色を使ってセキュリティチームの性質を説明することがよくあります。
例えば、攻撃技術(Offensive Technology)を専門とするチームをRed Teamと呼び、一方、セキュリティ監視やインシデント対応を行うセキュリティ運用チーム(Security Operation)のことをBlue Teamと呼びます。
また、最近では両方の観点を知り、各チームの知見を相互に生かすチームをPurple TeamとかPurple人材と呼ばれるようになりました。
今回は、色を基軸にセキュリティ人材の今後について考えてみたいと思います。
"Orange is the New Purple"
Black Hat USA 2017での講演『Orange is the New Purple』では、開発チームをYellow Teamと定義して、DevSecOpsの流れを踏まえ、Orange TeamとGreen Teamが提唱されていました。(ちなみに、このタイトルの元ネタはNetflixっで提供されている Orange is the New Blackという人気ドラマをもじったものです。)
Orange Team
Orange Teamの定義は、以下の通りです。
Orange Team = Red Team(攻撃チーム) + Yellow Team(開発チーム)
Orange Teamとは、攻撃チームであるRed Teamと開発チームであるYellow Teamを組み合わせてできるチームを指し、開発者が脅威に対するマインドセットをもって開発することにより、バグの作りこみを避けようという考え方です。
Green Team
Green Teamの定義は、以下の通りです。
Green Team = Blue Team(防御チーム)+ Yellow Team(開発チーム)
Green Teamとは、防御チームであるBlue Teamと、開発チームであるYellow Teamを組み合わせてできるチームを指し、開発者がインシデント対応やフォレンジックの考え方を持ってもらい、セキュリティ運用がしやすい開発を行ってもらうという考え方です。
White人材という考え方
『Orange is the New Purple』ででてくる考え方も面白いですが、私個人としては、今後三原色の考え方に倣い、White人材という考え方を提案したいと思います。この考え方自体は、2017年のRSA Conferenceで発表された、Business Driven Securityという考え方に比較的近いと思います。
私が想定している人材は大きく3種類を基本とします。
- Red人材:セキュリティ診断やペネトレーション診断などの攻撃技術に精通する人材
- Blue人材:セキュリティ監視やTherat Hunting、フォレンジックなどの防御技術に精通する人材
- Green人材:ビジネス目線・マネジメント目線を持ったコンサルティング技術に精通する人材
Red人材・Blue人材は、今までの定義と変わらず、両方の技術に精通している人材はPurple人材と呼ぶ想定です。特徴として、この両人材は基本的に技術を中心としています。
Green人材とは?
Green人材とは、聞きなれない名称なので説明を付け加えておきたいと思います。
Green人材とは、マネジメント目線やビジネス目線など、ソフトスキルを専門とする人材です。こうしたスキルは今後よりいっそうセキュリティ人材に求められると思います。なぜならば、基本的にビジネスプロセスも攻撃対象になる上、セキュリティを実現し、ビジネスプロセスを踏まえてセキュリティを組み込むためには、予算・リソース・他部署の協力の面から、マネジメント目線で話を説明し、巻き込んでいかなければならないためです。
いわゆる、セキュリティコンサルタントの中で技術コンサル系ではない人、ポリシーやセキュリティ戦略などを専門にする人はこの分野に基本的に属すとみなすべきでしょう。
私が思うGreen人材が持つべき特徴をいかに示します。
特徴1:ビジネスプロセスに精通した人材
第一に、Green人材に求められる条件として、ビジネスプロセスに精通していることが挙げられます。例えば、BEC(Business Email Compromise)などは、ビジネスプロセスを悪用した攻撃の一種です。今はまだプロセスが稚拙な場合に成立している攻撃である印象はありますが、Social-Engineeringなどの技術を使っていけば、こうしたより複雑なビジネスプロセス上の欠陥をつく攻撃が出てくるでしょう。あるいは、米軍需産業の例におけるサプライ・チェーン攻撃もその一つでしょう。技術という目線だけではなく、自分達を取り囲むサプライチェーンやプロセスなどを悪用した攻撃です。
一方、最近では金融庁が提唱しているTLPT(Threat-Led Penetration Test)やTIBER(Threat Intelligence Based Ethical Red Teaming Test)などが挙げられます。ここで想定している脅威は技術的脅威ですが、技術的脅威での攻撃が難しくなった場合、今度はビジネスプロセス上に脅威を向けてくると考えられます。
特徴2:マネジメントに精通した人材
第二に、Green人材に求められる条件として、マネジメントに精通した人材が挙げられます。ビジネスプロセスに何かセキュリティ施策を盛り込んだり、上層部と交渉をしたりする際に適切な言語でリスクや投資の必要性について会話をする必要があります。そのため、Green人材はこうした能力が求められます。
また、マネジメントの観点から、セキュリティ戦略やポリシーの策定についても必要があります。
特徴3:コンサルティング技術を要した人材
第三にコンサルティング技術を要した人材が挙げられます。Red Team・Blue Teamに対して、あるいは経営層に対して問題を提案し、解決策への道筋をつける能力が求められます。
結局、White人材とは?
White人材の定義は、以下の通りです。
White人材 = Red人材 + Blue人材 + Green人材
技術的には、攻撃技術+防御技術に精通しつつ、ビジネスプロセスやマネジメントの側面からプロセスを強化したり、セキュリティ戦略を立案したりする人材です。こうした人材になることにより、ビジネス・リスクとしてセキュリティを考えることができるでしょう。
まとめ
セキュリティ人材も様々な分野が存在します。もちろん一分野に特化するスペシャリスト型も存在する一方、複合型を目指す人材のジェネラリスト型のキャリアパスも考えられます。基本的には、どこに自分の強みを持つのか、という点でキャリアを考える上での一助になればと思います。