これから目指す人、キャリアアップを考えている人に
特別企画：セキュリティエンジニアになるための条件（前編）

ネットマークス
内田昌宏
2002/9/27

セキュリティエンジニアを目指す人が多くなったという。だが、新しい分野ということもあり、どんな業務があるのか、どんな技術やキャリアを必要とされるのか、どんなキャリアアップがあり得るのかが分かりにくいという声を聞く。そこで、ここでは筆者がシステムインテグレータとしての立場から、そうした疑問に答える。

前編 1 セキュリティへの“思い”を込めて 2 セキュリティの定義と技術 3 必要な前提知識 後編 4 職種と求められる能力 5 キャリアアップの考え方 6 資格と人事制度 7 セキュリティエンジニアの使命

1 セキュリティへの“思い”を込めて

　SE（システムエンジニア）という呼称が一般的になったからか、その呼称の代わりに現在では“ITエンジニア”または“ITプロフェッショナル”という名称がよく使われる。SEという言葉はいろいろな意味で使用されていて、解釈も人それぞれである。

　いまや新卒学生の就職面談では、技術系志望の学生が、一様に「SE志望です」という。「なるほど。では、あなたが考えるSEとはどんなイメージですか？」と聞くと、しばらく考えた後に、「お客さまのシステムを開発する仕事です」と答える人が多い。

　一方、IT分野での経験を重ねて、中堅SEからマネージャへとステップアップしていく過程において“自分はどのようなエンジニアを目指していくのか”“そのためにどのような技術を磨き、技術スキルの向上を図ればいいのか”ということに、明確な答えを見つけられないでいるSEも多いのではないだろうか。

　それぞれの技術分野が専門化してきているため、SEの職種も枝分かれしてきている。この特集では、セキュリティエンジニアの分野で求められるスキルやキャリア、ポテンシャルを、私自身の“思い”を含めて述べてみることにする。

　なお、私自身はシステムインテグレータ（以下、SIer）に身を置いているので、SIer（ユーザーの要望に合ったベストソリューションを提供する立場）としての側面から記述していることを、ご了解いただきたい。

2 セキュリティの定義と技術

■セキュリティの定義

　“セキュリティ”という言葉は、考えてみれば非常にあいまいである。そこで最初にセキュリティをより厳密に定義してみよう（図1）。

図1　セキュリティの定義

ネットワークセキュリティ
　ネットワークシステムに付随する電子データを対象とした技術的なセキュリティ対策を指す。対策の対象には、サーバやパソコン、ファイアウォール、電子メールやWebサービスなどがあり、製品導入とシステム構築で技術的にセキュリティを高めることを目的とするが、製品導入に伴い発生するセキュリティパッチの適用や、定期的なバックアップなどの運用管理も含まれる。なお、セキュリティマシンルームの設置や施錠、入退室管理など、設備面でのセキュリティ対策を含めて考えることもあるが、物理セキュリティとして区別する場合も多い。

情報セキュリティ
　情報の対象をすべての情報伝達／蓄積メディア（紙：印刷物やメモなど、人間：おしゃべりや記憶など、そのほか：電話やFAXなど）へ、人の対象を社員だけでなく、情報システムを利用するすべての人（契約社員、派遣社員、アルバイトなど）や事務所に出入りするすべての人（清掃員、警備員、宅配業者など）へと広げて、行動規範を含めた運用面を徹底することで、総合的にセキュリティを高めようとすることを指す。

　このように“○○セキュリティ”と冠を付けることで、対象を明確に表現できると考えている。ちなみに、IT分野のSIerがビジネスにしているのは、主に“ネットワークセキュリティ”の分野である。しかしセキュリティを検討する場合には、情報システム個々の状況に応じて、“保護すべき資産”と“資産特有の脆弱性”“資産に対する脅威”を分析し、それによって生じると予想されるリスクと、そのリスクを減らそうとする所有者のポリシーとの間で、妥協点となる対策手段を、経済的に納得のいく範囲で検討する必要があるため、SIerにも“情報セキュリティ”まで範囲を広げたビジネス展開が要求されている。

