
SC Media
サイバーセキュリティやITガバナンスの専門家で、自分の専門分野には詳しいが、AI、ブロックチェーン、クラウド、IoTに自分のスキルをどのように適用すればよいのかわからないという人のために、これらの新興技術分野の基礎を学ぶことができる新しい認定コースが登場しました。
ISACAは本日、CET(Certified in Emerging Technologies)プログラムの開始を発表しました。このプログラムでは、参加者は上記の4つの専門分野のいずれかで個別の証明書を取得し、さらに4つすべてを集めて本格的なプログラム証明書を取得することができます。
“ISACAのエマージングテクノロジー&イノベーション部門のシニアディレクターであるダスティン・ブリューワーは、「何を目標にしているのか、自分のキャリアをどこに持っていきたいのかによって、本当に変わってきます」と語ります。クラウドコンピューティングのように、4つの分野すべての知識を必要とするキャリアパスもあります。
この新しいコースは、新たなキャリアパスを切り開くために、主要な新技術分野でのスキルアップを可能にするトレーニングを求める声の高まりに応えたものです。特に、クラウドに関するトレーニングが求められているとブリュワーは言います。”このようなニーズに応えるためには、クラウドに関するトレーニングが必要です。COVID-19が流行して以来、「クラウドの導入が急増しているので、需要は高まる一方です」と彼は続けます。
この認定プログラムの目的は、受験者が “技術そのものを基本的に理解する “ことだとブリュワーは言います。技術、アプリケーション、そして固有のリスクについての基本的な理解があれば、受講者は、より適切なセキュリティを確保する方法を学ぶために、さらにステップアップすることができます。
このコースでは、学習ガイドを使った自習、インストラクターによるバーチャルトレーニング、試験、オンラインラボなどが用意されており、「実際にAIツールを使ったり、ネットワーク上のIoTデバイスを操作したりする環境に身を置くことができます」とブリュワーは述べています。
4つの分野は、それぞれ独自のスキルとノウハウを必要とするため、履歴書の作成に役立ちます。
クラウド
“クラウド・セキュリティ・アライアンスのCEOであるジム・リービスは、「簡単に言えば、クラウドがITシステムの主流となり、パンデミックによってクラウド移行プロジェクトのスケジュールが加速しています」と述べています。クラウド・セキュリティ・アライアンスは、ISACAと提携して、クラウド・システムのセキュリティ監査に関する専門知識を証明するためのCCAK(Certificate of Cloud Auditing Knowledge)トレーニングおよび試験プログラムを実施しています。”このプログラムは、クラウド・システムのセキュリティ監査に関する専門知識を有することを証明するためのものです。
しかし、知識が不足している場合が多く、それには理由があります。”Reavisは次のように説明しています。「教育は技術革新に遅れる傾向があり、新しい技術に対する知識のギャップは避けられません。”クラウドコンピューティングに関連したサイバーセキュリティの専門知識の問題の一部は、その範囲にあります。事実上、すべての企業がクラウドサービスを提供したり、利用したりしています。しかし、多くの技術者は、クラウドの顧客に発生するセキュリティ責任を理解していません」。
幸いなことに、CETプログラムは、クラウドの経験が浅いISACAのお客様に、クラウドベースのインフラストラクチャを運用することの利点と課題を明らかにする重要な教訓を提供します。一方では、コストを削減し、リスクの一部をサードパーティに移すことができる。一方で、サードパーティのクラウド事業者は、自社の内部組織を監査するのと同じように、デジタル資産の評価や監査をさせてくれないことがよくあります。
“自分が物理的にアクセスできない他人のサーバー上のインフラやソフトウェアを利用しているわけですから、IT監査のコミュニティにとってはどういう意味があるのでしょうか?”また、組織内のサイバーセキュリティ部門や監査部門にとっても意味があります。どうやってそれらのデバイスにアクセスするのか?それはクラウドベンダーとのサービスレベル契約に含まれているのでしょうか?
