web-dev-qa-db-ja.com

コンピュータセキュリティ分野でのキャリアパスは何ですか?

どのような種類の仕事があり、どの組織にどのような種類の日常的な責任がありますか?

学校を出て来る人にとって良い分野と、さまざまな分野から来た経験豊富な人にとってのセカンドキャリアとはどのような分野ですか?

85
nealmcb

「セキュリティ」のようにニッチなように見えますが、実際には、いくつかの主要なタイプの役割と、いくつかの対象範囲が含まれています。これらは実際にはかなり異なります...

一般的な役割:

  • エンタープライズITセキュリティ部門
    これらの担当者は通常、ポリシーの施行、監査、ユーザーの認識、監視、企業全体のイニシアチブ(SIEM、IdMなど)、および偶発的なインシデントレスポンスを主に扱います。また、サードパーティ製品(COTSまたはFOSS)の購入、およびアウトソーシングRFPでセキュリティPoVを行う可能性があります。
  • 開発グループ(エンタープライズまたは開発ショップ)のセキュリティチーム
    主にプログラマーの教育とトレーニング、いくつかのセキュリティテスト(または外部テストの処理、以下を参照)を扱います-これには、ペンテストとレビューコードの両方が含まれ、セキュリティ機能を定義する場合があります。一部の組織では、セキュリティチームがリスクの管理、脅威のモデリングへの参加なども担当します。
  • 外部コンサルタント/監査人/セキュリティテスター
    これは通常、上記のすべてを何らかの形でカバーしますが、ほとんどの場合、侵入テスト、コードレビュー、および規制順守の監査(PCIなど)に重点を置いています。さらに、セキュリティの専門家として、関連するすべてのアドバイスを提供するなど、他のタイプの組織の頼りになる人です。したがって、通常は(必ずしもそうではありませんが;-))より最新であることが期待されます。誰よりも。
  • 研究者
    これには、暗号学者などの学術レベルの調査や、一部の大規模セキュリティベンダーの調査部門、新しいエクスプロイト/ウイルス/攻撃/欠陥/緩和モデルなどの調査と検索が含まれる場合があります。これらは実際にはまったく異なる、ベンダーの研究は製品開発として扱われることが多いのですが、学術的な研究-ええと、私はそれについて話すことができません。

同様に、上記のすべてに専門知識のさまざまな分野があり、ある専門家は必ずしも他の分野で何も言う必要はありません。

  • ネットワークセキュリティ、例えばルーター、ファイアウォール、ネットワークのセグメンテーションとアーキテクチャなど.
  • もちろん、O/Sのセキュリティは、O/Sの種類に応じてさらに細分化されます(つまり、Windowsのセキュリティ専門家とLinuxのセキュリティ専門家は、互いのことをあまり知らない可能性があります)。
  • アプリケーションのセキュリティ-つまり、安全にプログラムする方法(言語、テクノロジーなどに応じて細分化するために可能性があります)だけでなく、アプリケーション層の攻撃、例えばWeb攻撃など.
  • リスク管理の専門家-ビジネス側により重点を置き、技術的ではない
  • コンプライアンス担当者-一部の場所にはこれらの専門家がいて、関連するすべての規制などの専門家です(これは国境を越えた弁護士のような仕事です!)。
  • アイデンティティアーキテクト-複雑でIdMの実装などがある、セキュリティを意識した大規模な組織向け...
  • 監査およびフォレンジックの専門家は、主にSIEM/SIM/SOCを扱い、事後の調査も行います。

その上、(スタックの各レベルで)安全なシステムの構築に特化したものと、それらを破壊することに時間を費やすものがあります-そして、それは常に共有される専門知識ではありません。

私がスキップしているニッチニッチはおそらくもっとありますが、あなたは写真を撮り始めています...ご覧のように、セキュリティ担当者またはギャルが日常的に行うことは同じくらい広く、彼らが働いている会社や、彼らが取り組んでいるシステムによって異なります。ほとんどの場合、これはいくつかのハットをシフトし、主に短いタスクで作業する必要があります...しかし、(通常)変わらないのは、ファイアウォールルールの定義としての技術的な仕事であるかどうかにかかわらず、リスク(および脅威)に集中するための要件です、または組織の現在のセキュリティ体制についてビジネスや弁護士のタイプと通信します。