■ネットワークセキュリティ技術

　ネットワークセキュリティにおける技術的な対策を、その機能別に6階層に分類した（図2）。

図2　ネットワークセキュリティ技術の分類

データ保護
　ウイルス対策を指す。インターネットから侵入するウイルスをインターネットゲートウェイで検知・駆除する。併せてファイルサーバやパソコン端末レベルでも検知・駆除する方法が一般的。最近のウイルスの性格上、外部からの侵入だけでなく、外部への拡散を防ぐことにも考慮が必要となる。

通信規制
　代表的なものはファイアウォールやルータなどでのフィルタリングだ。組織内ネットワークのアクセス経路指定も含まれる。ファイアウォールはハードウェアと一体となったアプライアンス型が主流である。

ユーザー認証
　ネットワークやサーバにアクセスする際の本人性の確認手段のこと。一般にはID／パスワードによって本人確認を行うが、市場ニーズの多様化に伴い、ワンタイムパスワード、電子証明書、さらには指紋などのバイオメトリクス認証へと技術も進化してきた。

特権定義
　認証（Authentication）によって確認された利用者を識別して、アクセス権限の制御を行い、さらに本人が持つ権限に応じてデータへのアクセスやアプリケーションのサービスを提供する認可（Authorization）の対策を指す。キーワードはシングルサインオン。内部セキュリティ向上には必須の技術だ。

暗号化
　IPsec技術を使ったVPN（Virtual Private Network）が代表的。最近では拠点間VPNと併せて、ADSLを使ったモバイルVPNが話題。また、ファイル暗号化など、機密漏えい対策としての製品およびサービスも含む。

監査
　導入した製品自体に設定ミスがないか、あるいは利用者が情報システムをルールどおり使用しているかなどを監視し、監査証跡を記録する製品およびサービスを指す。各種ログ（ファイアウォール、ファイルサーバ、アプリケーションなど）の集計・分析、システムの脆弱性診断、不正アクセス検知（IDS：Intrusion Detection System）、電子メールの監視、データファイル一貫性検証などが含まれる。

　ネットワークセキュリティは、ネットワーク技術をベースとして成り立っている技術である。このため、TCP/IPなどネットワーク基本技術のほか、UNIXやWindowsといったOS技術、sendmailやDNS、Webなどのインターネットサービス技術、さらに必要に応じてデータベースなどのミドルウェア技術など、幅広い技術が要求されている。

■情報セキュリティ技術

　情報システムにおけるセキュリティとは、いうまでもなく“安全な情報システム”を指す。そこで組識内の情報システム、および情報システムを使って作成・蓄積された情報を、健全かつ正確に維持することを考えると、セキュリティの目的は以下の3つに分類することができる。

機密性（Confidentiality）……情報が正当な権利を持たない者に漏えいしないこと
完全性（Integrity）……情報が安全かつ一貫していること
可用性（Availability）……期待した期間、システムが稼働し利用可能なこと

　これら3つの目的を、英語の頭文字を取って“セキュリティのCIA”と呼ぶことも多い。最近では、ユーザーニーズや技術動向の多様化により、さらに以下の要素を加えることもある。

確実性（Authenticity）……情報の作成者や送信者が本物であることを保証すること
責任性（Accountability）……システムが“いつ”“だれに”利用されたかを追跡できること
プライバシー（Privacy）……情報やサービスの利用が、他人に観察されないようにすること

　電子商取引、電子決裁、著作権管理などの新しい応用分野が拡大するに伴い、信用確保のため、セキュリティが中心的な役割を果たす。従って上記の目的を実現するためには、2-2で述べたネットワークセキュリティ技術による対策に加えて、運用管理面でのマネジメントが欠かせない。つまり、企業の事業戦略に基づく情報化戦略を立案し、Plan−Do−Check−Actionといったシステムのライフサイクルに沿ったトータル的なセキュリティ・マネジメントが要求されているのである（図3）。

