教育ベンダが教える
特別企画：セキュリティ技術の学び方

下玉利尚明
2002/10/11

セキュリティエンジニアに必要なスキルとはどんなものだろうか？ また、それをどんな順番で学べば効率的なのだろうか？ そうした当たり前の疑問を、“教えるプロ”であるIT教育ベンダにぶつけ、回答をいただいた。本記事では、そうした貴重な情報を紹介しよう。

■いま、求められるセキュリティエンジニア

　企業のセキュリティ対策には、セキュリティポリシーの策定やリスクの分析から、ウイルスの駆除や不正侵入の防止、システムの脆弱性の発見と修復までと、さまざまな要件が求められている。NimdaやCodeRedに代表されるように、高度で悪質な複合型の不正プログラムが次々に登場し、一方では企業からの個人情報の漏えいが指摘される中で、いま、情報セキュリティを専門的に担当する「セキュリティエンジニア」が脚光を浴びている。

　セキュリティエンジニアの仕事は、セキュアなインターネット、イントラネットの構築、それにかかわるシステムの開発、運用監視システムの構築など多岐にわたる。具体的には、Webサーバ、ファイアウォール、認証やアクセス制御システム、ネットワークを含めたシステムの運用監視システムの構築などが、それに当たるだろう。

　インターネットというオープンなネットワークがすでに社会インフラにまで成長してきた現在、情報セキュリティの問題は必ず付いてまわる。インターネットがインフラとして機能している現在、今後もセキュリティエンジニアに対する需要、そして、その市場価値は急激に高まっていくものと予測される。

■セキュリティエンジニアは開拓者

　IT業界は3カ月が他業界の1年に当たるといわれるほど、変化の激しい世界である。その中にあってさらにセキュリティの世界は、「1日が他業界の1年に当たる」とされるほど、技術が激変する別世界である。言葉を変えれば、「自分の前を歩く人がいない」状態なのである。併せて、ほかのITエンジニアと比べて比較的新しいジャンルとされるセキュリティエンジニアには、確固たるスキルマップや体系的な学習方法が用意されているわけではない。先輩エンジニアの背中を追いかけることもできない。常に自分が先陣を切る、開拓者としての気概が必要とされている。

　だからこそ、いま、セキュリティエンジニアになるために身に付けておくべきスキル、知識を明確にしておきたい。

グローバル ナレッジ ネットワーク ラーニングソリューション本部 ネットワーク・グループ コースディレクタ 吉村万砂子氏

　情報セキュリティに関するトレーニングコースを開設しているグローバル ナレッジ ネットワーク ラーニングソリューション本部 ネットワーク・グループ コースディレクタ 吉村万砂子氏は、「セキュリティエンジニアに求められるスキルは、管理者、現場のエンジニアなどでそれぞれ異なる」と指摘する。

　情報セキュリティの管理者には、セキュリティポリシーの策定やリスク分析というように、社員に何を徹底させるかを明確化する知識とスキルが求められる。一方、現場でのエンジニアレベルでは、ネットワーク、サーバ、OS、通信、暗号化など、さまざまな分野での深い知識が求められる。併せて、「セキュリティエンジニアは、それぞれの技術だけではなく、全体的なポリシーも理解し、そのポリシーの中で技術がどういった位置付けになるかも把握できなければならない」（吉村氏）という。

　富士通ラーニングメディア 研修事業部 研修サービス部の先端技術・セキュリティ研修担当の高倉雅則氏は、セキュリティエンジニアに必要なスキルについて、「ネットワーク技術、インターネット技術、OS技術の3本柱の理解が不可欠。3本柱が基礎となり、その上に初めてセキュリティ技術が乗る」と、幅広い知識とスキルが求められることを強調する。

図1　ネットワーク技術、インターネット技術、OS技術の基盤の上にセキュリティ技術がある

　2人の話からも明らかなように、セキュリティエンジニアになるには、ネットワーク、インターネット、OS、サーバなどに関する、幅広く、しかも深い知識とスキルが求められているのである。中でもネットワークに関しては、TCP/IPからセキュアなVPNまで、基礎の基礎から応用までの確固たる知識が必要となる。

