。すでに侵害されたディスクイメージなどを採取し、また取得したイメージなどを解析し、攻撃者によっていつどのようなことが行われたのか解析を実施する |
| 【IA】インテリジェンスアナリスト | セキュリティに関する外部情報を収集・分析し、ICTシステムへの影響度を把握する。また、インシデント発生時にその背景などを分析し、インシデントの重大性に対する判断材料を提供する |
| 【IR】インシデントレスポンダー | セキュリティインシデントへの1次対処を行う。必要に応じて、インシデントハンドラーなどの他の人材像へのエスカレーション・引継ぎを行う |
| 【SP】セキュリティオペレーター | ICTシステムのセキュリティに関連する運用を担当する |