図3　セキュリティ・マネジメント

　これにこたえるためには、ネットワークシステムを含む社内情報システムを円滑かつ安全に運用するうえでの指針が必要であり、「何を」「どのように」「どの程度」実施するのか、目標と運用ルール（安全対策基準および利用規範）を明確に表明したものとして“セキュリティポリシー”が最初の出発点となる（図4）。

図4　セキュリティ対策のステップ

　セキュリティポリシーを策定するためには、情報システムおよび運用管理の現状評価、リスクアセスメントといった手順が必要であり、BS7799 part2でも、ISMS（Information Security Management System）として、そのステップが示されている（図5）。

図5　BS7799 part2 によるISMS

　このようにセキュリティ対策においては、ピンポイントでのシステム導入ではなく、トータルなセキュリティ・マネジメントが要求されている。しかしこれまでのセキュリティ対策においては、以下のような問題点が指摘されてきた。

投資対効果の問題
・ユーザー自身が情報資産の価値、リスクの大きさ、対策の有効性を適切に把握していない
・担当者の趣味、ベンダのいいなりの結果としての過剰投資

セキュリティ意識の問題
・経営層の参画がない
・セキュリティ管理担当者（セキュリティ技術者）の不足、利用者の意識の低さ

セキュリティ・マネジメントの問題
・導入だけで精いっぱいで、しかもピンポイントでの対策
・Plan−Do−CheckーActionのサイクルが維持できていない
・関係する当事者間でのコミュニケーションギャップ

　従って、セキュリティ技術者はこのような問題に正面から取り組むため、現状評価／リスク分析などを含むコンサルティング技術、セキュリティ監査技術など、幅広い知識と経験および問題解決能力が要求されている。

3 必要な前提知識

■セキュリティ技術要素

　主なセキュリティ技術要素を以下の表3に列挙するが、前提知識としてOS／ネットワークの技術が必須である。

セキュリティ技術要素 内容 ファイアウォール パケットフィルタリング、ステートフルパケットフィルタリング、アプリケーションゲートウェイ、Proxy、DMZ、ポート番号、プロトコル、NATなどのDNS、sendmail、SMTP、http、ftpなどインターネットサービス 暗号 　公開鍵暗号、秘密鍵（共通鍵）暗号、VPN、IPsec、RSA、DES、PGP、IKE、SKIPなど 認証・認可 PAP、CHAP、RAS、RADIUS、PKI、X.509、CPS、SSO、ICカード、バイオ認証など 運用管理 ディレクトリ、DSP、LDAP、X.500など OS UNIX、Windowsなど データリンク Ethernet、TokenRing、FDDI、ATM、PPP、DLSw、xDSL、100TX/FX、GigaEther、ATM、WDM、STP（Spanning Tree Protocol）、LAN Emulation、VLANなど ネットワークプロトコル IP、IPX、AppleTalk、SNA、RIP、OSPF、BGP4、IGRP、VRRP、IPv6、マルチキャスト、IGRP（含むEIGRP） ネットワークサービス L4〜L7Switch、Webキャッシュ、QoS、ネットワーク運用管理、VoIP、DHCP、画像伝送方式（JPEG、MPEG1／2／4、H323など）、RMON、SNMPなど WANサービス ISDN、FrameRelay、ATMメガリンク、デジタル専用線、IP-VPN（MPLS）など

主なセキュリティ技術要素とその内容

■標準的なガイドラインについて

　セキュリティに関する標準的なガイドラインには、以下のようなものがあり、特にセキュリティのコンサルタント業務を行おうとした場合には必須の知識である。コンサルタントでなくても、少なくとも各ガイドラインの概要や目的くらいは知っていてほしい。

BS7799（ISO/IEC 17799）
　DTI（英国貿易産業省）およびBSI（英国産業規格協会）により作成されたセキュリティ・マネジメント規格（A Code of Practice for Information Security Management）。

