上周在臺灣資安大會上,來自日本電腦網路危機處理暨協調中心(JPCERT/CC)的資安分析師林永熙,指出了日本企業的資安人才缺口,並揭露了日本各政府部會的資安人才培育藍圖。林永熙表示,根據統計,估計日本每年畢業的資安人才為1千名左右,但企業長期的資安人才缺口達2.2萬人,之間有20倍的落差。

這項資訊安全人才培育基礎調查來自日本資訊技術促進機構(IPA),在企業方面,IPA將日本企業依員工數分成100~300人、300~1,000人及1,000人以上3種規模,並推算出其中員工數100~300人的企業目前現有的資安人員為8.5萬人,人力缺口達8,500名,300~1,000人的企業有6.3萬資安人員,尚缺6,200名,1,000人以上的大型企業則有8.1萬名資安人員,尚缺7,700名。

整體來看,日本目前從事資訊安全領域工作的IT技術人員有23萬名,但距離企業所需的資安人才,尚缺2.2萬人,而根據受訪企業經營決策者的回覆,23萬名現有從事資訊安全的人員中,有14萬名人員還需要加強技術能力。

從學校課程來看,分為接受專門課程訓練,以及有機會受到培訓課程的兩大階段,其中,每年有機會接觸相關訓練課程的學生約2萬名,然而,接受專門訓練課程的只有130人,加上進行相關議題論文發表的學生,預估每年畢業的資訊安全人才只有1千名左右。林永熙表示,可以從這些數據看出日本的資安人才供給能力,尚無法填補企業資安人才缺口。

日本企業8成以上有資安人才需求,近半數處於資安人才吃緊狀態

IPA將資安人才未來的職業路徑分成六大類,分別為戰略統籌、企畫設計、開發建構、運作管理、審計、諮詢教育,其中在戰略統籌方面的資安人才需求最為明顯,有高達4成企業認為這類的人才需求緊繃,處於業務吃緊狀態,1成企業則認為已經迫在眉睫,急需人才,否則公司將無法繼續營運,其他在各類資安人才需求上,普遍有近半數的企業覺得人才處於緊繃狀態,8成以上認為有資安人才缺乏情形。

有趣的現象是,IPA分別詢問經營決策者及員工,是否認為公司經營決策者對資訊安全非常了解,超過1成經營者自己覺得非常理解,過半數認為已大致了解,但對於員工來說,只有不到4%員工認為公司的經營決策者對資訊安全非常理解,3成員工認為高層大概理解,可以看到經營決策者與員工之間認知上的落差,有鑑於此,日本也有部分的資安人才培育計畫,著重在管理者的培訓。

為了填補企業人才缺口,日本政府祭出資安人才培育三箭,要進一步從企業、政府及教育三大面向,分別由經濟產業省、總務省及文部科學省來推動,不只要協助企業培訓內部的管理者及員工,也從政府內部開始施行實境演習,培訓對象擴及各產業人員,還要將網路安全道德觀融入中小學教材綱領中。

資安第一箭:官辦資安人才培訓,力推資安認證

首先,第一箭射向企業,由主管企業的經濟產業省來推動,包括協助企業訂定企業內部不正常行為綱領(員工的違法行為)、提供資訊安全應對的工具及相關培訓、設立互聯網安全教室、訂定資訊處理技術人員考試的新項目、CSSC工控系統安全中心的普及人才培育、舉辦資訊安全營,以及舉辦SECCON(官民合作CTF)等。

其中,網際網路安全教室有一部份是針對學校,為了要防止在學學生點到惡意軟體或感染到病毒,資訊安全營則是企業針對20歲以下的學生進行培訓,教他們撰寫安全程式碼,並舉辦小型的模擬入侵與防禦競賽,而延續好幾年的資格考試,經濟產業省則增設了一項安全管理人員考試,併入IoT及雲端兩個要素,這些主要都是針對企業資安人才需求所推動的計畫。

林永熙也特別提到,在日本資訊安全領域上,取得資格證照也是企業尋找人才的指標之一,企業重視的相關資格考試包括資訊安全專家認證考試、系統審計技術人員、CISSP、CISA、網路資訊安全等,整體而言,日本國內的資格認證需求並不小。

