Xでセキュリティのキャリアについて何名かの方とやりとりする機会があったので、私が名乗っている「セキュリティマネージャ」とは何なのか。を書いてみることにしました。
我有机会和一些人谈论 X 的安全职业,所以我问他们什么是我称之为“安全经理”的“安全经理”。 我决定写一本书。
- 前置き 介绍
- 一般的なセキュリティマネージャの定義 定义典型的安全管理器
- (私の組織における)セキュリティマネージャのお仕事
安全经理(在我的组织中)做什么? - 必要なスキル 所需技能
- セキュリティマネージャというキャリア 安全经理的职业
- さいごに 结论
前置き 介绍
最初にお断りとして、セキュリティマネジメントの姿は組織によって異なります。
首先,需要注意的是,安全管理因组织而异。
その組織の種類(事業会社かセキュリティベンダか等)、システムの規模、セキュリティ担当の人員数、予算、経営層のセキュリティ意識など様々な要素により、組織の課題も解決へのアプローチも異なるため、マネジメントの正解は1つではありません。
对于管理层来说,没有一个正确的答案,因为组织的问题和解决这些问题的方法因各种因素而异,例如组织类型(无论是商业公司还是安全供应商等)、系统的规模、负责安全的人数、预算和管理层的安全意识。
ですので、ここで私が書くのはあくまで「私の組織における」話です。
因此,我在这里写的只是“在我的组织中”。
私の所属組織は公には書きませんが、属性としては以下の通りです。
我没有公开说明我的组织,但属性如下。
- 典型的なJTCの事業会社 典型的JTC运营公司
- システムの規模や組織の従業員数はかなり多い 系统的规模和组织中的员工数量相当大
- セキュリティ予算も恐らく一般的な企業に比べると多い
安全预算可能高于一般公司 - 経営層のセキュリティ意識は元々非常に高い 管理层一直非常注重安全。
一般的なセキュリティマネージャの定義 定义典型的安全管理器
経産省のデジタルスキル標準ではこんな感じに定義されています。
经济产业省的数字技能标准将其定义如下。
これはDXに重点を置いた記載ですが、DX関係なくとも大きな違いはないと思います。
这是一个专注于DX的描述,但我认为即使它与DX无关,也没有太大的区别。
対応方針の立案・計画・管理・統制 がいかにもマネジメントって感じですね。
响应策略的规划、规划、管理和控制就像管理一样。
(私の組織における)セキュリティマネージャのお仕事
安全经理(在我的组织中)做什么?
私の業務を分類すると以下7種類です。 我的作品分为以下七种类型。
これらを私を含むチームメンバが毎年遂行し、私がその全体を管理しています。
这些每年都由团队成员(包括我自己)进行,而我负责管理整个事情。
-
リスク評価と改善計画の立案 风险评估和改进计划制定
組織のリスク評価を行った上で改善に向けた中長期計画を立てたり、それを元に毎年のプロジェクト計画に落とし込んだりリソースを確保したりします。
在评估组织的风险后,我们制定中长期改进计划,并在此基础上将其纳入年度项目计划并确保资源。中長期計画は環境の変化に応じて何度も見直します。
中长期计划将根据环境的变化进行多次审查。 -
セキュリティ強化プロジェクトの管理、推進 安全强化项目的管理和推进
戦略に対する実装状況を管理したり自分で推進したりします。
管理战略的实施或自己推动。
プロジェクトとは、例えば新たなセキュリティ対策ソリューションの導入検討や推進などです。
例如,一个项目正在考虑或促进引入新的安全解决方案。 -
セキュリティ関連ドキュメントの作成 创建与安全相关的文档
ポリシーレベルというよりはプロシージャやガイドラインレベルのシステム開発部門に守らせる要件を具体化します。
它不是政策层面,而是体现了系统开发部门在程序和指南层面应遵循的要求。
皆さんが憎む「セキュリティチェックリスト」のメンテナンスと同義です。
它就是维护大家讨厌的“安全清单”的代名词。 -
システム開発プロジェクトの支援・評価 系统开发项目的支持和评估
システム開発部門が設計や実装面で困っていることがあれば相談に乗ったり、各プロジェクトのセキュリティ品質を前述のチェックリストを用いて評価します。
如果系统开发部门在设计或实施方面有任何问题,我们将与您协商,并使用上述检查表评估每个项目的安全质量。
脆弱性診断も行いますが、私の組織ではアウトソースしている&事務局業務が私の担当ではないので今回は割愛します。
