• 2020.12.21
  • サイバーセキュリティ

NICE フレームワークのご紹介

サイバーセキュリティコラム~第2回~

サイバーセキュリティ人材育成のフレームワーク

今回も、サイバーセキュリティの専門家であり、かつ当社のトレーニングコースの講師も担当いただいている、クラウドセーフ株式会社 代表取締役 平原伸昭氏によるコラムをお送りします。今回は、サイバーセキュリティ人材育成のフレームワークである、NIST SP800-181(以下、NICE フレームワーク)について紹介します。サイバーセキュリティ人材育成およびご自身のスキルアップのヒントにしていただけたら幸いです。

セキュリティに関する7つの主な職種

2017年に公開されたNICE フレームワークは、個人およびチームがサイバーセキュリティに関する業務を遂行するために必要なタスク、知識、およびスキルを定義したもので、このフレームワークを使って、組織はサイバーセキュリティ業務を遂行するための従業員の育成に役立てることができます。
(詳しくは、NICE Framework homepage(外部リンク)を参照してください)

NICE フレームワークでは、主な職種が以下の7つの「カテゴリー」にわけられています。

  • セキュア開発などを推進する人材(Securely Provision)
  • セキュリティサービスなどを運用する人材(Operate and Maintain)
  • セキュリティマネジメントシステムの整備や監査などをする人材(Oversee and Govern)
  • インシデントレスポンスなどを実施する人材(Protect and Defend)
  • フォレンジックなどを実施する人材(Analyze)
  • セキュリティに関する各種研究などをする人材(Collect and Operate)
  • サイバー犯罪、サイバー攻撃の調査分析などを行う人材(Investigate)

そのカテゴリー内で、さらに複数の「専門分野」にわけられ、各々の専門分野が担当する「業務や役割」、業務や役割を遂行するために「必要な知識、技術、能力」が順を追って定義されているため、組織に必要な人材(個人目線で言うとなりたい職種)には、どのような知識、技術、能力が必要か理解できる形となっています。
(詳しくは、NICE Framework Supplemental Material(外部リンク)のREFERENCE SPREADSHEETを参照してください)

育成計画とも連携しやすい

NICE フレームワークの良い所は、実際の育成計画とも連携しやすい点が挙げられます。それは、SANSやCompTIA、EC-Councilといったベンダーの認定資格とのマッピングも公開されている点です。また、各トレーニングベンダーも、本フレームワークに沿った認定資格や対応トレーニングを公開しています。
育成担当者もしくはセキュリティエンジニアを目指す方にとっては、人材育成計画やスキルアップパスを検討する際の参考資料としてご活用できるのではないでしょうか。
(詳しくは、Education and Training Provider Resources(外部リンク)を参照してください)

次回は、7つのカテゴリーの中で、「インシデントレスポンスなどを実施する人材(Protect and Defend)」について少し掘り下げていきます。

2002年大手セキュリティメーカーに転職後、18年以上、サイバーセキュリティ分野に従事し、マルウェアに関する動向や解析、サイバー攻撃、サイバー犯罪時のコンピュータ等に残された痕跡情報調査の分野(フォレンジック)を担当。その中で、多くの政府・企業・団体におけるサイバーセキュリティ事故対応を経験。ITをもっと安全、安心に利用することで企業成長に貢献したいという想いから2017年3月クラウドセーフ株式会社を創業。現在は、損害保険会社、上場企業、大手製造業、スタートアップ企業等のサイバーセキュリティ技術活用に関する技術顧問やセキュリティトレーニングの講師として活動。

【保有資格】
GIAC Certified Forensic Analyst
CHFI (Computer Hacking Forensic Investigator) 他

平原氏の主な活動等の詳細はこちら(外部リンク)