それは緊張した瞬間でした。サンフランシスコで開催された 2016 年の RSA カンファレンスに登壇する 20 分前に、アッシュ カーター米国国防長官は、米国政府初のバグ報奨金プログラムを創設する協定に署名しました。

「私は最前列に座って、ただ首を振って、すべてが予定どおりにうまくいくように祈っていました」と、バグ報奨金プログラムを監督した元米国国防総省 (DoD) 官僚ハッカーのリサ・ウィズウェルは語ります。

そして、うまくいきました。 「国防総省をハックする」と名付けられたこのプログラムでは、1,400 人のセキュリティ研究者が指定された公開国防総省 Web サイトの脆弱性を追跡できるようになりました。 250 人以上の研究者がこれらの脆弱性を発見して国防総省に報告し、国防総省は彼らの努力に対して総額 15 万ドルを支払いました。

「少額ではありませんが、通常のプロセスであるセキュリティ監査と脆弱性評価を外部の会社に依頼していたら、100万ドル以上の費用がかかっていたでしょう」とカーター氏は声明で述べた。

プログラムの成功に基づいて、国防総省は 2016 年に「Hack the Army」を開始し、続いて 2017 年に「Hack the Air Force」を開始し、システムのセキュリティ脆弱性に引き続き対処しました。サイバーセキュリティをクラウドソーシングするこの方法は、サイバー人材の採用と維持に苦戦し続ける多くの組織が注目している方法の 1 つです。

最新の情報によると世界的な情報労働力に関する調査、サイバーセキュリティの人材不足は 2015 年から 20% 増加するペースで進んでおり、2020 年までに 180 万人のポジションが埋まらない状態になります。

「労働者は、情報セキュリティ担当者が少なすぎるさまざまな理由を挙げていますが、これらの理由は地域によって異なります。しかし、世界的に見て、労働者不足の最も一般的な理由は、資格のある人材の不足です。」と報告書の調査結果は述べています。 「この傾向が最も一般的なのは北米です。北米では、専門家の 68% が自分の部門のサイバーセキュリティ担当者が少なすぎると考えており、過半数は資格のある人材の不足が原因であると考えています。」

この問題に対処するために、調査回答者は、世界中の採用担当者の 3 分の 1 以上が部門の規模を 15% 以上拡大する計画を立てていると報告しました。しかし、このレポートでは、歴史的にサイバーセキュリティ人材に対する需要が供給を上回っていることが判明しており、この傾向が続けば現在の労働力ギャップはさらに悪化することになるだろう。

「自分の分野の人材が少なすぎると感じている専門家が増えていることから分かるように、従来の人材採用チャネルが世界中のサイバーセキュリティ人材の需要を満たしていないことは明らかです」と報告書は説明している。 「したがって、採用担当者は新しい採用チャネルを模索し始め、従業員のギャップを埋めるための型破りな戦​​略と手法を見つけなければなりません。」

職員のギャップを埋めるための手法の 1 つが FBI によって使用されています。FBI には職員の訓練と育成の長い歴史があり、捜査員と局員を任務の推進に向けて常にトップの状態に保ちます。

カジノサイト 2017 に出演したクリストファー レイ FBI 長官は、FBI がサイバー適性のある個人を特定し、サイバー犯罪を特定して捜査するために必要なスキルを身につけられるように訓練するための訓練プログラムを作成したと説明しました。

「すべての攻撃を阻止したり、すべてのハッカーを罰したりすることはできませんが、能力を構築することはできます」とレイ氏は語った。 「当社はビジネスのやり方を改善し、従来の技術を融合し、管轄区域ではなくサイバー経験に基づいて作業を割り当て、サイバー チームが即座に展開できるようにしています。」

ジョン・カリアーノサイバー準備監督特別捜査官の課長補佐はインタビューで、FBIが全職員のサイバー能力を強化することを内部で検討していると述べた。

「サイバーに精通した人材はすべてサイバー部門に所属しているという観念的な考えがあります」と彼は付け加えた。 「サイバー部門以外にも非常に才能のある人材がたくさんいます。他の分野で働いていた人もいます…目標は、捜査の分野での仕事を始めて、全従業員の能力を向上させ、今日のサイバーとデジタルの脅威について基本的な理解を得るようにすることです。」

これを行うために、FBI は従業員にサイバー人材評価を受けさせています。この評価では、採用時にもたらされたスキルセット、業務で学んだスキル、サイバーセキュリティとテクノロジーに関する正式および非公式のトレーニングへの適性が調べられます。