林永熙也分享了日本在今年2月舉辦的駭客競賽SECCON CTF,遵循一般CTF(Capture the Flag)的競賽模式,先在各地區舉辦預賽,再辦決賽,當時第一名為韓國,第二名臺灣,第三名美國,雖然日本團隊的名次排在4名之後,但林永熙說,日本舉辦CTF目的是要鼓勵年輕人參與,競賽名次反而是其次,當時最年輕的參賽者才14歲,也可以看出日本想普及的決心。

林永熙表示,根據統計,雖然企業內部發生的惡意行為機率不到1%,但平均受影響的員工超過四分之一以上,有時還牽涉到複雜的法律層面。他舉例,去年日本一間企業發生重大資料洩露事件,超過4千萬筆資料遭竊,總共損失了200億,不過,該公司原本就已經有相關的措施,並禁止員工攜帶個人物品、電腦進入,卻仍然發生資安外洩事件。因此,林永熙也強調,不是有了防護措施就不用擔心,企業需要再進一步思考如何讓這些措施持續有效運作,才是最重要的。

資安第二箭:舉辦實境演習,強化公務員資安因應能力

再來,第二箭則是針對政府內部人員培訓,由於目標式攻擊類型是日本近年最傷腦筋的資安問題之一,主管通訊部會的總務省,特別將目標式攻擊列入人才培育的重點項目,每年對公務人員進行目標式攻擊的演練,像是發送目標郵件攻擊給公務人員來測試有沒有人會受騙,光是去年就有多達數萬名的公務人員參與演練。

此外,總務省也會定期舉辦資訊安全演習CYDER(Cyber Defense Exercise with Recurrence)來培訓政府人員。演習時會先建立一個測試的攻擊環境(StarBED),並扮演各種攻擊角色、上司、同事或是業務上會聯繫的人,而參與者會被聚集在一個演習會場中,透過專用線路連接到StarBED,在StarBED環境下進行實際演練。

CYDER演習大約每一、兩個月舉辦一場,每場次為期2天,第1天早上會先給參與者Check list核對表,來驗證參與者所具備專業技能,並解說相關案例及活動進行方式,下午便開始進行操作演習,第2天則是評審回饋與講評,CYDER演習在2013年舉辦了10次CYDER演習,有33個組織,將近300人參與,2014年則舉辦7次,共有50個組織,200名人員參與。

林永熙表示,前期CYDER演習主要是對政府人員的培訓,不過從去年底開始,也加入了其他重要基礎設施領域的人員,整體而言,這是一項對於整個國家重要基礎設施的保護教育措施計畫。

日本總務省定期舉辦資訊安全演習CYDER來培訓政府人員。演習時會先建立一個測試的攻擊環境(StarBED),參與者會被聚集在一個演習會場中,透過專用線路連接到StarBED,在StarBED環境下進行實際演練。

資安第三箭:向下紮根,中小學教材綱領納入資訊倫理

最後,第三箭射向教育面,要向下紮根,將網路安全道德觀念列入中小學生的教材綱領中。主管教育的文部科學省強調資訊道德觀念,將高中生的教材綱領分為社會資訊及資訊科學,兩個階段貫穿,強調資訊道德。在技術層面上,希望讓學生理解網路運作,如何用資訊有效解決問題,將資訊集中到資料庫之中,再找出所需的資訊來解決問題,中、小學生則皆以資訊道德為主軸。不過目前這些計畫項目還只是綱領階段,尚未寫進教材之中。

林永熙表示,文部科學省擬定這些綱領的目的除了在教育各個階段貫穿資訊道德觀念之外,在實際技能上,也要培訓中學生,讓他們能寫出一個簡單程式,來滿足自己的想法或需求,而對於高中生,則希望能具備將程式自動化的能力,進一步寫出符合自己演算法及想法的程式。文⊙辜騰玉

日本電腦網路危機處理暨協調中心資安分析師林永熙表示,根據統計,估計日本每年畢業的資安人才為1千名左右,但企業長期的資安人才缺口達2.2萬人,之間有20倍的落差。

 

相關報導請參考:「臺灣資安大會現場直擊」


Advertisement

更多 iThome相關內容