SANS InfoSec Report 第4回「情報セキュリティ人材のキャリアロードマップ」

　本連載の第1回目「情報セキュリティ人材の育成を考える」で、「現在情報セキュリティに携わる人材の一部からは、自らのキャリアパスを明確に描くことができないといった不安の声」と、ゴールとして目指すべき20のセキュリティ職種（トップガンジョブ）をご紹介した。この20職種のどれかを極めた者は、その職種に応じて、組織内におけるセキュリティ管理・運用のプロフェッショナルとして、また、独立したサービス提供事業者として、さらには司法当局等におけるエキスパートとして、確たるポジション、社会的地位を得つつ専門性を発揮することができる。

SANS InfoSec Report 第1回
「情報セキュリティ人材の育成を考える　−最も有望な20の職種−」
https://www.netsecurity.ne.jp/7_13710.html

　SANSでは、この高度な専門性をもった人材の登用が今後ますます高まると予想している。ポリシーやコンプライアンスといったセキュリティ管理ルールの策定・運用に携わる人材の割合が大幅に減って、ネットワークトラフィックのパケット解析や脆弱性診断、テクニカル監査、フォレンジックなどのスキルをもった人材が増えるというのである。実際のところ、「米国政府機関では、すでにそうした採用にシフトし始めている」と、アラン・パーラー（SANS Director of Research）も述べているところである。

　さて、このような高度な専門性をもった人材となるには、もしくはそのような職種で活躍するにはどうしたらいいだろうか。今回は、SANSのキャリアロードマップをご紹介したい。前述した20の職種の分類とは異なるが、カリキュラムを代別すると、ネットワーク・アプリケーションセキュリティ、セキュリティ監査、セキュリティ管理、セキュアプログラミングに分けられている。ネットワーク・アプリケーションカリキュラムは、侵入検知アナリスト、インシデントハンドラー、システム管理者、フォレンジックアナリスト、脆弱性診断コンサルタントに分けられている。これらカリキュラムの基礎もしくはブリッジの役割を果たすトレーニングコースが「SEC401：SANS Security Essentials」である。概要が以下のサイトに掲載されているのでご参照いただきたい。

SANSカリキュラム｜SANS JAPAN
http://sans-japan.jp/training/curriculum.html

　SEC401は、「情報システム部門所属の社員が業務上必要な、ITセキュリティ、監査、マネジメントの全分野にわたる一般的・専門的な知識・スキルを提供する」コースとの位置づけがなされている。SEC401相当の知識・スキルをもって、各自が目指す専門領域をさらに深めることでトップガンに近づくような配慮がなされている。

　セキュリティの全分野においてスキルの到達レベルを反映させた複数のカリキュラム構成を実現しているのは、世界で唯一SANSだけであろう。

　さて、そのカリキュラムの中で異彩を放つコースを今回はご紹介したい。「SEC501：Advanced Security Essentials - Enterprise Defender −」がそれである。本コースは、組織のネットワークやWebサーバ、メールサーバなどの運用管理に責任を有している技術者の方々にお勧めしたい。どのようなコースかは、SANS Technology Instituteのフェローとして、このコースの開発者であるもあるEric Coleのコメントをお読みいただきたい。

　「SEC401の講義を終え、闘志に燃えて教室を後にする受講生を目にすると、いつも感動を覚えます。最初はセキュリティを勉強することに意義を見出せない様子で困惑気味に教室に入ってきた彼らが、コースを終える頃には所属組織をセキュアにするためになすべきことを理解できた状態になっているのです。しかしながら、その後に受ける質問はいつも決まって、「次にどのコースを受講したらよいか」「どのようなロードマップに沿って進めばよいか」というものです。それはご自身が目指す方向によって異なります。より詳しく追及したい分野は何ですか？境界防御、IDS、OSセキュリティ、それともそれ以外でしょうか？問題は、多くの受講生が1つの分野に注力すれば許されるという立場にないことです。たいてい、セキュリティに関するあらゆる重要分野のスキルがあることが求められているのです。受講生から、さらに上のレベルの技術的知識を網羅したSEC401の続編を期待する声が多く上がってきました。SEC501はまさに受講生の声を反映して開発され、その出来には私も非常に満足しています。コアな基礎分野を定着させるのに相応しいと高い評価をいただいているSEC401を踏まえ、その内容は重複させないまま、ネットワーク実務に携わるにあたって必要な確固たるセキュリティ基礎知識を習得できるのがSEC501なのです。最近のクラスで、ある受講生が駆け寄ってきて私を強くハグし（彼は元フットボール選手だったので、私に抵抗の余地はありませんでした）、こう言いました。
「SANSはすごい。私はこの1年間ずっと、自分の仕事にストレスを感じており、組織をセキュアにして成果を出すという当初の夢を失っていた。そんなとき、ダメ元でSEC401に参加した。ところがコースが終わると、今までにない希望の光を感じた。まるで自分が子供の頃に戻ったようで、会社に帰って教わった技術を試すのが待ちきれなくなった。でも私の上司は、受講後1週間の間に8回も彼を呼び出し、自分が学んできたすばらしい情報と実践知識を余すところなく伝えまくった私に、すっかり怯えてしまったようだ」私は、何千人もの受講生を教えてきました。このコースを受講すれば、あなたにも同様の成果と興奮が待っていると信じています。ただし、ハグは任意です。念のため」 - Eric Cole

　このSEC501コースが2010年2月に東京で開催されることが決定している。すでに席も埋まり始めている。この機会をお見逃しなく。もちろんインストラクターは、Eric Cole自らが担当する。

SEC501紹介ページ
日本語サイト：
http://sans-japan.jp/courses/sec501.html
英語サイト：
http://www.sans.org/sanstokyo2010_spring/description.php?tid=2722

【執筆：NRIセキュアテクノロジーズ株式会社サイバーセキュリティラボ
SANS GIAC Board of Directors member 関取嘉浩】