btzgrp
  • Cisco Jabber のスプリットトンネリング - TechRepublic
Headlines

サイバーセキュリティのプロになる方法:チートシート - TechRepublic

05 mins
サイバーセキュリティのプロになる方法:チートシート - TechRepublic
ロックのコンセプト
画像: マッケンジー・バーク

サイバー犯罪がより巧妙化し、大規模な侵害のニュースがほぼ毎日のようにヘッドラインを飾る中、サイバーセキュリティ専門家の需要が高まっています。Cyber​​security Ventures の 2021 年のレポートによると、世界中で 350 万件のサイバーセキュリティ関連の求人が不足しています。

IBM Security と Ponemon Institute によれば、世界中のデータ侵害の平均コストは約 424 万ドルであるため、これらの役割を担う従業員は企業で重要な役割を果たします。

サイバーセキュリティの仕事は高給を得ることも可能です。米国労働統計局によると、米国の情報セキュリティアナリストの平均給与は10万3,590ドルで、サンフランシスコやニューヨークなどの都市ではさらに高くなります。

訓練を受けたサイバーセキュリティ専門家の不足により、多くの組織がこれらの役割を担う非伝統的な人材を求めています。この分野に関心のある方々がサイバーセキュリティ業界でのキャリアを築く方法をより深く理解できるよう、Kolideの協力のもと、最も重要な詳細情報とリソースをまとめました。Kolideは、Oktaを導入している組織がゼロトラスト・アクセス・モデルを導入し、クラウドアプリのセキュリティを確保するためのデバイストラスト・ソリューションです。

Kolideは、セキュリティ保護されていないデバイスが組織のアプリにアクセスできないようにします。これは、有能で熟練したサイバーセキュリティの専門家を雇用した後、組織が悪意のある攻撃者から守るための最善の防御策です。Kolideの詳細については、下のボタンをクリックしてください。

(: サイバーセキュリティのプロになるためのこの記事は、無料の PDF ダウンロードとしてご利用いただけます。)

参照: ダークウェブ:ビジネスプロフェッショナル向けガイド(無料PDF)(TechRepublic)

エグゼクティブサマリー

  • なぜサイバーセキュリティ専門家の需要が高まっているのでしょうか?ここ数年、サイバー犯罪が急増し、WannaCryなどの大規模なランサムウェア攻撃によって企業のデータが危険にさらされています。あらゆる業界の企業が、自社と顧客の情報を守るために、ネットワークのセキュリティを確保できるサイバー専門家を求めています。
  • サイバーセキュリティの職種にはどのようなものがありますか?サイバーセキュリティ分野でのキャリアは、侵入テスター、最高情報セキュリティ責任者(CISO)、セキュリティエンジニア、インシデント対応者、セキュリティソフトウェア開発者、セキュリティ監査人、セキュリティコンサルタントなど、さまざまな役割を担います。
  • サイバーセキュリティの仕事に必要なスキルは何でしょうか?サイバーセキュリティの仕事に必要なスキルは職種や企業によって異なりますが、一般的にはペネトレーションテスト、リスク分析、セキュリティ評価などが含まれます。Certified in Risk and Information Systems Control (CRISC)、Certified Information Security Manager (CISM)、Certified Information Systems Security Professional (CISSP) などの資格も需要が高く、取得すればより高い給与を得ることも可能です。
  • サイバーセキュリティ関連の仕事が最も活況な市場はどこでしょうか? Apple、ロッキード・マーティン、ゼネラルモーターズ、キャピタル・ワン、シスコといった大手企業は、近年サイバーセキュリティの専門家を採用しています。医療、教育、政府機関といった業界はサイバー攻撃の被害に遭う可能性が高く、これらの分野でITセキュリティ関連の仕事が増加すると予想されます。
  • サイバーセキュリティ専門家の中央値給与はいくらですか?サイバーセキュリティ専門家の中央値給与は職種によって異なります。例えば、米国労働統計局によると、情報セキュリティアナリストの中央値給与は年間103,590ドルです。一方、CISOの中央値給与は、comによると229,010ドルです。サンフランシスコやニューヨークなど、一部の都市では給与が大幅に高くなります。
  • サイバーセキュリティ業界でのキャリアにおいて、面接でよく聞かれる質問とはどのようなものでしょうか?Forresterのアナリスト、ジェフ・ポラード氏によると、質問内容は職種や企業が求める人材によって異なります。入社初期やキャリア初期のポジションでは、より技術的な質問が予想されるでしょう。昇進していくにつれて、リーダーシップ、プログラムの運営、紛争解決、予算編成などに関する質問が増える可能性があります。
  • サイバーセキュリティのキャリアに必要なリソースはどこで見つかりますか? ISACA、ISC(2)、ISSA、SANS Instituteといった国内外の組織では、サイバーセキュリティの専門職に関する情報や、資格取得やトレーニングの選択肢を見つけることができます。また、多くの大学やオンラインコースでも、サイバーセキュリティ関連の学位、資格取得、準備プログラムを提供しています。

