パーソルプロセス&テクノロジー(パーソルP&T)は1月30日、「東洋大学と企業のセキュリティ対策に関する産学連携の開始」におけるメディア向け説明会を開催した。説明会には、パーソルP&T ビジネスエンジニアリング事業部 セキュリティ統括部 統括部長の大隈啓史氏と東洋大学 情報連携学部の満永拓邦准教授が登壇し、産学連携の概要と企業のセキュリティ対策状況について説明した。
同産学連携は2022年度に開始し、企業IT環境における「MITRE ATT&CK」を活用したセキュリティ運用改善に関する産学連携 調査研究を実施している。MITRE ATT&CKは、米国連邦政府が資金提供する非営利組織MITREが運営しているサイバー攻撃の戦術や技術に関するフレームワークの知識ベース。実際に観測されたサイバー攻撃を、戦術と技術に基づいて分類したフレームワークに参照し、実在する100以上の攻撃者グループの詳細や使用するツールを含めて定義が確認できる。
共同研究では、「MITRE ATT&CKなどの実践的なフレームワークを取り入れた、効率的で効果的なセキュリティ運用の実現」と「フレームワークを扱えるセキュリティ人材の育成」をテーマとして掲げる。具体的には、「MITRE ATT&CKの手法を取り入れた独自のフレームワークの構築」「作成したフレームワークを企業で活用できるように知識・実践力を実装した専門人材の育成」「MITRE ATT&CKの普及・利活用を目的とし、専門書籍を共同執筆する」――この3点を軸に取り組むという。
共同研究における取り組み
「セキュリティ運用フレームワーク」においては、「セキュリティ運用方針」「運用マニュアル」「各種ドキュメント」を作成し、顧客にサービスを適用しながら改善を進める。このフレームワークは、同社が培ったセキュリティのノウハウやMITRE ATT&CKなどのベストプラクティスを参照して作成するという。2023年度から、まずは同社が受注したセキュリティ業務の中でフレームワークを実際に活用し、概念実証(PoC)を行う予定だ。
セキュリティ運用フレームワーク
セキュリティエンジニアの育成においては、作成したフレームワークに準じた育成プログラムを構築しており、まずは同社のエンジニアに実施し、レベルアップを図る。また、MITRE ATT&CKの普及では、MITRE ATT&CKに関する書籍を共同で書き起こし、2023年に発刊を予定している。
セキュリティエンジニア育成プログラムの例
大隈氏は2015年、同社においてセキュリティ統括部を立ち上げ、以来多様な顧客のセキュリティ課題解決の支援を進めつつ、パーソルグループ横断のセキュリティ関連の新規サービスの開発を行っている。同部では、インフラ、サイバーセキュリティのテクノロジーを駆使し、マネジメントサービスやインテグレーションサービスを提供。主にセキュリティ部門では「セキュリティコンサルティング/リスク分析」、それに伴う「セキュリティシステム構築」および「セキュリティマネジメント」の3本柱でサービスを提供している。
パーソルP&Tの大隈啓史氏
今回の産学連携の背景について同氏は、企業のセキュリティに対して両者が課題を感じていることがきっかけだったと説明。満永准教授は、「企業のセキュリティ対策が地に足がついたものになっていない。体制や組織を構築しても機能しておらず、セキュリティ人材が不足している。企業に適した人材を育成するべきではないか」という思いを抱えていた。また同社においては、「セキュリティマネジメントサービスの提供において、ユーザーにとってより良いサービスを提供したい。われわれのサービスの価値を上げていきたい」という思いから、今回の連携に至ったのだという。
この課題感から、2つのテーマを軸に共同研究を進めることに合意。情報処理推進機構 産業サイバーセキュリティセンター(IPA ICSCoE)の専門委員を務め、企業や組織のセキュリティ対策、セキュリティ人材の育成、MITRE ATT&CKに精通する満永准教授と、パーソルP&Tが長年培った業務プロセス改善ノウハウ・セキュリティ運用ノウハウを掛け合わせて、セキュリティ運用フレームワークや運用ツール群を作成。最終的には、セキュリティ運用に課題を抱える企業の支援を通して、企業の発展に貢献していくという。