さらに、コースワークでは、クラウドベースのサービスの4つの主要なカテゴリー(software-as-a-service、infrastructure-as-a-service、platform-as-a-service、security-as-a-service)を検討し、オンラインに保存されているデータを責任を持って保護することの重要性を含む、クラウド構成管理のトピックについても検討します。
IoT
IoT Security Foundationのマネージングディレクターであるジョン・ムーアは、SC Mediaに対し、IoT製品業界はサイバーセキュリティの専門知識の不足に悩まされていると述べています。”このことは、基本的なセキュリティ機能を欠いた不十分な設計のシステムから、サイドチャネル攻撃などのより高度な脆弱性の問題まで、さまざまな問題を指摘するIoTに関する報道の見出しの数にも裏付けられています。”
IoTの世界は、情報セキュリティの実務者にとって学ぶべき広大なものですが、最終的には、小さなコンピュータを見ることに帰着する、とブリュワーは言います。”その中には、古いソフトウェアや古いドライバーを搭載しているものもあり、それが今、私たちが注目しているサイバーセキュリティの問題につながっているのです。
このような背景から、CETのコースでは、さまざまなIoTデバイスを、そのハードウェアやプロセッサIoTデバイス、通信プロトコル、ソフトウェアやミドルウェア、ドライバーなどの重要なコンポーネントに分解しようとしています。
“ブリュワーは、「IoTデバイスを分解すると、これらはすべて、誰かに攻撃される可能性のあるベクターです。”物理的な攻撃であれば、チップセットに何が起こっているのか、デバイスへの近距離からのアクセスや物理的なアクセスに何が起こっているのか、ということになります。リモートアクセスであれば、どのようにしてインターネットに接続するのか。5Gなのか、Wi-Fiなのか?”
さらに、「IoTがクラウドとどのように統合されるのか、ビッグデータとどのように統合されるのか、IoTから得られるすべてのデータセット、つまりIoTデバイスに組み込まれたさまざまなアクチュエーターやセンサーが、現実世界で必要なことを何でもできるようにするとともに、現実世界をモニタリングすることについても検討します」とブリュワーは述べています。
人工知能
一方、CETコースで提供するAIは、大量のデータセットを与えてパターンを認識し、判断できるように機械を訓練する能力に注目しています。
“大学の数学期分のデータを扱うので、誰かにそこに入ってもらってAIアルゴリズムを構築してもらうことはありません」とブリュワーは明言する。”しかし、もし誰かがこの講義を受けた後、自分でアルゴリズムを構築するために大学の講義を受けに行ったとしたら、より多くの語彙を知り、その背後にある基礎を理解しているため、より多くの準備をすることができるでしょう」。
また、AIがサイバーセキュリティやプライバシーに与える影響についても、よりよく知ることができるでしょう。まず、「AIを利用する際には、顧客データなどに関連する懸念があります。倫理的に利用しているかどうか」とブリュワーは言います。”そして、サイバーセキュリティの運用にAIを活用するという部分があります。つまり、ネットワーク内のヒューリスティックな異常を検知するためにAIを活用したり、IDSの誤検知ではないことを確認するためにAIを活用したりしているのです。”
ブロックチェーン
最後に、CETのブロックチェーンのトレーニングコンテンツでは、単なる暗号通貨の取引にとどまらず、この技術のビジネスへの応用が拡大していることを専門家に教えています。
“ブリューワーは、「物理的なサプライチェーンや、患者の追跡、物資の追跡、金融取引だけでなく様々な情報の追跡にブロックチェーンを活用している企業の事例を見てきました。
“私たちが注目した理由の一つは、現在のインフラにブロックチェーンを導入することを検討している有名企業や政府機関があるという事実でした」とブリュワーは続けます。
サイバーセキュリティの観点から見ると、ブロックチェーンは、データの完全性を維持するという長年の課題を解決する可能性を秘めています。しかし一方で、サイバー犯罪者がパブリックおよびプライベートブロックチェーンへの攻撃を試みたこともあります。これは、「現在のインフラの中でこの素晴らしい新しい機能やシステムを実行していても、古いインフラを使用していることに変わりはありません」という理由からで、ユーザーは潜在的な脆弱性にさらされています。
また先月、ISACAは、学生や新卒者、IT初心者が、コンピューティング、ネットワークとインフラ、サイバーセキュリティ、ソフトウェア開発、データサイエンスの5つの異なる基礎分野のレッスンを通じてモジュール式の証明書を取得することで、ITCA(Information Technology Certified Associate)資格を取得できるという、また新たな認定プログラムを発表しました。