2020年10月13日
2020年10月13日に情報セキュリティ局(AIS)において、プロジェクトで利用しているSecBoKに関する勉強会を開催しました。SecBoK(Security Body of Knowledge)とは、NPO日本ネットワークセキュリティ協会(JNSA)がセキュリティ業務に携わる人材の役割、タスク、必要とされる技術を体系的に整理し、一覧にしたものです。SecBoKは、アメリカ国立標準技術研究所(NIST)が作成したフレームワークも参照して作成されています。
ベトナム側からはAIS職員の他にベトナム情報セキュリティ協会(VNISA:Viet Nam Information Security Association)から3名の方が出席しました。
現在AISは政府機関におけるセキュリティ業務の役割を定義し、セキュリティ業務に就くための必要な資格を設定することを行っています。ベトナム側は以下のような課題を認識していることから、日本の持つ知見を共有し、そこから学びを得ることを本勉強会の目的としました。
・セキュリティ業務の役割は政府向けであり、民間企業に適用できる形式になっていない。
・ベトナムにはNISTやSecBoKのような役割、タスク、スキル等に関する一覧や関係性を示した資料が存在しない。
なお、日本とは違い、セキュリティ分野で業務する際に資格は持つことが必須条件になります。また、ベトナムでは政府でも民間でも(特に小規模の銀行等)、1人が複数の役割を持つことは普通なので、そのような場合でも新しい職員を体系的に教育する基準を作ることも検討しているとのことでした。
勉強会では、SecBoKを開発したJNSAがWebサイト上で公開している文書・情報をもとにして、JNSAの組織、SecBoKの変遷と概要、利用方法について説明しました。また、日本国内で情報処理推進機構(IPA)が提供しているIT資格やITスキル標準(ITSS)とSecBoKの関係等も説明しました。その後、インドネシアとベトナムにおけるJICAサイバーセキュリティプロジェクトでの適用方法を解説しました。
SecBoKの日本国内での応用例としては、教育機関等がカリキュラムを作成する際に参照する例が多いようです。また、国際資格を提供している団体の1つのCompTIAは自社の研修をSecBoKにマッピングしています。
本プロジェクトにおいては、AIS職員の研修計画であるキャリア開発計画(CDP)を作成する際に、各職員に対してSecBoKで定義されたセキュリティ業務役割を割り当てています。
本勉強会を通して、AIS・VNISAからは以下のようなコメントが得られました。
・日本のSecBoK活用事例から多くの教訓が学べた。
・SecBoKは政府のみならず民間企業にも適用できる、有用なフレームワークである。
・日本は10年以上かけて様々なセキュリティフレームワークを作成し、SecBoKに至っている。しかし、現在でもまだ更新が必要であることから、ベトナムにおいても作成には長い時間がかかるだろう。
・ベトナムの大学でもセキュリティに関するカリキュラムや資格を作りたいと考えており、インドネシアで実施している技術協力プロジェクトには大変興味がある。
今後は、AISとVNISAが協力して、ベトナムでの役割定義やSecBoKのベトナム版作成に向けて検討を続けるとのことです。プロジェクトではCDP(キャリア開発計画)作成・レビューを通じてノウハウをためて、ベトナム側における検討の材料として、必要に応じてAISやVNISAへ情報提供および勉強会を開催することを考えています。
独立行政法人国際協力機構
〒102-8012東京都千代田区二番町5-25 二番町センタービル
電話番号:(03)5226-6660から6663(代表)
Copyright © Japan International Cooperation Agency
