SANS InfoSec Report 第3回「ますます需要が高まりつつある高度セキュリティ技術者」

　SANS Instituteが毎週発行しているニュースレター「SANS NewsBites」の8月28日号（vol.11, Num.68）の記事の中に、「サイバーセキュリティ関連資格保持者に対する報酬が他資格をしのぐ；特定のスキルは高需要（Pay for Cyber Security Certifications Exceed All Others; Certain Skills In High Demand）」という記事が掲載された。米国フロリダ州に本拠を置く経営コンサルタント会社であるFoote Partners LLCが、資格と給与、今求められる人材のスキルなどについてまとめた調査結果「四半期IT報酬額最新調査（Quarterly IT Pay Update）」である。概要は以下のとおり。

　「2009年第2四半期において、IT関連資格保有者に対する報酬が全体的に4％以上低下している中で、セキュリティ関連資のそれは2％上昇した。この調査結果は、2,000社に所属する84,000人のIT専門職者の回答をまとめたもの。過去6か月（2009年1月−6月）で集計すると、その差は一層大きくなる。企業が資格保有者に対する報酬を戦略的に用いて、重要なスキルを持つ人材の獲得・囲い込みを行っていることを踏まえると、今回の結果で判明した報酬格差は、セキュリティスキルが企業からますます重要視されていることを示している。

　実際、Foote Partnersが作成した高需要資格のリストによると、上位10資格のうち6つがセキュリティ関連資格だった。首位はGIAC Certified Incident Handler（GCIH）。驚きは、CISSPもCISMも24位までのリストに上ってこなかったこと。ホットな資格と見なされたのはGIACやCheckpoint、Ciscoによる実務スキルベースのセキュリティ資格である。Bank Information SecurityのDavid Foote氏によると、インシデントハンドリング、IDS、ファイアウォール、フォレンジック、脆弱性診断などの強力な技術的スキルを習得しているセキュリティ専門職者に対する需要は急速に高まっているとのこと。」

　これと同様の話は、SANSの調査研究部門のディレクターであるAlan Pallerも、「SANS Future Visions 2009 Tokyo」（7月16-17日開催）で講演した際に述べており、米国政府機関でも高度な専門スキルを有する人材の採用が加速しているという。

　さて今回は、この高度な専門スキルの1つである「セキュリティ監査」についてSANSの考えを紹介してみたい。

　情報セキュリティ分野の監査における高度な専門スキルとは、いわゆるテクニカル監査であろう。チェックシートやインタビューなどの主観的要素が介在する手法をでき得る限り従属的なものとし、監査対象組織に即した適正なコントロールが行われていることを監査者自らの技術によって証明することであろう。

　SANSの監査分野の主なトレーニングコースラインナップは以下である（括弧内はGIAC認定資格名、また、コース番号の百位の数字が大きいほどスキルレベルが高度になる）。

・AUD410：IT Security Audit and Control Essentials
・AUD423：SANS(R) +S Training for the ISACA(R) CISA(R) Certification Exam
・AUD507：Auditing Networks, Perimeters & Systems（GSNA）
・AUD 566：20 Critical Security Controls - In Depth

　ここでは、AUD423とAUD507に注目していただきたい。AUD423は、公認情報システム監査人（CISA）の資格取得を念頭に置いたコースである。ご存じのように、CISAはシステム監査の分野では評価が高く、取得するメリットは大きい。ただ、試験に合格し登録した時点でプロフェッショナルへのスタートラインに立ったという位置づけではないだろうか。その後の継続教育や実務経験がとても重要になることは言うまでもない。そこで、セキュリティ監査分野でのキャリアをお考えの方は、AUD507の受講をご検討いただきたい。

　以下は、10月に来日するDavid Hoelzer（SANSのフェローとして本コースの開発責任者であり、SANSでは監査分野のトップガンインストラクターでもある）のコメントである。

「このSANSの上級システム監査コースは、監査の実技を含む総合的な内容であるという点で異彩を放っています。コースマテリアルは、経験豊富なベテラン監査人の方、監査経験の浅い方、いずれにも有意義なものとして活用されてきました。コースに参加した1人、Institute of Internal Auditors（内部監査人協会）の副会長も、「私はシステム監査に長く携わってきたが、誰からも技術監査の公式なプロセスを教わったことはなかった。このコースに感謝している」と述べています。コース参加の前提条件として高度な技術経験の有無は問いませんが、コースで習得した技術を参加者全員が翌日から現場で実践できるよう、激しく切磋琢磨していただきます。受講者の方の「どうやって最終目標に到達できるのか」という疑問を現実に解決するため、短期目標に対するソリューションを重ねながら、識別と報告、そして企業におけるリスクの軽減を図るための様々な技術的手法を学んでいきます。」

関連サイト
SANS AUD507（日本語）：
http://sans-japan.jp/courses/aud507.html
SANS AUD507（英語）：
http://sans.org/sanstokyo2009_autumn/description.php?tid=3427
Foote Partnersの調査結果：
http://www.footepartners.com/FooteNewsRelease_July2009ITlabortrends_072609V2.pdf

【執筆：NRIセキュアテクノロジーズ株式会社サイバーセキュリティラボ
SANS GIAC Board of Directors member 関取嘉浩】