我也会做一个漏洞评估,但我的组织是外包的,秘书处的工作不是我的责任,所以这次我会省略它。 -
インシデントレスポンス 事件响应
-
教育
一般的には組織全体の従業員に対する意識啓発や訓練を指しますが、私の担当範囲では、システム開発部門に対する脅威やセキュリティ要件のレクチャーを行います。
一般来说,它指的是提高整个组织员工的意识和培训,但在我的职责范围内,我为系统开发部门提供有关威胁和安全要求的讲座。 -
他社交流・情報収集 他社交流・情报収集
同業他社の取り組み状況やベンダー各社の動向把握などです。
这包括了解同行业其他公司的举措状态和供应商的趋势。
この他に「戦略や計画にない突発的な検討タスク」も沢山ありますが、どんなお仕事でも共通的にありそうなので割愛します。
除此之外,还有很多“战略或计划中没有的意外任务”,但我会省略它们,因为它们似乎在任何工作中都很常见。
また、2.で導入した各セキュリティ対策ソリューションのインフラ的な管理(バージョンアップや障害対応)は別部門にお願いしているので、ここには含みません。
此外,2中介绍的每个安全对策解决方案的基础设施管理(版本升级和故障响应)都要求到单独的部门,因此此处不包括在内。
必要なスキル 所需技能
セキュリティマネージャとして活躍するために必要なスキルを4つに分けてみました。
我们分解了成为一名成功的安全经理所需的四项技能。
- ITとセキュリティの技術に関するスキル IT和安全方面的技术技能
- セキュリティのマネジメントに関するスキル 安全管理技能
- 組織のビジネス、システム環境や文化に関する知識 了解组织的业务、系统环境和文化
- ソフトスキル、コンピテンシ、性質 软技能、能力和素质
どれも必要不可欠ですが、「高いレベル」を目指すのはどれを優先すべきでしょうか。
所有这些都是必不可少的,但是在追求“高水平”时,您应该优先考虑哪一个?
エンジニアが多いXではお叱りを受けるかもと思いつつ、、
我以为我可能会在X被骂,那里有很多工程师。
私は、3 ≒ 4 > 2 > 1 だと思います。
我认为 3 ≈ 4 > 2 > 1。
誤解なきように言いますが、1は低くて構わないというわけではないです。
不要误会我的意思,1 并不意味着可以低。
1が高レベルだと非常に強い武器になるけれど、その前に3や4がないとどうしても成果を出しづらい。ということです。
如果1处于高水平,那将是非常强大的武器,但是如果在此之前没有3或4,则很难取得成绩。 这意味着。
3. 組織のビジネス、システム環境や文化に関する知識
3. 了解组织的业务、系统环境和文化
事業会社のセキュリティに向き合うわけですから、自組織の事業特性やシステム環境の知識は何よりも必要です。これ無くしては意味のあるリスク評価は出来ません。
由于您正在处理运营公司的安全性,因此了解组织的业务特征和系统环境比其他任何事情都重要。 没有这一点,就不可能进行有意义的风险评估。
リスク評価の手法は様々ありますが、手っ取り早い手法の一つとしてISMSやCIS Controlsなどで挙げられる対策と自組織の状況を突き合わせて要改善ポイントを洗い出す方法があります。それを行うにしても、
风险评估的方法多种多样,但最快的方法之一是通过将 ISMS 和 CIS 控制措施中列出的措施与您自己组织的情况进行比较来确定需要改进的点。 即使你这样做了,
表面上はできていないように見えるが、実は組織の別の対策によって補完されるから改善の優先度は低いとか、
从表面上看,似乎没有做到,但实际上,它得到了组织其他措施的补充,因此改进是低优先级的。
そういった対策リストには登場しないものの従来から経営層が懸念しているリスクがあるとか、
虽然它没有出现在这样的对策清单上,但管理层长期以来一直关注风险。
組織の歴史が深く、システム環境が複雑になればなるほどこんなローカル事情は増えますし、それを踏まえてリスク評価をしないと納得感のある改善計画に繋がりません。
组织的历史越深,系统环境越复杂,这种情况就会越多,如果不在此基础上进行风险评估,就不会有令人信服的改进计划。
加えて、人脈面も重要です。 此外,网络也很重要。
どういう壁を突破したい時に誰がキーパーソンなのか、その人はどうアプローチすれば突破しやすいのか。
当你想突破什么样的壁垒,谁是关键人物,又该如何接近那个人,让突破更容易?
