パーソルクロステクノロジー

Body of Knowledge（BoK）という言葉があるのをご存じですか？Body of Knowledge（BoK）とは何らかの専門領域における、系統立った知識体系のことです。PMBOK（プロジェクトマネジメント知識体系）、BABOK（ビジネスアナリシス知識体系）など、さまざまな専門領域の知識体系を説明する言葉もあります。

本記事ではそんな多様に存在するBokのなかでもSecBokについてご紹介します。

SecBokとは？

SecBok（ Security Body of Knowledge）はNPO日本ネットワークセキュリティ協会（JNSA）が作成する、情報セキュリティのためのBokのことです。要求される知識・スキルの項目を役務毎に一覧化したもので、主にICT分野の人材育成における議論の下地として、広く活用されています。

2019年の3月、SecBokの大幅な改訂版となるSecBoK2019がリリースされました。今回の変更点、これに関連する米NISTの「NICE Cybersecurity Workforce Framework（通称：NICEフレームワーク）」に纏わる話題などを中心に、JNSA教育部会 部会長を務める平山敏弘氏へお話を伺いました。

インタビュアー: 坂根三起（パーソルクロステクノロジー）

SecBok誕生の経緯

―― SecBoK2019の具体的な内容に触れる前に、先ずはSecBoKの誕生から現在に至るまでの経緯をお聞かせください。

平山 2003年に遡りますが、当時は情報セキュリティに関する教育方針があまり定まっていなかったこともあり、経済産業省からJNSAに対して、スキル項目の洗い出しや体系化に関する依頼がありました。これらを取り纏めてリリースした「情報セキュリティスキルマップ」がそもそものきっかけです。その頃は、連動する教育コンテンツなんかも手掛けていましたね。

後に、情報セキュリティ教育事業者連絡会（ISEPA）でも知識体系を取り纏める話が持ち上がり、「情報セキュリティスキルマップ」をベースにスキル項目をアップデートしつつ、そこに紐づくロール（32種）も定義した「SecBoK」を2007年にリリースしました。

―― その当時、どういった層の方が活用することを想定していたのでしょうか。

平山 主にはセキュリティ系のベンダ企業が対象で、人材育成や教育プランといった場面での活用を想定していましたが、キャリアパスに関する可視化の要望に応えたというのもありますね。ロールの定義については、そういった点も考慮しての事でした。

―― SecBoKは後に、IPAの「iコンピテンシディクショナリ(通称：iCD)」にも反映されていますよね。

平山 iCDの作成にあたり、IPAからセキュリティ項目についての協力依頼をうけまして。検討委員としても参加しつつ、SecBoKを取り込んで頂くことになりました。

但し、最終の更新から時間が経過していたこともあり、2016年には改訂版「SecBoK2016」、2017年にはマイナーチェンジ版の「SecBoK2017」をリリースしました。ここでは、グローバル対応（NICEフレームワークのスキル項目とのマッピング）に加え、「32のロール定義は多すぎる」といった意見を基に、ロールを16に整理しています。そしてセキュリティベンダ企業のみならず、ユーザー企業での活用も想定して、日本シーサート協議会の委員の方にも参画して頂きました。

―― 16のロール定義が、日本シーサート協議会の資料（CSIRT人材の定義と確保Ver.1.5）とリンクしているのは、そういう経緯もあるのですね。

平山 ただ、シーサート的な観点に寄りすぎているという意見もありまして、SecBoK2019では見直しをかけたところもあります。

SecBoKで定義されるロール種別。ロール名称としては19に及ぶが、近しい立場・スキルのものをまとめると、16に分類される。

SecBok2019年度版の改訂について

―― 今回のSecBoK2019ですが、2017年度版からのアップデートのポイントについて、改めてお聞かせ下さい。

平山 先ずはNICEフレームワークとの絡みです。NICEにスキル項目の大幅な追加（約1150）があり、ID番号も全て振りなおしになっているので、再度マッピングが必要となりました。また、以前のNICEはスキル項目を中心とした内容だったのですが、こちらについても52種に及ぶロールが定義されたのです。そうなると、それらをSecBoK側の16ロールとマッピングする必要もでてきたのですよ。

―― NICEのスキル項目ですが、インテリジェンスの領域に分類されるものがかなり目立つようになりましたね。

平山 米国のものである以上、軍事的な観点を軸に語られるところもあって、こういったものをそのまま取り入れるのは難しいかもしれませんね。勿論、日本においてもリサーチャーやキュレーターといったロールは、ある意味インテリジェンス的な活動とも考えられますが、それだけを純粋な生業とする企業は少ないはずです。そういった事情を鑑みつつ、これらの中でも一部SecBoKへ反映した項目はありますが、多くはペンディングという形をとらせてもらいました。

―― NICEの定義するロールについてですが、それぞれの担うタスクの一覧について、SecBoK側で和訳したものが追加されていますね。

平山 こちらは参考資料という位置づけですね。

色々と議論する中で、各ロールの人物像をイメージしてもらうことも大切なのですが、ロール（役務）と職種は必ずしも一致するものではありませんので、それらが何を出来ることを意味するのかといった、「タスク」を理解する観点が重要なのではないかという意見が上がりました。

SecBoKは初版の頃と異なり、セキュリティそのものを専門としない組織が参照することも視野にありますので、いわゆるプラス・セキュリティ人材に対しても使用できることや、外部へ依頼すべきことを考える上での、補助的な情報になればといったところでしょうか。