フィールドに入る方法については?理想的には、他の分野での経験(できれば専門知識)があり、セキュリティに特化できることが理想です。
以前はネットワークエンジニアでしたか?すばらしいです。まずネットワークセキュリティに焦点を当て、そこから始めましょう。
あなたは現在システム管理者ですか?すばらしいですね。すでにセキュリティに少し取り組んでいると思います。その分野でさらに学習を始めてください。
子供の頃からプログラミングをしていて、セキュリティに移行したいですか?素晴らしいですが、入力の検証、暗号化、脅威の軽減、安全なDBアクセスなどについてすでに学んでいるはずです。さらに学習し、不足しているものを見つけて、電話をかけてください;-)。
など...一方で、バックグラウンドがなく、セキュリティを開始したい場合は、それはさらに難しくなります-すでに説明したように、セキュリティ担当者はそれが何であれ、専門家。侵入テストチームに参加して、そこから成長することができます...重要な部分は、リスク管理(および技術的な脅威モデリング)に焦点を当てることです。

また、セキュリティに関する本やブログをたくさん読むことを強くお勧めします(ブルースシュナイアーの記事を楽しんでいます)。また、アプリケーションの側面として [〜#〜] owasp [〜#〜] も試してみてください。

80
AviD

将来の参照と完全性のために、 K Cyber​​ Security Challenge サイトには、セキュリティロールの8つの異なるカテゴリのニースリストがあり、各ロールとサンプルロールについての説明があり、 Institute of Information Security Professionals(IISP) (私が推測した研究の後)。

http://cybersecuritychallenge.org.uk/careers/typical-roles/

私はここに内容を引用します:

インシデントおよび脅威マネージャー、フォレンジックエキスパート

いずれにせよ、あなたの仕事は石炭の正面にあります。組織のネットワークのセキュリティを管理し、攻撃者の侵入を防ぐことができます。他のネットワークをテストしてセキュリティを評価し、攻撃に対する脆弱性を低くする方法をアドバイスする会社で働いているかもしれません。誰もすべてのインシデントを回避することはできません。そのため、あなたはインシデントマネージャーであり、危機に迅速に対応し、影響を管理することができます。ビジネスにとって難しい選択があるかもしれません。何が起こったのか、またはシステムを正常に機能させるために何をする必要があるのか​​を技術的に理解していない他のマネージャーと協力する必要がありますが、特定の機能が停止した場合のビジネスへの影響については知っています。攻撃者がどのように侵入し、何をしたかを確認するために、法医学分析を行う必要があるかもしれません。さまざまなインシデントに対応するために何をすべきかを計画し、すべてのさまざまな要求のバランスをとることは、危機を適切に管理するために重要であり、あなたはビジネス継続性計画チームの重要なメンバーになるでしょう。この領域には、新しいマルウェアの調査、対策の検討など、非常に技術的な仕事がいくつかあります。加えて、もちろん、モバイルデバイスがますます多くのデータを保持し、以前はコンピュータでのみ可能であった機能を実行するようになっているため、すべてがネットワーク上にあるわけではありません。

このカテゴリのサンプルの役割:インシデントおよび脅威の管理と対応。インシデントマネージャー、脅威マネージャー、フォレンジック–コンピューター–モバイルおよびネットワーク–アナリスト、CSIRT、攻撃調査官、マルウェアアナリスト、侵入テスト担当者、災害復旧、ビジネス継続性。

リスクアナリストおよびマネージャー

これを行うには、さまざまな脅威がビジネスにどのように影響するかを理解し、どのリスクを取り除き、どのリスクを取るかについてアドバイスする必要があります。理事会はあなたのアドバイスを聞き、ビジネスへの影響を明確に示す非技術的な言葉でリスクを説明できるようにする必要があります。一部のリスク管理者は非技術的であり、ビジネスを通じて出現しました、他はビジネスの技術的な側面から来ました。一部の人々は、ネットワークの監査に関与し、コンプライアンスの問題が確実に理解され、処理されるようにします。調査への回答の1つは、これらの人々は「リスクとコンプライアンスについてクライアントに話しかけ、法律、法律の変更、弱点を特定し、クライアントのコンプライアンスを支援する」と述べています。

このカテゴリのサンプルの役割:リスク管理、検証、コンプライアンス。リスク分析者、リスク評価者、ビジネス情報セキュリティ責任者、レビュー担当者、監査人。

政策立案者および戦略家

これらは、企業がさまざまなセキュリティリスクにどのように対処するかを定義するセキュリティポリシーを考案する人々です。ポリシーを正しく取得することは、組織が法的義務を果たすために不可欠です。人々に政策を実施させることは、政策がなぜ重要であるかを人々に示し、助言に従わないことの潜在的な結果の認識を高めることを意味します。民間部門では、多くの場合チームがサポートするこの作業を主導するCISO(最高情報セキュリティ責任者)がいます。政府にはITSO(ITセキュリティ担当者)とDSO(部門セキュリティ担当者)がいます。後者は、物理的、人的、および情報セキュリティの問題に責任があり、ITセキュリティ担当者は通常、それらに報告します。

