システム管理者としてのキャリアにおいて、特に金融機関で勤務していた頃は、サイバーセキュリティ分野に深く関わってきました。データ侵害は、技術的および人為的ミスを含む様々なエクスプロイトによって発生し続けており、リスクはますます高まっています。企業資産の保護を基盤としてキャリアを築き、そして失うという状況に陥っているのです。
サイバーセキュリティ分野でのキャリアを考えている方、あるいはすでにその道を歩み始めている方のために、キャリアの指針として役立つ率直な意見をいくつかご紹介します。
1. 情報には限界がある
情報は素晴らしいものです。私たちはIT、つまり情報技術の分野で働いています。しかし、ユーザーに遵守すべき、あるいは注意すべきセキュリティ概念に関する情報を提供する際には、それが万能の戦略だとか、送信をクリックした瞬間に完了するとか思わないでください。
例えば、ユーザーに疑わしいメールのリンクをクリックしないよう伝えたとしても、必ずしも従うとは限りません。同様に、警告は時間の経過とともに古くなり、忘れ去られ、役に立たなくなります。メールは読まれなかったり、紛失したりすることもよくあるため、遵守の保証はさらに薄くなります。より積極的に関与していく必要があります。
2. 政策は良いが、それを裏付ける技術的制御があればさらに良い
ユーザーが何を実行できるか、何が実行できないかを規定するセキュリティポリシーは、期待される行動と境界を明確にするのに役立ちます。TechRepublicの姉妹サイトであるTech Pro Researchに掲載されているポリシーの例は、以下の領域をカバーしています。
- モバイルデバイスコンピューティング
- 情報セキュリティ
- ネットワークセキュリティ
- 情報セキュリティインシデント報告
ただし、複雑なパスワードの強制、ストレージ デバイスの暗号化、セキュリティ違反の監視と警告などのツールなど、これらのポリシーに沿った技術的な制御を必ず実施してください。
3.無知なユーザーは悪意のあるハッカーよりも大きな脅威である
ハッカーはこれを熟知しています。だからこそソーシャルエンジニアリングは非常に強力なのです。不運なユーザーに、自分がIT部門の人間であり、存在しない問題を解決するためにパスワードが必要だと信じ込ませる方が、たとえ総当たり攻撃のテクニックを使っても、そのパスワードを推測したり解読したりするよりもはるかに簡単です。
ユーザーが不審なウェブサイトにアクセスしたり、許可されていないシステムにログインしようとしたりするなど、不適切な行動をとった場合、悪意よりも無知の方がはるかに大きな影響を及ぼしてしまうことを念頭に置くことも重要です。だからこそ、ポリシーを策定することで、ミスや不適切な行動を減らすことができるのです。
参照:サイバーセキュリティのキャリアをスタートさせる:検討すべき10の仕事(無料PDF)(TechRepublic)
4.サイバーセキュリティは映画の中だけの華やかさ
ハリウッド映画がサイバーセキュリティを正確に描写することは稀です。映画がIPアドレスという概念に言及しているだけでも驚き、嬉しくなります。多くの場合、「ハッカーを捕まえる」という行為は興味深くクールなものとして描かれ、サイバーセキュリティのプロはまるでジェームズ・ボンドのような才気と洗練さで描かれています。
残念ながら、サイバーセキュリティの現実は、巧妙な罠を仕掛けて犯罪者を現行犯逮捕することよりも、日々の単調な作業に重点が置かれています。ログをくまなく調べ、パッチを適用し、トレーニングに参加し、セキュリティアドバイザリを読む人を見ただけでは、映画のチケットは売れないでしょう。
5.自動化が鍵
脆弱性のロックダウンやシステムへのパッチ適用など、セキュリティ変更を実施するために利用できる集中管理ツールを習得し、活用することが不可欠です。グループポリシーオブジェクト、SCCMやPuppetなどの構成管理ツール、さらには「for」ループを実行するためのシンプルなbashスクリプトを活用することで、キャリアを通して数百時間の時間を節約できます。また、これらは人手による介入よりも効果的に機能し、エラーや事故のリスクを軽減します。
参照:サイバーセキュリティで成功するキャリアを築く方法(無料PDF)(TechRepublic)
6.テストはいくらやっても足りない
セキュリティ関連の変更をロールアウトする前に、必ず実際の本番環境にできるだけ近い環境で徹底的にテストしてください。ただし、一部の変更は非常に複雑で、予期しない結果につながる可能性があります。
例えば、古いTLS(トランスポート層セキュリティ)1.0プロトコルを無効にすると、古いSQLデータベースで問題が発生する可能性があります。また、変更とその結果生じる問題との関連性がすぐには明らかでない場合があります。テスト環境で変更を適用する際は、必ずユーザーとシステムの両方への影響を徹底的に分析してください。
7. 善人でいることは大した利益にならない
気が滅入るかもしれませんが、警察官の友人なら共感してくれると思いますが、よくある決まり文句とは裏腹に、犯罪は儲かるのです。データ侵害を仕掛けたハッカーは一夜にして金持ちになれる一方で、サイバーセキュリティのプロは30年間まともな仕事をしても、同じような報酬は得られないかもしれません。
私が言いたいのは、犯罪に手を染める方が良いと主張することではありません。しかし、善人になるのであれば、悪人は莫大な金銭的動機で犯罪を犯していることを理解する必要があります。彼らが貪欲に駆り立てられている場合、彼らを阻止するのはより困難になります。貪欲は、正直者が安定した(たとえ快適な程度であっても)給料を稼ぐのとは対照的に、信じられないほど突飛な、あるいは絶望的な行動に走らせます。
8. セキュリティは目的地ではなく旅である
真に安全なシステムとは、鍵のかかったドアの向こう側に設置され、ネットワークから切り離され、完全にアクセスできないシステムだけです。しかし、待ってください。そのドアの鍵が誰かの手にある限り、システムが侵入される可能性は依然として残っています。
完璧なセキュリティや完全にロックダウンされた環境など、本当に存在しません。サイバーセキュリティ専門家の仕事は決して完全に終わることはありません。「とりあえず終わった」というだけです。
