スキル不足を補完する、演習によるサイバーセキュリティ経験値アップ：ヤバい従業員もあぶり出せる

実戦経験に勝るスキルアップ術はない。人為的な脅威を含む災害をシミュレーションすることで、IT部門のサイバーセキュリティスキルを向上させよう。業務部門のリスクを明らかにすることもできる。

[Peter Ray Allison，Computer Weekly]

　サイバーセキュリティとコンピュータフォレンジックの理学士号やサイバーセキュリティの理学修士号などを取得すれば、サイバーセキュリティ専門家のキャリアに必要な知識を得ることはできる。だがネットワークに潜む脅威への対処には、実務経験に勝るものはない。

　「災害復旧を行う状況で、新人の能力を試すようなことはしたくない」と話すのは、(ISC)2で最高情報責任者を務めるブルース・ビーム氏だ。

　「サイバーセキュリティに携わるスタッフのスキルが不足している」と答えた企業の数がここ4年で増加していると報告する調査もある。2014年にスキル不足を課題とした企業は約23％だったが、それが50％以上に上昇した。サイバーセキュリティ部門の作業負荷が増えたことに起因する。

　こうした課題を克服するため、企業はオンライン脅威対策に必要な経験をさまざまな手段でサイバーセキュリティの実習生に提供している。その手段の一つがメンタリングだ。1人の実習生に1人の経験豊富なサイバーセキュリティ専門家をメンターとして割り当てる。メンタリングによってスタッフの経験が受け継がれ、退職や人材の引き抜きに備えることができる。ただし無意識のうちに経験が偏る恐れがあるのが欠点だ。

災害管理のシミュレーション

　災害管理のシミュレーションを行い、必要な経験をスタッフに提供している企業もある。避難訓練を行って、起こり得る災害にスタッフがどのように対応するかを評価するのと同じように、重大な障害をシミュレーションすることでスタッフが障害にどう対応するかを確認できる。

　「私はいつも軍事教練を思い返すようにしている。軍で学んだことの一つが『実戦を想定して訓練に臨め。なぜなら、訓練と同じように戦うことになるからだ』というものだ」（ビーム氏）

　シミュレーションにより、実際のネットワークや企業データにリスクを及ぼすことなく重大な障害を体験できる。シミュレーションは災害復旧のシナリオを利用するものや、ホワイトハットハッカー（訳注）がネットワーク防御に探りを入れ、認識した脅威にサイバーセキュリティチームがどのように対応するかを確認するものなどさまざまだ。

訳注：テスト目的でシステムに侵入し、セキュリティの欠陥を調べたりブラックハットハッカー（悪意のあるハッカー）を監視したりするハッカー。

　「多くの企業が災害復旧を話題にしている。だが実際に災害復旧を検証して想定通りに機能することを確認している企業はない」と話すのは、データセキュリティ企業Digital Pathwaysでマネージングディレクターを務めるコリン・タンカード氏だ。

　災害管理のシミュレーションは、企業ネットワークのレプリカを提供する。これにより実践的な体験がもたらされ、習慣的に対応できるようになる。サイバーセキュリティ部門は実際に使うセキュリティツールを利用して、ネットワークの設定やトラフィックを体験する。災害シナリオの効果を高めるには、進化を続ける脅威、標的型のマルウェア、ランサムウェアなどを正確にシミュレーションする必要がある。

　より複雑なトレーニングシミュレーションでは、ホワイトハットハッカーがネットワーク防衛に探りを入れ、サイバーセキュリティチームがその脅威に気付く早さと対処方法を確認する。「このトレーニング方法は、スタッフがどのように対処するかを企業が確認できることから、大きな成功を収めている」（タンカード氏）

　災害管理のシミュレーションは、コストが高くなる可能性がある。現実に即したトレーニングシナリオにするための初期コストがかかるだけでなく、スタッフが日常業務とは別に時間を取る必要もある。

トレーニング対象は人ではなく企業

　災害管理のシミュレーションを正しく行えば、スタッフだけでなく企業全体のトレーニングになる。災害のシナリオを実行することで、企業はデータ復旧プロセスの改善箇所や自動化できるタスクがあるかどうかを評価できる。「災害のシナリオは人的な視点だけでなく、TTP（トレーニング、戦術、手順）の点からも検討する必要がある」とビーム氏は話す。

　シミュレーションはIT部門だけでなく、全部門のスタッフを評価して脅威にどのように対応するかを確認する。

　意識を高めるためによく用いられる手法の一つに、会社の駐車場に幾つかUSBメモリを落としておくというものがある。この手法は、誰がUSBメモリを拾い、適切な部門に渡さずに自分のPCに挿し込んでそのUSBメモリの持ち主を確かめるかを評価する。

　全従業員にフィッシングメールを送信して、誰がそのメールに反応するかを確かめる手法もある。この手法は詐欺師がもたらす脅威への意識を高めるだけでなく、セキュリティ意識に関するトレーニング強化が必要な従業員を明らかにする。

　コストがシミュレーション導入を阻む要因になるかもしれない。だがシミュレーションの結果を見直すことで重点的なトレーニングが必要な領域を特定し、コスト効率を最大限に高めることができる。

　「セキュリティと災害復旧の対応速度が改善されることを提示できれば、経営陣はシミュレーションへの投資を考えるようになるだろう」（ビーム氏）

　サイバーセキュリティ人材の不足が深刻化している。企業は将来脅威に遭遇したときに必要なスキルをスタッフに提供できるよう、災害管理のシミュレーションを導入してCPDを補完することを検討する必要がある。