参照: TechRepublic のすべてのチートシートと賢い人のためのガイド(TechRepublic)

サイバーセキュリティ専門家の需要が高まっているのはなぜですか?

ここ数年、サイバー犯罪は爆発的に増加しており、Colonial Pipelineへの攻撃、WannaCry、Log4jの脆弱性といった大規模なランサムウェア攻撃により、企業のデータや重要な公共インフラが危険にさらされています。また、IoT(モノのインターネット)の台頭により、新たな脅威ベクトルも生まれています。あらゆる業界の企業は、自社と顧客の情報を守るため、ネットワークのセキュリティを確保できるサイバーセキュリティ専門家を求めています。

ガートナーのITプラクティス担当リサーチディレクター、ウィリアム・キャンドリック氏によると、専門家の採用と維持は「依然として最大の課題」です。「サイバーセキュリティスキルに対する世界的な需要は、従来の資格を持つ人材の供給量をはるかに上回っています。」

2021年に検出された攻撃の数は、2021年1月の550万件から2021年12月の220万件へと着実に減少しました。しかし、カスペルスキーによると、モバイルに対する攻撃は、マルウェアの機能とベクトルの両方の点でより巧妙化しています。

ドレクセル大学のコンピュータサイエンス准教授、レイチェル・グリーンシュタット氏は、コンピュータサイエンスのプログラムへの入学者数もここ数年で飛躍的に増加しており、多くの大学がサイバーセキュリティの専攻や専門分野を追加していると述べた。

追加リソース:

  • 複数のクラウドベンダーからのセキュリティアラートがITプロフェッショナルを圧倒している(TechRepublic)
  • Escobarのモバイルマルウェアが190の銀行・金融アプリを標的にし、2FAコードを盗む(TechRepublic)
  • サイバーセキュリティニュース:LokiLockerランサムウェア、Instagramフィッシング攻撃、CISAからの新たな警告(TechRepublic)
  • BlackCatは、注意すべき最新のランサムウェアグループです(TechRepublic)
  • 機密性の高いモバイルアプリのデータがクラウド上で保護されていない状態で発見される(TechRepublic)
  • サイバー犯罪者はウクライナ支持者を狙っている。安全を保つために何ができるだろうか?(TechRepublic)
  • モバイルマルウェアが増加中:ウイルスや盗難データから身を守る方法を知る(TechRepublic)

サイバーセキュリティの仕事の役割は何ですか?

サイバーセキュリティの仕事は、役職や個々の企業のニーズに応じて、さまざまな職務を伴うさまざまな役割にわたります。

需要の高い職種には、システムやネットワークに侵入し、脆弱性を発見し、組織に報告するか、自らパッチを適用するペネトレーションテスターなどが挙げられます。サイバーセキュリティエンジニアは、開発部門の技術系出身者が多く、コードに深く入り込み、欠陥を特定し、組織のセキュリティ体制を強化する方法を探ります。セキュリティソフトウェア開発者は、設計・開発プロセスにおいて、アプリケーションソフトウェアにセキュリティを統合します。