富士通ラーニングメディア 研修事業部 研修サービス部 先端技術・セキュリティ研修担当 高倉雅則氏

■教育ベンダの考えるスキルアップとは？

　それでは、教育ベンダはセキュリティのトレーニングコースとして、どのようなスキルアップのパターンを用意しているのだろうか。グローバル ナレッジは、ネットワークセキュリティ管理者として、「Windows 2000管理者」「Cisco関連」「CheckPoint関連」、それに「VeriSign関連」の4種類の製品に関連したトレーニングコースを用意している（図2）。

図2　グローバルナレッジの教育ガイドによると、ネットワークセキュリティの受講コースとしては、主にWindows 2000管理者、シスコ関連、チェックポイント（チェックポイント・ソフトウェア・テクノロジーズ）関連、ベリサイン関連が用意されている

　製品スキルも非常に重要だと吉村氏は説く。「その分野で標準的な製品知識があれば、使うことも多いだけではなく、異なる製品でも応用が利く」からだという。また、Windows系の知識は欠かせないという。どんなシステムでもクライアントマシンまでを考えると、Windows系のマシンがないという状況は考えにくいからだという。

　グローバル ナレッジでは、これらの製品トレーニングコースの基礎に当たるコースとして、ベンダに依存しないトレーニングコースである「TCP/IPネットワークセキュリティの設計と運用」（3日間）と「TCP/IPセキュア通信とVPN」（3日間）を用意している。なお、セキュリティの基礎トレーニングを受講する前提となるネットワーク関連のトレーニングコースも用意されている（図3）。

図3 グローバル ナレッジで用意されているベンダの製品に依存しないネットワークとセキュリティの基礎コース。これらを理解したうえで、前述した4つの講習を受講すればいい

　「TCP/IPは『つながることが当然の技術』。当然、セキュリティは弱いのです。徹底的に理解しておくことが必要となります」（吉村氏）という言葉どおり、セキュリティの基礎となる知識の徹底を図っている。中でも「TCP/IPセキュア通信とVPN」（表1）では、VPNのアーキテクチャ、暗号化のアーキテクチャをはじめ、使用する暗号化プロトコルによってネットワークパフォーマンスがどのように影響を受け、それをどのように改善するかまでを学習する。

トレーニング内容 　セキュア通信の脅威 　セキュア通信の目標 　セキュア通信の構成要素 　セキュア通信のアーキテクチャ 　安全なWeb通信 　安全な電子メール通信 　安全なネットワーク通信 　トンネリングとラベルスイッチング このコースで学習するプロトコル（トンネリングプロトコル含む） 　SSL、TLS、S/MIME、PGP、PPTP、L2F、L2TP このコースで学習するセキュアネットワークを実現するための技術 　VPN、IPSec、Kerberos、SSH、PGPNet

表1　グローバル ナレッジの「TCP/IPセキュア通信とVPN」のトレーニング内容

　一方、ニーズの高いWindows 2000に関連したコースは、ネットワーク管理者向けとドメイン管理者向けに大きく分けられている（図4）。

図4　Windows 2000のネットワーク管理者とドメイン管理者向けの講習

　Windows 2000に関連した学習方法について吉村氏は、「『Microsoft Windows 2000 ネットワークインプリメンテーション』はしっかりと押さえておくべき項目です。併せて、『Microsoft Windows 2000 ディレクトリサービス インプリメンテ-ション』についても理解しておかないとセキュアなネットワークを設計することはできません。また、それらの個々の技術が実際のサービスにどう組み合わせられるのかなど、個々の技術を押さえつつ、統合的に理解することが求められています。Windows NTからWindows 2000への移行が進められているネットワークであれば、それによって脆弱化するポイントはどこか、そのリスクをどう回避すべきかも問題になります。個々の技術についての深い知識、幅広い視野が求められます」と、幅広く深い学習の重要性を強調している。

　Windows 2000では、ネットワークやセキュリティに関連するさまざまな最新の標準が採用されている。これらを学習することで、効率よく最新の国際標準技術が学べることも、このコースの特徴だという。

　一方、富士通ラーニングメディアは、セキュリティエンジニアのための主要コースとして、「ネットワーク技術」「インターネット技術」「OS技術」「セキュリティ技術」、それに「セキュリティコンサルティングスキル」の5ジャンルに分け、スキルパスを明確にしている（図5）。