転職時にはポータビリティの無い(ついでにロマンもない)ノウハウですが、難易度の高い業務を進める時ほど軽視できない要素です。
这是一种在换工作时不便携的诀窍(顺便说一句,没有浪漫),但它是一个不能掉以轻心的元素,就像在进行困难的工作时一样。
余談ですが、昨今は転職するのが当たり前、しないと逆にマズいと言われる世の中ではあるものの、このスキルに限って言えば長くいればいるほどその組織内では磨かれていくため「出世して高いお給料をもらう」ことを目指すのであれば、腹を括って同じ会社で長く頑張るのも1つの戦略だと思います。
顺便说一句,在当今世界,有人说换工作很正常,不换工作就不好了,但就这项技能而言,你在其中待的时间越长,你在组织内得到的磨练就越多,所以如果你的目标是“出人头地并获得高薪”,我认为一种策略是长期在同一家公司努力工作。
4. ソフトスキル、コンピテンシ、性質 4. 软技能、能力和素质
ざっくり書いていますが幅広いです。 它写得很粗糙,但很宽。
「ソフトスキルやコンピテンシ」とは、課題の把握力、解決までの方向性の決め方、段取り力、コミュニケーション力、プレゼン力など様々です。
“软技能和能力”包括把握问题的能力、如何确定解决问题的方向、安排的能力、沟通能力、表达能力等。
「性質」とは、継続的に勉強できるか、素直さとしたたかさをうまく両立できるか、他部門と揉めた時の押し引きに強いか、何か成し遂げられなかった時にへこたれないか、いざという時に人前で指揮することが好きか、みたいな明確に定義できないメンタル面の部分が多いにあります。
有很多心理方面是无法明确界定的,比如你是否能不断学习,你是否能平衡诚实和坚韧,当你与其他部门发生冲突时你是否擅长推拉,当你无法完成某件事时你是否不气馁,你是否喜欢在紧急情况下在人面前行事。
こういうものがいい感じに揃っていて、組織の文化にマッチしていると「仕事ができる」と表現されるように思います(正解が1つではない世界です)。
我认为,如果这些东西处于一个好的位置并且与组织的文化相匹配,它将被描述为“可行的”(在一个没有一个正确答案的世界里)。
この方のポストは、楽かどうかは別として、自分の体験的にも共感するものがありました。
不管这个人的帖子是否容易,在我自己的经历中,有一些东西引起了我的共鸣。
2. セキュリティのマネジメントに関するスキル 2. 安全管理相关技能
セキュリティの原則的な考え方、リスク評価の手法、脅威や業界の動向などが含まれます。
它包括安全原则性方法、风险评估方法以及威胁和行业趋势。
基礎知識を習得するために資格学習が有効であり、CISSPやCISA、安全確保支援士の勉強が役立つと思います。
资格学习对于掌握基础知识是有效的,我认为学习CISSP、CISA和安全保证支持专家是有用的。
また、私が自組織のセキュリティチームに入った頃は本当に何も整理されておらず、以下のような状態から全部整理しました。
另外,当我加入自己组织的安全团队时,真的没有任何组织,我从以下状态组织了一切。
こういう業務経験を通してマネジメントの動き方が自然と身に着いたと思います。
通过这样的工作经历,我想我自然而然地学会了如何进入管理领域。
- 自組織のネットワークにインターネットとの境界面がいくつ・どこにあるのか誰も分からなかった(資産管理、構成管理の未整備)
没有人知道与互联网的接口在组织的网络中有多少或位于什么位置(缺乏资产管理和配置管理) - セキュリティ対策ソリューションはFirewallくらいしかなかった(リスク評価と強化計画の未実施)
唯一的安全解决方案是防火墙(没有实施风险评估和增强计划) - セキュリティインシデントが起きても、そのSeverityを分類する定義も対応手順も無かった(インシデント対応の未整備)
即使发生了安全事件,也没有定义或响应程序来对严重性进行分类(缺乏事件响应)。 - システム開発部門が守るべきセキュリティ要件が明確でなかった(セキュリティ要件の未整備)
系统开发部门要遵守的安全要求不明确(缺乏安全要求)
加えて、去年このブログにせっせと書いていたセキュリティガイドライン類のまとめも大いに役立っています。やはり有識者の知恵は偉大です。
此外,我去年在此博客上撰写的安全指南摘要非常有帮助。 毕竟,专家的智慧是伟大的。
1. ITとセキュリティの技術に関するスキル 1. IT和安全方面的技术技能
