企業の情報セキュリティ担当
日々発見される攻撃手法やソフトウェアの脆弱性などのセキュリティリスクを回避・防止するために、担当者は常に新しいセキュリティ情報を把握し続けなければなりません。一般社員に対するセキュリティ教育も検討する必要があり、様々な面でセキュリティ担当として主体的に動く役割となります。
企業の情報セキュリティ担当に必要なセキュリティスキルのロードマップは以下の通りです。
| Level 1 | IT基礎スキル(高度) | |
|---|---|---|
| コンピュータ基礎 |
機器
基本理論
ハードウェア
ソフトウェア
OS
|
|
| ソフトウェア基礎 |
概念
OS
APL
アルゴリズム
機械語
ASM
C
DeviceDriver
オブジェクト指向
|
|
| データベース基礎 |
概要
表
Excelとの関連
索引
SQL
正規化
Viewと結合
|
|
| ネットワーク基礎 |
機器
概要
TCP/IPプロトコル
IPv4
IPv6
|
|
| 運用知識基礎 |
ID/pass管理
リモート接続
メール利用方法
USBメモリ管理
PC管理
情報端末利用方法
機器
|
|
| Level 2 | 組み込み基礎スキル | |
|---|---|---|
| ハードウェア知識 |
ロジック回路
計測機器使用方法
回路図読解
CPUの動き
I/O周辺回路
|
|
| 量産品への品質保証 |
テスト技法
テスト計画
不具合管理
検証技術
|
|
| ネットワーク |
Blurtooth
Wifi
TCP/IP
UDP
CAN
|
|
| リアルタイム処理 |
リアルタイムOS
割り込み
疑似リアル処理
|
|
| ネットワークエンジニアスキル | ||
| WindowsServer |
基礎
Active Directory
ネットワーク管理
サーバ構築
|
|
| Linux |
基礎
システム管理
ネットワーク管理
ネットワークサービス
サーバ構築
|
|
| LAN |
ネットワーク機器
プロトコル概要
TCP/IPプロトコル
Ethernet
ルータ
SW-HUB
|
|
| TCP/IP |
TCP
UDP
IPv4
IPv6
ICMP
ARPの詳細
ヘッダ
ルータ
|
|
| Webエンジニアスキル | ||
| 基礎内容 |
HTML
CSS
JavaScript
JSP
FTP
CGI(PerlやRubyなど)
PHP
SSL
フレームワーク
Domain
Webサーバー
|
|
| DB |
データベースの概要
表
索引
ビュー
シノニム
ユーザ権限
SQL
|
|
| プログラミング |
アルゴリズム実践
オブジェクト指向ークラス
オブジェクト指向ー継承
オブジェクト指向ーポリモーフィズム
|
|
| Web技術 |
AJAX
JSP
SNS連携
動画
レスポンシブ対応
SEO対策
デザイン
|
|
| ソフトウェアエンジニアスキル | ||
| 基礎内容 |
アルゴリズムー順次
アルゴリズムー条件分岐
アルゴリズムー繰返
アルゴリズムー交換
アルゴリズムー配列
アルゴリズムー検索
アルゴリズムー並替
アルゴリズムー二分検索
アルゴリズムーグループ化
アルゴリズムーマッチング
オブジェクト指向概念
|
|
| DB |
データベースの概要
表
索引
ビュー
シノニム
ユーザ権限
SQL
|
|
| プログラミング |
アルゴリズム実践
|
|
| オブジェクト指向 |
オブジェクト指向基礎ークラス
オブジェクト指向基礎ー継承
オブジェクト指向基礎ーポリモフィズム
デザインパターン習得
テスト技法習得
|
|
| Level 3 | セキュリティ基礎スキル | |
|---|---|---|
| マネジメント基礎 |
仕組み
構成と内部統制
ガバナンス
リスクアセスメント
監査
運用に関する規定の策定
関連の規格・法律
|
|
| 認証技術基礎 |
アクセス制御の基本
「識別認証、認可、責任追跡性」
認証技術
暗号技術(共通鍵,公開鍵,ハッシュ関数)
電子署名
PKI
電子証明書
|
|
| アーキテクチャ基礎 |
評価(ISO/IEC15408)
セキュリティモデル
セキュリティのフレームワーク
セキュリティプロトコル(SSL,Ipsec,SSH,DNSSEC)
冗長化
VPN
負荷分散
ぺネトレーションテスト
|
|
| 攻撃手法基礎 |
ファイアウォール技術(フィルタリング方式,構成,運用管理)
IDS/IPS
スイッチ/ルーター対策
アプリケーションウイルス対策
バッファオーバーフロー
パスワードクラッキング
SQLインジェクション
ソーシャルエンジニアリング
マルウェア(ウイルス、ボット、ワーム)
|
|
| Level 4 | 組み込みセキュリティスキル | |
|---|---|---|
| 開発プロセス |
情報システムの脆弱性分析
情報システムの脅威分析
セキュリティ要件定義
セキュリティ機能の設計
セキュリティ機能の実装とテスト,
情報セキュリティ面からのレビュー
|
|
| セキュアコーディング |
Android ,Java,セキュアコーディング
C/C++ セキュアコーディング
CERT Cセキュアコーディングスタンダード
Java セキュアコーディングスタンダード CERT/Oracle版
|
|
| 攻撃手法の習得 |
クラッキングーバッファオーバーフロー