コンピューターフォレンジックの専門家は、セキュリティインシデント調査を実施し、コンピューター、ネットワーク、データストレージデバイスから証拠にアクセスして分析を行います。セキュリティコンサルタントはアドバイザーとして、個々の企業のニーズと直面する脅威に基づいて、可能な限り強力なセキュリティソリューションを設計・実装します。

チェーンの最上位に位置する CISO は、企業のサイバーセキュリティ戦略を指揮し、最新の脅威に対抗するために継続的に適応する必要があります。

追加リソース:

  • 職務内容: アイデンティティアクセス管理スペシャリスト (TechRepublic Premium)
  • 職務内容: コンピューターフォレンジックアナリスト (TechRepublic Premium)
  • 職務内容: 情報セキュリティアナリスト (TechRepublic Premium)
  • 職務内容: セキュリティ アーキテクト (TechRepublic Premium)

サイバーセキュリティのプロにはどのようなスキルが必要ですか?

サイバーセキュリティ分野で働くために必要なスキルは、職種や勤務先によって異なります。一般的に、サイバーセキュリティ担当者は、ペネトレーションテスト(コンピュータシステム、ネットワーク、またはWebアプリケーションをテストし、攻撃者が悪用できる脆弱性を見つける作業)、リスク分析(企業に対するサイバー脅威を定義・分析し、技術目標と事業目標を整合させるプロセス)、セキュリティ評価(情報システムまたは組織の現在のセキュリティ体制を特定し、改善のための推奨事項を提示するプロセス)などの業務を担当します。

参照: サイバーセキュリティで成功するキャリアを築く方法(無料PDF)(TechRepublic)

サイバーセキュリティ関連の資格は、これらのスキルをはじめとする様々な有用な職務スキルを習得させ、多くの場合、この分野での高収入につながります。Certified in Risk and Information Systems Control (CRISC)、Certified Information Security Manager (CISM)、Certified Information Systems Security Professional (CISSP) などの資格は、高い需要があります。

逸話的に言えば、企業はゼロデイ、ランサムウェア、スピアフィッシングなどのより高度な攻撃に対処できる人材を求めていると、ISACA の理事であるロブ・クライド氏は語った。

報告書によると、企業の約45%が、求職者がサイバービジネスを理解していないと考えていることも明らかになった。「習得すべきスキルの一つは、ビジネスを真に理解し、サイバーがビジネスとどのように関連しているかを理解することです」とクライド氏は述べた。「単に恐怖を煽ったり、悪いことが起こり得ると話すのではなく、『リスクを検討しました。最大の問題はここにあります。私たちが取り組む最優先事項はこれです』と伝えましょう。求職者が理解できるビジネス用語で説明しましょう」

サイバーセキュリティは、技術、人間の行動、金融、リスク、法律、規制に関する知識を必要とする学際的な分野です。サイバーセキュリティ業界の人材の多くは、これらのスキルを活かして他の職種からこの分野に参入し、サイバーセキュリティ分野に活かしています。

「セキュリティ業界に入るには、高度な技術的知識が必要だと思われるかもしれません」と、Offensive SecurityのCEO、Ning Wang氏は述べています。「しかし、私は経験上、そうではないと知っています。優れたサイバーセキュリティ専門家になるには何が必要でしょうか?私自身の観察、そして人々との仕事や交流から、彼らには創造力、好奇心、つまり物事への好奇心が必要だと考えています。そして、最後までやり遂げる粘り強さも必要です。簡単に諦めてはいけません。私たちはそれを「努力する」と言いますが、それは必須です。多くのスクリプトやコードを読み、そして実際にコードを書くので、細部への注意力も必要です。ですから、細部への注意力がなければ、はるかに長い時間がかかります。そして、情熱がなければできません。残念ながら、これは単なる仕事として行うことはできません。ただプレイブックに従っているだけで、できると考えるのは無理です。」

追加リソース:

  • Log4j 事後分析:開発者はソフトウェアサプライチェーンのセキュリティギャップを厳しく検証している (TechRepublic)
  • サイバー犯罪者がクラウドプロバイダーとランサムウェアの被害者を標的にし、DDoS攻撃が拡大(TechRepublic)
  • 大規模な辞任と人事異動:組織をインサイダーリスクから守る方法(TechRepublic)
  • デジタルサプライチェーンリスクは2022年の新たなセキュリティ脅威となる(TechRepublic)
  • 8文字のパスワードを1時間以内に解読する方法(TechRepublic)
  • 安全で安心なクラウド ストレージの頼りになるリソース (TechRepublic)
  • AT&Tがエッジコンピューティングと注意すべきセキュリティリスクを詳細に解説(TechRepublic)
  • 暗号化:ビジネスリーダー向けガイド(無料PDF)(TechRepublic)
  • 中間者攻撃:内部者向けガイド(無料PDF)(TechRepublic)

現在使用されているトップのサイバーセキュリティソフトウェアは何ですか?

サイバーセキュリティ分野で働きたいなら、最も重要なサイバーセキュリティソフトウェアについて知っておく必要があります。まずは、最高のエンタープライズパスワードマネージャー、エンドポイント保護ソフトウェア、そして最高のアンチウイルスソフトウェアについて知っておく必要があります。

参照: すべての管理者が知っておくべき 5 種類のサイバーセキュリティ ツール (TechRepublic)

追加リソース:

  • Malwarebytes vs. ESET:どちらのマルウェア対策ソリューションがあなたに最適ですか?(TechRepublic)
  • Kaspersky vs. Sophos:セキュリティニーズに最適なウイルス対策プログラムの選択(TechRepublic)
  • Trend Micro Endpoint Encryption と Broadcom Symantec Endpoint Encryption の比較 (TechRepublic)
  • Nordlocker vs. VeraCrypt (TechRepublic)
  • Dell Data Protection と Mcafee Complete Data Protection の比較 (TechRepublic)

サイバーセキュリティ関連の仕事の最もホットな市場はどこですか?

世界中のほぼすべての業界の経営幹部は、セキュリティ体制の強化を目指しており、その支援をしてくれる専門家を採用しています。サイバーセキュリティ専門家の需要は増加し続けています。

SonicWallの2022年サイバー脅威レポートによると、2021年に暗号化された脅威の数は167%(1,040万件の攻撃)急増し、ランサムウェアは105%増加して6億2,330万件の攻撃、クリプトジャッキングは19%増加して9,710万件の攻撃、侵入の試みは11%増加して5兆3,000億件、IoTマルウェアは6%増加して6,010万件の攻撃となった。

2021年に減少した唯一のカテゴリーはマルウェア攻撃で、4%減少しました。それでも、SonicWallは2021年に54億件のマルウェア攻撃を記録しており、総攻撃数では2番目に多い攻撃タイプとなりました。

サイバーセキュリティは退役軍人にとっても素晴らしい分野です。「退役軍人は軍隊時代に培ったスキルと経験を民間組織に持ち込んでおり、それらのスキルは容易に応用できます。また、サイバーセキュリティ分野は、他者を助けたいという情熱を民間セクターの環境に活かすことができます」と、PwCのサイバーセキュリティ、リスク、規制担当プリンシパルであるスローン・メンケス氏は述べています。

「チームワークとリーダーシップは、軍隊経験において自然な一部です。これが、軍隊に所属していない人との違いです。退役軍人は皆、リーダーシップはあらゆるレベルで発揮されるものであり、サイバーセキュリティという民間の​​キャリアを通じてこのスキルを磨き続けることを理解しています。」

2021年5月、ガートナーは、リスク管理サービスと情報セキュリティの支出が2021年に1,500億ドルを超え、2020年から12.4%増加すると予測しました。労働市場が逼迫する中、企業が新たな人材の採用に注力する中、いわゆる「大規模退職」が今後数ヶ月で事業運営を複雑化させる可能性が懸念されています。しかし、優秀なセキュリティ人材を引きつけ、採用し、維持するために企業が実行できる戦略は存在します。

