2015年09月20日 16:27:46

NHK プロフェッショナル仕事の流儀

録画していて放置してたものを視聴。情報セキュリティの前線で奮闘している方に迫った内容でした

技術者不足の情報セキュリティ業界

昨今はプログラマなども技術者不足になっていると聞きますが、セキュリティエンジニアは特に深刻なようです

自分が考えるセキュリティエンジニア不足の理由としては、

前者に関してはかなり私の偏見が入ってますw セキュリティ自体が少し地味(?)な気もします
そもそも求人サイトなどでの求人もあまりないようも感じますが、そのあたりはどうなのでしょうか。特殊な業界なので紹介などでの入社が多いのでしょうか

後者に関しては↓で

番組内で名和さんも言っていましたが、攻撃するより防御することの方が遙かに難しいのです。防御するには最低でも攻撃方法について知っておかなければなりません

攻撃手法は様々であり、各状況に対応するにはプログラミング言語、OSの知識、ネットワークの知識などを高レベルで習得している必要があります

一方、攻撃側は様々なクラッキングツール、クラッキング手法などが公開されており、特にプログラミングなどに精通していなくても攻撃することが可能です(俗に云うスクリプトキディ)
また、攻撃側は不特定多数に適当に攻撃するだけで成果が上がってしまうのも問題です

防御側の対策は得てして後手に回りがちになっています。企業のサーバなどであればセキュリティパッチ1つを適用するにも、動作テスト、適用対象の台数の多さなどの理由で簡単ではありません

防御に回るだけではやられっぱなしなので、クラッカーの特定というのもセキュリティエンジニアにとって重要な仕事のようです

クラッカーの多くはSNSやコミュニティサイトでクラッキング情報を公開していたり、クラッカー仲間と情報交換をしています

実際にクラッキング情報の公開にFacebookなどが使われることも多いです

こういった情報を元で特定につながることも多いとか。クラッカー目線で考えると、こういう自己顕示欲はデメリットにしかならない気もします

これにはついては今更ですね

番組内で解析されていたマルウェアについてはAndroidが多そうな感じでした
最近はAndroidでの被害が多いのでしょうか?

番組の内容に興味がある方は piyologさんが詳しくまとめてくださっているので、そちらも確認してみてください

IPAの新試験として情報セキュリティマネジメント試験というものが始まるようです

"共通キャリア・スキルフレームワーク(CCSF)レベル2相当"ということで難易度としては基本情報と同程度なのでしょうか
以前にあったセキュアド的なポジションになるのですかね

IPAの試験なのに更新制であると云われてて、これが本当だとしたら受験の動機付けとしてかなりのマイナスポイントになりそうです
実際、セキュリティに関しては日々新しい知識が必要になるので此れは是で正しいのでしょうけど