さらっと「IT」ってまとめていますが(皆さんご存じの通り)死ぬほど幅広いです。
这是对“IT”的快速总结(众所周知),但它太宽泛了,以至于你可能会死。
セキュリティはとにかく何にでも関わるので、プログラミング、ネットワーク、サーバ、様々なプロトコル、クラウド、IoT とにかくなんやかんやとキリがないです。
安全与一切有关,因此编程、网络、服务器、各种协议、云、物联网等。
「セキュリティ」は攻撃者目線の侵入や診断のスキル(いわゆるレッド系)であったり、防御者目線のログ分析やフォレンジック、マルウェア解析のスキル(いわゆるブルー系)など、これまた幅広です。
“安全”也很广泛,包括从攻击者的角度(所谓的红色类型)的入侵和诊断技能,从防御者的角度(所谓的蓝色类型)的日志分析、取证和恶意软件分析技能。
私の個人的な感覚でしかありませんが、セキュリティ組織を立ち上げて一通り対策を揃えるところまでは、1は高度なスキルが無くとも何とかやってこれると思います。
这只是我个人的感觉,但我认为 1 可以在没有高级技能的情况下设法建立一个安全组织并准备所有对策。
何故かというと、ここまでは外部のセキュリティベンダの力を借りて進められる、お金で解決できる世界だからです。
原因是这是一个可以用金钱解决的世界,可以在外部安全供应商的帮助下推进。
しかし、それが一定程度充足すると、管理粒度を上げたり管理の最適化を目指すこととなり、その際にどうしても技術力が必要になります。Security as Codeなんてまさにです。
但是,一旦达到一定程度,就要以增加管理的粒度和优化管理为目标,这时必然需要技术技能。 安全即代码就是它的全部意义所在。
ここから先に進むには自組織の環境の理解+攻撃手法の理解+各技術領域の理解を連携する必要があるのですが、そこまで踏み込んでくれる外部のセキュリティベンダは見たことがなく、自分達で頑張るしかないと思っています。
为了从这里往前走,有必要共同努力,了解自己组织的环境+对攻击方法的理解+对每个技术领域的了解,但我从未见过一个外部安全供应商走得那么远,我认为我们别无选择,只能尽力而为。
セキュリティマネージャというキャリア 安全经理的职业
セキュリティマネージャって目指せるのかしら という考えを書いてみます。
我想知道我是否可以以成为安全经理为目标。
今、技術的に未経験なんですが 我现在在技术上没有经验。
私はITのスキルもセキュリティのスキルも何も無いんです~という人がセキュリティマネージャを目指すことは可能なのでしょうか。
我没有任何IT技能或安全技能~一个人有可能以成为安全经理为目标吗?
そもそもそんな人いるのかという話もありますが、実は私はこのパターン(※)でした。
有一个故事说一开始就有这样一个人,但实际上,我处于这种模式(*)。
だから可能だとは思いますが、少なくとも上述のスキル4が無いと厳しいように思います。3も重要ですが時間と業務経験が解決します。
所以我认为这是可能的,但我认为至少没有上述技能 4 是很难的。 3也很重要,但时间和工作经验会解决。
自分の知識がない中で組織を支える様々なITインフラの課題を把握して改善を目指すためには、素早くキャッチアップする力、関係者と良好な関係を気づきつつ時にはぶつかって戦う力など、色んなものを駆使しないとやっていけません。
为了在不知情的情况下掌握支持组织的各种IT基础设施问题并旨在改进,您需要充分利用各种东西,例如快速赶上的能力和与冲突作斗争的能力,同时注意与相关人员的良好关系。
最初からその全てを持っていなくとも、必要なスキルや振る舞いを都度気づいてアドオンしていける器用さはいると思います。
即使你从一开始就没有具备所有这些技能,我认为你每次都能灵活地注意到并添加必要的技能和行为。
あと、組織がセキュリティ予算をかけてくれることも大事です。
对于您的组织来说,在安全性上花钱也很重要。
最初、分からない時ほど外部のプロに頼らざるを得ないので、その予算すら出してくれない組織だと詰むと思います。
起初,当你不知道时,你必须依靠外部专业人士,所以我认为如果组织甚至不给你预算,它就会被堵塞。
その意味で、これからセキュリティマネージャを目指して事業会社に飛び込む場合は、自分のスキルにあわせて入る企業の性質を選ぶ必要があるかもしれません。