図5　富士通ラーニングメディアが用意しているセキュリティエンジニアのためのスキルパス。実際はさらに詳細な講習メニューが用意されている（後述）

　「ネットワーク、インターネット、OSに関するスキルは大前提。その基礎の上にセキュリティ技術を身に付けてセキュリティエンジニアに、さらに人的スキルを習得しセキュリティコンサルタントへというスキルパスを提案しています」（高倉氏）。富士通ラーニングメディアのコースの特徴は、セキュリティエンジニアとなるための「セキュリティ技術」と、さらにステップアップしたセキュリティコンサルタントとなるためのコースを用意しているところだ。セキュリティコンサルティングスキルのコースとしては、「財団法人 日本情報処理開発協会認定 ISMS審査員研修コース」（5日間）、「ISMS構築実践コース」（2日間）などが用意されている。

■スキルパスの先にあるヒューマンスキル

　「コンプライアンスを含めたセキュリティコンサルティング能力は、これからのセキュリティエンジニアにとって必須のスキルといえるでしょう。コンプライアンスの知識は、コンサルタントだけではなくエンジニアにも必要となります。上級のセキュリティエンジニアなら、コンプライアンスを踏まえたうえでセキュアなシステムの提案ができなければならない」（高倉氏）と、ネットワークやインターネット、OSといった基礎技術＋個別製品のスキルだけではなく、ヒューマンスキルの重要性が高まっているとした。

　どんなエンジニアにとっても避けられないのが、ヒューマンスキルのようだ。特に上級エンジニア、コンサルタントにとっては「必須」という。

　なお、同社では前述した5つのスキルパスが用意されているが、実際のセキュリティ技術に関連する講習は、「インターネットセキュリティ」「ファイアウォール」「OSセキュリティ」「JIPDEC認定ISMS審査員研修コース」「標準化」「PKI・電子政府」、それに「ISS社認定コース」の7つに分かれている。高倉氏にいわせると、「これでも全体の一部」という。これらのコースをさらに、初級、中級、上級に分け、それぞれの分野でレベルアップを図れるようにしているという。参考までに、インターネットセキュリティ、ファイアウォール、OSセキュリティについての受講パターンを掲載しておく（図6）。

図6　富士通ラーニングメディアが提供しているセキュリティ関連のうち、インターネットセキュリティ、ファイアウォール、OSセキュリティの受講コースパターン。初級から中級、上級とスキルアップを図れるようになっている

　さて、最後に、グローバル ナレッジの吉村氏と富士通ラーニングメディアの高倉氏に、セキュリティエンジニアを目指すうえで取得しておくべき資格について伺った。2人ともに、「個々の製品を導入するならベンダ資格は必要になる。そのほかに、お薦めは『情報セキュリティアドミニストレータ』の資格です」という答えだった。

　深い基礎知識と個別製品のスキル、さらには、セキュリティ技術、コンサルティングスキルまで求められるセキュリティエンジニア。乗り越えなければならない壁は厚く高いが、それだけに挑戦のしがいもあるといえるだろう。

セキュリティ教育トレンド 　今回の取材の中で、セキュリティに関連した教育などで受講者が増えているのは、「セキュリティポリシー」関連だという。特に多いのは、政府や地方自治体のほか、システムを納めている企業などの関係者が受講しているようだという。もちろん、一般の企業からの受講者も多くなっているとのこと。しかし、セキュリティポリシーの重要性には、どんな組織も気付き始めたが、受講を契機にセキュリティポリシーを実際に策定する、といった組織はまだまだ少ないようだのこと。 　なお、グローバル ナレッジでは通信関連のセキュリティだがと断ったうえで、受講者が目立って増えている講座の1つにVPN関連を挙げる。xSP関連のエンジニアやVPNを利用する企業のエンジニアなどが受講しているという。

---

＠自分戦略研究所のセキュリティ関連記事一覧

セキュリティエンジニアになるための条件（前編） セキュリティエンジニアになるための条件（後編） セキュリティ技術の学び方 不正侵入検知のスペシャリストになるには 情報セキュリティ・コンサルタントになるには ファイアウォール・スペシャリストになるには こんなセキュリティエンジニアが欲しい ソリューションを提供できるセキュリティエンジニア 2、3年後の自分を常にイメージせよ！ シスコの新しいセキュリティ資格、CCSPとは何か？