このカテゴリのサンプルの役割:戦略、ポリシー、ガバナンス。ストラテジスト、ポリシーマネージャー、ITSO、DSO、CISO。

操作とセキュリティ管理

組織のネットワーク、ラップトップ、またはモバイルデバイス上の組織のデータを保護する責任があります。私たち全員がさまざまな作業方法を選択し、新しいテクノロジーの開発が毎日新しい可能性を生み出しているため、最新の状態に保つ必要があります。暗号化や、ファイアウォールのルール、セキュリティログ、インシデントレポートなどの保護対策を管理できます。

このカテゴリのサンプルの役割:運用とセキュリティ管理。ネットワークセキュリティ担当者、システムセキュリティ担当者、情報セキュリティ担当者、暗号管理者、情報管理者。

エンジニアリング、アーキテクチャ、および設計

システムの設計を正しく行うことができれば、攻撃者が侵入するのを難しくすることができます。しかし、状況は日々変化し、継続する場合は高速で実行する必要があります。ハードウェアまたはソフトウェア、設計と開発、または安全なアプリケーションを扱っている場合があります。あなたは才能のある安全なソフトウェアライターである可能性があります。過去の多くのコーダーは、最初に市場に出るというプレッシャーに駆られ、セキュリティに対する認識が不十分でした。セキュリティツールを設計または販売できます。販売とマーケティングはビジネスの重要な部分です。

このカテゴリのサンプルの役割:エンジニアリング、建築、デザイン。建築家、デザイナー、開発、安全なコーディング、ソフトウェアの設計と開発、アプリケーション開発。セキュリティツール、実装。

教育、トレーニング、認識

トレーニングは、今日のビジネスで私たちのほとんどの継続的な必要性です。新しいテクノロジーがオンラインになると、スタッフはそれらを効果的に使用してビジネスを存続させ、安全に成功させ、新しいリスクを管理できるようにする方法を理解する必要があります。専門家は、新しい攻撃ベクトル、セキュリティを管理する新しい方法、リスクを評価および伝達する新しい方法を理解できるように、最新の状態に保つ必要もあります。一部のセールスジョブは、ビジネスで必要なものについて顧客を教育する際に、この仕事と密接に関連しています。すべてのレベルのトレーニングに対応し、最新の資料を維持するために最善を尽くしているトレーニング会社がいくつかあります。私たちの調査の回答者の1人は彼の仕事を次のように説明しました:「内部および他の組織へのサービスとしての両方でサイバーセキュリティ関連の問題の意識を高めること。サイバーセキュリティトレーニングコースを内部的に、また他の組織にサービスとして作成、認定、提供すること。」.

このカテゴリのサンプルの役割:教育、トレーニング、認識。セキュリティプログラムマネージャー。

調査

研究には多くの分野があり、高度に技術的なものもあれば、よりポリシー指向の研究もある。複雑なモデルを作成して、技術的支援なしに理解できるよりも速く変化している状況を理解できるようにする人もいます。他の人たちは、将来のテクノロジーについて考え、それらがどのようにしてセキュリティをよりよく管理するのに役立つかを考えています。調査の回答者は、仕事を「リスクを管理するための新しいテクノロジーを調査し、新しいテクノロジーでリスクを管理する方法を学ぶこと」と説明しました。セキュリティ研究のほとんどの人は前者、暗号、ファイアウォールなどに集中していますが、後者はインターネット2.0を保護することがはるかに重要です。 「次の「大きなもの」を探す」; 「現実世界で攻撃が行われる方法を調査しています。さまざまな種類のマルウェアとそれらがどのように変化するかを追跡することにより、顧客に対する大規模なストライキを防ぐことができます。現実の世界で見られるものに基づいて新製品を発明し、開発者と協力してこれらの製品を生産してください。」

このカテゴリのサンプルの役割:リサーチ。セキュリティ研究者。

インターネット犯罪とデータ保護に関する助言と訴追を専門とする弁護士。

データセキュリティとインターネット犯罪の助言と訴追。これらの犯罪の加害者を起訴することは容易ではなく、企業は彼らの責任を理解し、証拠をまとめる助けを必要としています。近年のデータ損失以来、法律にいくつかの重要な変更がありました。たとえば、システム上の人々のデータの世話を十分に行っていない組織は、最高50万ポンドの罰金を科される可能性があるため、セキュリティポリシーを監査して目的に適合していることを確認したいと考える人がたくさんいます。

このカテゴリのサンプルの役割:データ保護とインターネット犯罪に関する助言と訴訟を担当する弁護士。

27
john

SANS Instituteは、このトピックに関するパンフレットを$ 5.00で提供しています: The 20 Coolest Jobs in Information Security 。そのWebページには、タイトルといくつかのサンプルの説明がリストされています。

4
P3nT3ster