クラッキングーネットワーク攻撃
クラッキングークライアントへの攻撃
クラッキングーWebアプリへの攻撃
クラッキングーマルウェア対策
マルウェア解析ー動的
マルウェア解析ー静的
Return Into libC攻撃
|
|
| 製品ライフサイクル |
企画フェーズ 組込みシステム製品のセキュリティを重視するかの「セキュリティへの取組み」のレベル
開発フェーズ 管理用GUIにおけるクロスサイト・スクリプティングおよび、クロスサイト・リクエスト・フォージェリの問題や、ディレ クトリ・トラバーサル、SQLインジェクション等
運用・廃棄フェーズ 組織としてセキュリティルールを策定し、規則集として明文化
|
|
| ネットワークエンジニアスキル | ||
| 開発プロセス |
情報システムの脆弱性分析
情報システムの脅威分析
セキュリティ要件定義
セキュリティ機能の設計
セキュリティ機能の実装とテスト
情報セキュリティ面からのレビュー
|
|
| セキュリティ技術 |
アクセス管理技術
暗号技術
認証技術
マルウェア対策技術
攻撃手法
セキュリティ応用システムー署名認証
セキュリティ応用システムー侵入検知システム
セキュリティ応用システムーファイアウォール
セキュリティ応用システムーセキュアな通信技術(VPN ほか)
セキュリティ応用システムー鍵管理技術,PKI など。
セキュリティ応用システムー周辺機器も対象
監査証跡のためのログ管理技術
|
|
| 運用 |
情報セキュリティポリシ
リスク分析
業務継続計画
情報セキュリティ運用・管理
脆弱性分析
誤使用分析
不正アクセス対策
インシデント対応
ユーザセキュリティ管理
障害復旧計画
情報セキュリティ教育
システム監査(のセキュリティ側面)
内部統制
デジタルフォレンジック調査
|
|
| 管理支援 |
不測事態対応計画
業務継続計画に関する知識
潜在的なリスクに関する知識
セキュリティ侵入の発生事例に関する知識,
セキュリティ対策技術と実施事例に関する知識
セキュリティ対策手法のコストに関する知識
|
|
| Webエンジニアセキュリティスキル | ||
| 開発プロセス |
情報システムの脆弱性分析
情報システムの脅威分析
セキュリティ要件定義
セキュリティ機能の設計
セキュリティ機能の実装とテスト
情報セキュリティ面からのレビュー
|
|
| セキュリティ対策 |
DNS に関する対策
ネットワーク盗聴への対策
フィッシング詐欺を助長しないための対策
パスワードに関する対策
WAF によるウェブアプリケーションの保護
携帯ウェブ向けのサイトにおける注意点
IPA「安全なウェブサイトの作り方」を参照
|
|
| 攻撃手法の習得 |
SQL インジェクション
OS コマンド・インジェクション
パス名パラメータの未チェック/ディレクトリ・トラバーサル
セッション管理の不備
クロスサイト・スクリプティング
CSRF(クロスサイト・リクエスト・フォージェリ)
HTTP ヘッダ・インジェクション
メールヘッダ・インジェクション
バッファオーバーフロー
アクセス制御や認可制御不備
|
|
| 管理支援 |
不測事態対応計画
業務継続計画に関する知識
潜在的なリスクに関する知識
セキュリティ侵入の発生事例に関する知識
セキュリティ対策技術と実施事例に関する知識
セキュリティ対策手法のコストに関する知識
その他
|
|
| ソフトウェアエンジニアセキュリティスキル | ||
| 開発プロセス |
情報システムの脆弱性分析
情報システムの脅威分析
セキュリティ要件定義
セキュリティ機能の設計
セキュリティ機能の実装とテスト
情報セキュリティ面からのレビュー
|
|
| セキュアコーディング |
Android ,Java,セキュアコーディング
C/C++ セキュアコーディング
CERT Cセキュアコーディングスタンダード
Java セキュアコーディングスタンダード CERT/Oracle版
|
|
| 攻撃手法の習得 |
クラッキングーバッファオーバーフロー
クラッキングーネットワーク攻撃
クラッキングークライアントへの攻撃
クラッキングーWebアプリへの攻撃
クラッキングーマルウェア対策
マルウェア解析ー動的
マルウェア解析ー静的
Return Into libC攻撃
|
|
| 管理支援 |
不測事態対応計画
業務継続計画に関する知識
潜在的なリスクに関する知識
セキュリティ侵入の発生事例に関する知識,
セキュリティ対策技術と実施事例に関する知識
セキュリティ対策手法のコストに関する知識
|
|
| Level 5 | セキュリティ管理者スキル | |
|---|---|---|
| 戦略・方針の策定 |
基本戦略の策定
情報資産の評価
脅威とリスクの識別
リスクの評価
セキュリティポリシーの策定
|
|
| セキュリティ運用 |
情報セキュリティガバナンス
情報セキュリティの周知と教育
COSOERMフレームワーク
リスクアプローチ
|
|
| 運用確認 |
情報の収集と評価
運用上の問題点整理と分析
技術上の問題点整理と分析
新たなリスクの整理と分析
セキュリティポリシーの更新
|
|
| その他業務項目 |
システム企画立案
システム要件定義・方式設計
IT運用コントロール
システム運用管理
資産管理・評価
事業継続マネジメント
情報セキュリティマネジメント
契約管理コンプライアンス
|
|