サイバーセキュリティの仕事においても多様性は重要です。2019年の(ISC)2の調査によると、専門家の需要を満たすには、世界のサイバー人材を145%以上増やす必要があることが分かりました。

「サイバーセキュリティの仕事を初めて担当した時、同僚から『チームに女性が必要だったから』と言われたんです。彼は私がダイバーシティ採用されたのであって、私の潜在能力や能力、スキルセットが理由ではないとほのめかしていたんです」と、IBMのX-Forceサイバーセキュリティ・インシデント対応コンサルタント、ミーガン・ウェストは語る。「私はずっと若かったのですが、彼は尊敬する年上の人でした。でも、私はそれを挑戦と捉え、情熱を燃やしました。」

セキュリティ運用ソフトウェアプロバイダーのアークティック・ウルフのフィールドCTO、イアン・マクシェーン氏は、無意識の偏見、不十分な職務記述書、セキュリティ関連の仕事に求められるものに関する先入観などが、スキル不足を深刻化させているだけでなく、業界における多様性の不足も引き起こしていると述べた。

マクシェーン氏は、この問題の多くは自ら招いたものであり、組織は誰がその役割を果たせるか、今日のサイバーセキュリティ問題に対処するにはどのようなスキルが必要かという期待を再考する必要があると付け加えた。

元ガートナー社のアナリストでもあるマクシェーン氏は、この業界は「特権と幸運に恵まれた中年の白人によって支配されている」と語った。

特にテクノロジーベンダーは採用基準を「簡単には決めず」、求人情報に「最先端」「ロックスター」「ユニコーン」といった言葉を使う傾向があり、それが偏見を生み出しているとマクシェーン氏は述べた。

この問題を緩和するため、デロイト サイバーは最近、多様なスキルセットとバックグラウンドを持つ女性をサイバー専門職にもっと惹きつけるためのグローバルな啓発キャンペーンを開始しました。22,000人を超えるチームメンバーのうち約25%が女性であり、デロイトのグローバルサイバーリーダーであるエミリー・モスバーグ氏は、サイバーセキュリティ分野における女性の地位向上のためには、社内および業界全体でさらなる取り組みが必要であると認識しています。

追加リソース:

  • 最も高収入なサイバーセキュリティの仕事はどこで見つけられるか(TechRepublic)
  • サイバーセキュリティの仕事を見つける方法(TechRepublic)
  • 2021年に習得すべき、最も急速に成長しているサイバーセキュリティスキル10選(TechRepublic)
  • サイバーセキュリティの仕事はどこにでもあり、非技術系の人材もその仕事に就いている(TechRepublic 動画)
  • サイバーセキュリティ分野で働く人材は世界中で350万人以上必要(TechRepublicビデオ)
  • ビデオ: サイバーセキュリティのキャリアをスタートさせる方法 (TechRepublic ビデオ)

サイバーセキュリティ専門家の平均給与はいくらですか?

サイバーセキュリティ専門家の中央値年収は、職種や企業によって異なります。例えば、米国労働統計局によると、情報セキュリティアナリストの中央値年収は103,590ドルです。一方、Salary.comによると、CISOの中央値年収は229,010ドルです。サンフランシスコやニューヨークなどの都市では、給与が大幅に高くなります。

Cyber​​seek.orgのデータによると、ハーバード・エクステンション・スクールによると、2020年4月から2021年3月の間にサイバーセキュリティ関連の求人は約50万件ありました。そして、資格を持つ人材の需要は今後ますます高まると予想されます。

参照: 最も高収入のサイバーセキュリティ関連の仕事はどこで見つけられるか (TechRepublic)

サイバーセキュリティ分野でのキャリアにおける典型的な面接の質問は何ですか?

