新着情報

【CAPP Partnerより/サイバーセキュリティコラム】NICEフレームワーク活用のヒント(トップアウトヒューマンキャピタル)

2021/02/26

topout_logo.jpgCompTIA Goldパートナー「トップアウトヒューマンキャピタル」でPenTest+やCASP+の講師も担当しているサイバーセキュリティアドバイザーより、人材育成やスキルアップのコラムをお届けします!

Top Out Human Capital(トップアウトヒューマンキャピタル)
https://www.topout.co.jp/

筆者紹介:

平原 伸昭(ひらはら のぶあき)クラウドセーフ株式会社代表取締役

2002年大手セキュリティメーカーに転職後、18年以上、サイバーセキュリティ分野に従事し、マルウェアに関する動向や解析、サイバー攻撃、サイバー犯罪時のコンピュータ等に残された痕跡情報調査の分野(フォレンジック)を担当。その中で、多くの政府・企業・団体におけるサイバーセキュリティ事故対応を経験。ITをもっと安全、安心に利用することで企業成長に貢献したいという想いから2017年3月クラウドセーフ株式会社を創業。現在は、損害保険会社、上場企業、大手製造業、スタートアップ企業等のサイバーセキュリティ技術活用に関する技術顧問やセキュリティトレーニングの講師として活動。

【保有資格】
GIAC Certified Forensic Analyst、CHFI (Computer Hacking Forensic Investigator) 他

平原氏の主な活動等の詳細はこちら


2017年に公開されたNICE フレームワークは、個人およびチームがサイバーセキュリティに関する業務を遂行するために必要なタスク、知識、およびスキルを定義したもので、このフレームワークを使って、組織はサイバーセキュリティ業務を遂行するための従業員の育成に役立てることができます (詳しくは、※1 NICE Framework homepage (web)を参照してください)。

NICE フレームワークでは、主な職種が以下の7つの「カテゴリー」にわけられています。

 a. セキュア開発などを推進する人材(Securely Provision)
 b. セキュリティサービスなどを運用する人材(Operate and Maintain)
 c. セキュリティマネジメントシステムの整備や監査などをする人材(Oversee and Govern)
 d. インシデントレスポンスなどを実施する人材(Protect and Defend)
 e. フォレンジックなどを実施する人材(Analyze)
 f. セキュリティに関する各種研究などをする人材(Collect and Operate)
 g. サイバー犯罪、サイバー攻撃の調査分析などを行う人材(Investigate)

そのカテゴリー内で、さらに複数の「専門分野」にわけられ、各々の専門分野が担当する「業務や役割」、業務や役割を遂行するために「必要な知識、技術、能力」が順を追って定義されているため、組織に必要な人材(個人目線で言うとなりたい職種)には、どのような知識、技術、能力が必要か理解できる形となっています
(詳しくは、※2 NICE Framework Supplemental MaterialのREFERENCE SPREADSHEETを参照してください)。

NICE フレームワークの良い所は、実際の育成計画とも連携しやすい点が挙げられます。それは、SANSやCompTIA、EC-Councilといったベンダーの認定資格とのマッピングも公開されている点です。また、各トレーニングベンダーも、本フレームワークに沿った認定資格や対応トレーニングを公開しています。

育成担当者もしくはセキュリティエンジニアを目指す方にとっては、人材育成計画やスキルアップパスを検討する際の参考資料としてご活用できるのではないでしょうか
(詳しくは、※3 Education and Training Provider Resourcesを参照してください)。

次回は、7つのカテゴリーの中で、「インシデントレスポンスなどを実施する人材(Protect and Defend)」について少し掘り下げていきます。

※1 NICE Framework homepage (web)
※2 NICE Framework Supplemental Material
※3 Education and Training Provider Resources

(本コラムは、トップアウトヒューマンキャピタルが配信するメールニュース掲載のコラムを一部編集の上掲載しています。)