また、これは概要資料でも触れているのですが、従来の様にセキュリティスキルの向上だけに着目するのではなく、2019版ではロール・タスクという要素と絡めることで、より現実的なレベルアップにつながっていくのではないかという狙いもあります。

―― このタスクという要素ですが、SecBoK本編に直接マッピングされるものとしては、NISTによるサイバーセキュリティのためのフレームワーク「Cyber Security Framework 1.1（以後CSF）」で言及されたものになるわけですね。

平山 現状、セキュリティという業務は、サイバーキルチェーンのモデルにもあるように、動的な状況の中で対処していかなければならない部分も大きく、「どういう時に、何が求められるのか」という観点から、CSFとの紐づけを行いました。

SecBoK2019における、NISTのフレームワーク（NICE、及びCSF）の関係性。引用：JNSA資料「セキュリティ知識分野（SecBoK2019）概要」より

―― サイバーセキュリティのフレームワークといえば、従来ですとISMSが広く知られるものかと存じます。今回SecBoKでも大きく取り入れられたCSFとの違いなどについてお聞かせください。

平山 どちらを採用すべきか、乗り換えるべきかといったような話も耳にするのですが、そうではなく、双方のフレームワークには目的の違いがあると思っています。

私的な表現ではあるのですが、ISMSは常日頃からの取り組みによって、企業にとっての安心・安全を確保するためのものであり、例えばこれを“静的”なものと捉えると、CSFは、攻撃されること前提とした、より“動的”な課題に取り組むものとも考えられます。今まさにインシデントが発生しているような状況においては、後者の観点が必要になってきますしね。

SecBokの活用について

―― 非常に広範囲な要素を網羅するSecBoKですが、各組織における活用の事例についてお聞かせください。

平山 これは我々自身でも言っていることなのですが、これをそのまま使って下さいというよりも、これをベースに個社の事情に合わせて使って頂ければよいかと思います。当然、これだけのスキルを網羅できる人材を確保できるのかという問題もありますし、ロールや業務範囲についても、組織によって分担は変わってくるでしょうしね。

ちなみにISEPA（JNSA下部組織にあたる）では、企業に対するセキュリティ人材の可視化をテーマに、JTAGというプロジェクトに取り組んでいます。こちらはSecBoKの項目に挙げられるテクニカルスキルもそうですし、また、コンピテンシーや業務経験といった能力についても総合評価を行い、人材の可視化が出来るツールでして。

JTAGでは、SecBoKの大～中項目程度を評価項目として取り入れているのですが、レーダーチャート上では偏りがあったとしても、補うべき力は組織によってまちまちですので、自社で必要な人材のスキルをピックアップして、各々でマッチングできるよう進めています。イメージとしては大学入試のセンター試験のイメージです。各自の保有スキルの総合点（センター試験の総合点イメージ）をJTAGが認定し、採用したい各社は、自社で重視するスキル項目をピックアップ（A大学は「国語」と「社会」、B大学は「数学」と「英語」の成績で合否を決めるイメージ）できるようにしています。

ISEPAの取り組むセキュリティ人材可視化プロジェクトJTAGにおける評価項目の参照先の一覧。
引用：JNSA/ISEPA資料　「セキュリティ業務を担う人材のスキル可視化ガイドライン～プラス・セキュリティ人材の可視化に向けて～」より

今後の展望

―― 従来に比べて比較的大規模な改訂が行われたSecBoK2019ですが、今後のアップデート、展望などについてお聞かせください。例えば昨今の目まぐるしい状況において、現状の項目とマッピングしづらい要素が増えるほどに、NICEのロール定義に近づく（数が増える）といった方向性も有り得るのでしょうか。

平山 先ず改訂のペースについてですが、SecBoKはJNSAのボランタリな位置付けにある活動ということもあり、頻繁に行うことは難しいのですが、数年のスパンの中ではそのようなタイミングも訪れるでしょうね。

改訂の方向性、例えばロールについては、実は16でも多いという意見もあるのですよ。セキュリティの専門業種の方が見た場合、更に細分化すべきといった意向もあるかもしれませんが、専門ではないがセキュリティを考えなければならないような方を考慮すると、粒度を細かくするのではなく、うまく統廃合する方向が妥当なのかと考えています。

―― セキュリティベンダ企業のみならず、ユーザー側の企業を含む様々な立場の組織に活用されているという事ですね。

平山 私個人も参加している活動の一つに、大学におけるコンピュータサイエンス教育のカリキュラム標準を策定∗1する委員会がありまして、ここでもSecBoKをスキル標準の一部として取り入れてもらっているのですが、やはり大学側からみると細かすぎると感じてしまう要素も多いのですよね。

あとはグローバルで活用されているケース、実例としてはインドネシア国立大学における修士向けのセキュリティ専攻コースのシラバスとして、SecBoKが活用される計画∗2などもあります。産学官を問わずに、SecBoKが広がっていくと良いですね。

• ∗1：情報処理学会「カリキュラム標準J17」
• ∗2：JICA事業「インドネシア国立大学でのサイバーセキュリティ人材育成プロジェクト」

まとめ

いかがだったでしょうか。今回はSecBokについて2019年度版の改訂や今後の展望などを平山氏にお聞きしたことを記事としてまとめてみました。少しでもSecBokに興味を持っていただけたら幸いです。