ISC(2)のセキュリティ責任者であるチャールズ・ゴーフ氏は、セキュリティ専門家の採用はしばしば困難な仕事になり得ると述べています。「組織の構造によっては、非常に特殊な知識やスキルを求める場合もありますが、多くの場合、求められるのは、様々な技術に精通し、意欲的で探究心があり、誠実な有能な専門家です」とゴーフ氏は言います。「だからこそ、これらの資質を見極めるために、質問内容を工夫することが大切です。また、候補者に考えさせるような、面接前に練習していないような質問をいくつか投げかけるのも良いでしょう。」

質問は職種や企業が求める人材によって異なるとポラード氏は言います。入社時やキャリア初期のポジションでは、より技術的な質問が予想されます。昇進するにつれて、リーダーシップ、プログラムの運営、紛争解決、予算編成などに関する質問が増える可能性があります。

参照: サイバーセキュリティとサイバー戦争:さらに必読の記事(FlipboardのTechRepublic)

候補者の即興思考力を試す最初の質問としては、「ボットネットはどのように構築しますか?」などが挙げられます。この質問では、ボットネットに感染し、制御し、調整する方法をゼロから考えさせられます。つまり、攻撃者の立場に立って考えさせるということです、とゴーフ氏は言います。その後、「ボットネットからどのように防御しますか?」という質問が投げかけられ、別の視点を得ることになります。

ポラード氏によると、最初の面接では、応募者は次のような技術的な質問も受ける可能性があるという。

  • マルウェアがウイルス対策製品による検出を回避する方法にはどのようなものがありますか?
  • クロスサイト スクリプティング (XSS) 攻撃とは何ですか? また、どのように機能しますか?
  • XSS 以外に、Web アプリケーション攻撃の例にはどのようなものがありますか?
  • 中間者攻撃とは何ですか? また、それを防ぐにはどうすればよいですか?
  • TCPとUDPの違いは何ですか?どのようなユースケースでUDPが適しているのでしょうか?

ゴーフ氏によると、応募者は、業界の動向を把握するための次のような質問も受ける可能性があるという。

  • 地元のセキュリティ グループに所属していますか?
  • サイバーセキュリティのニュースをどうやって追いかけていますか?
  • セキュリティに関するどんなポッドキャストを聞きますか?

最初の面接の後、候補者は職務内容に応じて、簡単なものから複雑なものまで、業務を実際に行うための模擬演習に進むことが多いです。雇用主は通常、タスクを完璧にこなせる候補者よりも、意思決定プロセスを説明できる候補者を求めています。

「ログデータを渡して、データの内容について質問するかもしれません。システムからフォレンジックキャプチャを渡して、簡単な調査作業と攻撃者に関する詳細な回答を依頼するかもしれません」とポラード氏は述べた。「開発者であれば、データを解析できるコードを書いてもらうかもしれません。ペネトレーションテスターであれば、基本的なWebアプリケーションを渡して、それを攻撃してもらうかもしれません。」

その後、候補者は最終面接を受け、解決策、理由、方法論を説明する場合があります。

「企業と候補者の双方にとって、これは大変な作業です」とポラード氏は述べた。「山積みの履歴書を精査し、面接する候補者を選び、30~45分の一連の質問に回答、直感、感情の組み合わせに基づいて候補者を選考していくという、従来の面接方法には当てはまりません。」

参照:難しい面接の質問に答える方法: 8つのヒント (TechRepublic)

サイバーセキュリティのキャリアのためのリソースはどこで見つかりますか?

サイバーセキュリティの専門家やこの分野に関心のある人向けに、ISACA、ISC(2)、ISSA、SANS Institute など、国内外の組織がいくつか存在し、これらの組織ではこの職業に関する情報のほか、研究や認定、トレーニング プログラムのオプションも提供しています。

組織内でサイバーセキュリティの責任者に連絡を取り、その人の仕事を追ったり指導を受けたりできるかどうかを検討することもできます。

多くの大学やオンライン コースでも、サイバーセキュリティ関連の学位や認定資格を提供しています。

追加リソース:

  • サイバーセキュリティ:このコースで初心者からエキスパートへ(TechRepublic Academy)
  • Infosec4TC プラチナ メンバーシップ: サイバー セキュリティ トレーニング生涯アクセス (TechRepublic アカデミー)
  • たった30ドルでサイバーセキュリティアナリストになりましょう(TechRepublic Academy)
Tagged:

Related News