　BS7799は、以下のものから構成される。

part 1……情報セキュリティ管理実施基準＝Code of practice for information security management＝標準行動規約、情報システムの安全対策を指導
part 2……情報セキュリティ管理システム仕様＝Specification for information security management systems＝情報セキュリティ・マネジメントのための枠組み、目的などを指定

ISO/IEC 15408
　情報処理製品についてのセキュリティ要件の規格で、システムおよびプロダクトに対するセキュリティ評価基準などに関する国際標準（Evaluation Criteria for IT Security）。

ISO/IEC 15408は、以下のもので構成される。

part1……概説と一般モデル（Introduction and General Model）
　　　　　　　・セキュリティ評価の背景、評価のアプローチ
　　　　　　　・セキュリティ基本設計書（ST）の仕様
　　　　　　　・セキュリティ要求仕様書（PP）の仕様

part2……セキュリティ機能要件（Security Functional Requirements：11分類）
　　　　　　　・脅威に対する対抗方針を実現するために必要な機能要件
part3……セキュリティ保証要件（Security Assurance Requirements：10分類）
　　　　　　　・正確に実装されていることを確認する要件
　　　　　　　・評価保証レベルの規定（EAL1〜7）

　ほかにISO/TR13335（GMITS）＝ITセキュリティ管理ガイドライン（Guideline for Management of IT Security）や、金融機関などのコンピュータシステムの安全対策基準（FISC）などもあるので、必要に応じて参照していただきたい。

■IT関連の法律・制度について

　インターネットの爆発的な普及により、IT関連の法改正や新規立法が急速に行われており、セキュリティを考えるうえで無視できないものになっている。

不正アクセス禁止法＝不正アクセス行為の禁止等に関する法律＝（2000年2月13日施行）
　不正アクセス行為の禁止、処罰／不正アクセス行為を助長する行為の禁止、処罰／アクセス管理者による防御措置／都道府県公安委員会による援助などを規定している。

電子署名法＝電子署名及び認証業務に関する法律（2001年4月1日施行）
　電子署名が手書きの署名や押印と同等に通用する法的基盤で、GPKI（Government PKI：政府認証基盤）のベースとなっている。また、認証業務のうち一定の水準を満たすものは、国の認定を受けることができる制度。

個人情報保護法＝個人情報の保護に関する法律（2003年施行予定）
　個人情報の保護や管理を定め、情報漏洩を防ぐための法律。企業に「個人情報の安全管理に必要かつ適切な措置を講じる」義務を課すもので、不適切な取り扱いで顧客情報などが流出した場合、不正行為として損害賠償の責任が生じる可能性が高い。

プライバシーマーク制度
　個人情報の取り扱いについて適切な保護措置を講ずる体制を整備している民間事業者などに対し、その旨を示すマークを付与し、事業活動に関してプライバシーマークの使用を認容する制度。

ISMS適合性評価制度
　廃止された“情報処理サービス業情報システム安全対策実施事業所認定制度”に代わる民間ベースによる第三者認証制度。国際標準ISO/IEC 17799:2000をベースとした情報システムのセキュリティ管理に関する適合性を評価・認定する。

筆者プロフィール

内田昌宏（うちだまさひろ）●株式会社ネットマークス勤務。ネットワークセキュリティ事業部長ネットワークセキュリティおよび情報セキュリティのシステムインテグレーションおよびコンサルティングに従事している。技術士（情報工学部門）、日本ネットワークセキュリティ協会（JNSA）幹事

1/2

後編

---

＠自分戦略研究所のセキュリティ関連記事一覧

セキュリティエンジニアになるための条件（前編） セキュリティエンジニアになるための条件（後編） セキュリティ技術の学び方 不正侵入検知のスペシャリストになるには 情報セキュリティ・コンサルタントになるには ファイアウォール・スペシャリストになるには こんなセキュリティエンジニアが欲しい ソリューションを提供できるセキュリティエンジニア 2、3年後の自分を常にイメージせよ！ シスコの新しいセキュリティ資格、CCSPとは何か？