从这个意义上说,如果您打算以成为安全经理为目标进入一家商业公司,您可能需要根据您的技能选择您想加入的公司的性质。
※ 私は正確には目指していたわけではなく、プログラミング、ネットワーク、サーバなど何一つ経験がない中、たまたま約10年前に独学で旧セスぺを取ったところ「じゃ興味ありそうだからセキュリティ担当ね」とアサインされたのが始まりでした。で、今1のスキルが足りずに苦しいので勉強中です。
* 我的目标并不完全是,但我没有编程、网络、服务器等方面的经验,但大约 10 年前,当我碰巧参加一个自学成才的旧课程时,我被指派负责安全,因为它看起来很有趣。 所以,我目前正在学习,因为我正在为缺乏 1 技能而苦苦挣扎。
今、セキュリティエンジニアの道にいるんですが 我目前是一名安全工程师。
前述の通り、1のスキルが既にある人は強い武器を持った状態からスタートできます。
如上所述,那些已经拥有技能 1 的人可以从强大的武器开始。
2~4のスキルが必要不可欠なことに変わりはありませんが、性質面が大きい4はともかく2、3は数年あれば後から付け足せます。
技能2~4还是少不了的,但2和3可以在以后的几年内加进去,不管4,性质很大。
元々1を持つ人がそれらのスキルを追加した時の化け方は半端じゃないです。
当原本拥有 1 个技能的人添加这些技能时,这并不奇怪。
Xを始めたこの1年間で、高い技術力を持ってそうな方々が、周囲のエンジニアが凄すぎて「自分がこれから価値を出していけるんだろうか」的な悩みを呟いているのを何度も見かけました。
在我创办X的这一年里,我多次看到,那些看似技术能力很高的人,竟然如此了不起,以至于周围的工程师们都惊呆了,以至于他们嘀咕着自己担心自己将来是否能够增加价值。
そういう方には信じられないかもしれませんが、そうした悩めるエンジニアが参画すると一躍ヒーローになれるような場所が、事業会社のセキュリティマネジメントの現場にはあります。
这样的人可能很难相信,但在商业公司的安全管理领域,这些陷入困境的工程师在参与时可以成为英雄。
最初は今いるセキュリティマネージャの片腕となって、エンジニア中心の仕事から徐々にマネジメント領域にも広げていけると二刀流の理想の戦士になれると思います。あとはどこかのCISOになるなり独立するなり(適当)。
首先,我认为如果你能成为你目前工作的安全经理之一,并逐渐从以工程为中心的工作扩展到管理领域,你将能够成为一个理想的双持战士。 之后,您可以在某个地方成为首席信息安全官或变得独立(适当)。
さいごに 结论
ここまで読んで、何が楽しくて事業会社のセキュリティマネージャなんぞやらねばならんのだ。と思う人もいるかもしれません。それは人それぞれなので全く構わないと思います。
现在您已经阅读了这里,作为一家商业公司的安全经理,有什么好玩的,以及你必须做什么。 有些人可能会想。 我认为这完全没关系,因为每个人都不一样。
新技術の第一人者になったり、グローバルな舞台で活躍できるようなベンダ側に比べると事業会社の仕事は内向的でこじんまりしているのも事実だと思います。
与可以成为新技术领导者或在全球舞台上发挥积极作用的供应商相比,我认为运营公司的工作是内向和小规模的。
ただ、私は、事業会社目線で見たときに「沢山いる外部のプロの一人」よりも「セキュリティに詳しくありながら自組織のことだけを本気で考えてくれる稀有な存在」のほうがなんか存在意義ややりがいを感じやすくていいな、と思ったので今のお仕事をしています。
但是,从商业公司的角度来看,我认为如果我有“一个罕见的熟悉安全并认真考虑自己的组织的人”而不是“众多外部专业人士之一”,我会更容易感受到存在的意义和成就感,所以我正在做我现在的工作。
こういう考えに至る組織やキャリアがあるんだな~と思ってもらえればいいかなと思います。
我想如果你能想到有组织和职业导致这种想法,那就太好了~。
ちなみに上にも書きましたが、私の組織でもまさに1のスキルが壁となって悩んでいるので、エンジニアの方大歓迎です。
顺便说一句,正如我上面所写的,即使在我的组织中,1 的技能也是一个障碍,因此欢迎工程师。
私が採用も担当しているのでもし興味あればDM下さいw
我也负责招聘,所以如果你有兴趣,请私信我w
原文始发于 Hatena Blog:【雑記】「事業会社のセキュリティマネージャ」というキャリア