その後、FBI は職員を初心者、少し上級、上級の 3 つのカテゴリーに分類します。その後、従業員は SANS Institute や提携大学が提供する外部の教育コースに派遣され、サイバーセキュリティについてさらに学び、その知識を FBI に持ち帰ります。 FBI は民間部門と協力して、SCADA ネットワークの運用方法などの専門スキルを教える従業員を派遣しています。

2016年、FBIはサイバー部門に属さない職員270名をサイバー訓練のために特定した、とカリアーノ氏は述べた。それらの従業員の約 3 分の 2 は当初は初心者として分類されており、カリアーノ氏は、事務局が当面は評価とトレーニングを継続する予定であると述べています。

また、FBI は専門チームのために、最終的には FBI 全体に提供される社内トレーニングを継続的に開発しています。

「いつか、すべての FBI 職員がこれらのコースを受講し、合格するでしょう。」と彼は言います。 「人々は、深さと防御の意味、ネットワークを保護する方法、IP アドレスを追跡する方法を理解するでしょう。」

これらの専門チームには、重大なサイバー インシデントが発生したときに展開する従業員で構成されるサイバー アクション チーム (CAT) が含まれます。たとえば、2013 年にソニーのハッキングが発生したとき、FBI の初期対応チームには CAT メンバーでもある数人のメンバーが現場に派遣されていました。

FBI は事件の深刻さを認識すると、完全な CAT をソニー本社に送り、ネットワーク オペレータと連携してログを精査し、攻撃がどのように広がったかを確認しました。

このトレーニングは現在の従業員に専門能力開発の機会を提供する一方、FBI は FBI に採用できる将来の人材を特定することにも重点を置いています。

「お金では競争できませんが、使命では競争できます」とカリアーノ氏は言い、FBI はしばしばサイバー脅威を調査し、民間部門がやらない方法でそれに対処できるため、従業員に「より深い充実感」を与えられると付け加えた。

才能ある人材を惹きつけるために、FBI はすべての大学生を対象としたオナーズ インターン プログラムなど、さまざまな取り組みを行っています。また、大学院プログラムもあり、FBI が大学院生または博士号取得の費用を負担します。また、Pay It Forward プログラムを通じて高校レベルの生徒にもアプローチしており、サイバー適性を示す可能性のある数学、科学、テクノロジーに取り組む生徒を対象としています。

「人員計画の目標として、私たちは学校で訓練を行っており、高校レベルまで引き下げています」とカリアーノ氏は語るセキュリティ管理.

ウィズウェル氏は、2017 年に国防総省を辞めて以来、別の新しい人材採用チャネルを推進しています。公共部門を辞めた後、彼女はサイバーセキュリティ エンジニアリングおよびコンサルタント会社である GRIMM に主任コンサルタントとして勤務しました。彼女の主な責任の 1 つは、HAX プログラムを実行する GRIMM 学術パートナーシップ プログラムを監督することです。

HAX を通じて、学部のサイバーセキュリティ クラブは親善試合に参加し、実践的なサイバー経験を積むことができます。 GRIMM は、ペンシルベニア州立大学アルトゥーナ校のセキュリティ リスク分析クラブおよびシート起業家フェロー プログラム、ミシガン工科大学 (MTU) のレッド チーム、ジョージ メイソン大学の競争サイバー クラブ、およびロチェスター工科大学のロチェスター サイバーセキュリティ クラブと提携しています。

学年度を通じて、HAX の参加者はチームに分かれ、GRIMM エンジニアのジェイミー ガイガーが設計した、コンピューターのキャプチャ ザ フラッグ チャレンジに似たプログラムを完了します。参加者には個人で競争するオプションもありますが、ウィズウェル氏は学生たちにチームを作ってコミュニケーション スキルを磨くことを奨励していると述べています。

「この分野の多くは、多くの場合、個人主義に焦点を当てています。そして本当に必要とされているのは、上下両方でうまくコミュニケーションし、チームでうまく働く能力、そして効果的な分析スキルを持つ能力です。」と彼女は説明します。 「このようなチームベースの課題に取り組むことで、よく学べること。」

GRIMM は、ワシントン D.C. 地域とミシガン州 (提携している 2 つの大学の近く) にオフィスを構える同社の人材パイプラインを構築するために、特にこれらのプログラムを選択しました。 GRIMM は、HAX を通じて大学生と関わることで、人材パイプラインを構築し、自社スタッフの多様性を高めたいと考えています。

「HAX は、これらの両方を実現するための取り組みです」と Wiswell 氏は言います。 「私たちはある意味善行者でもあります。プログラムに参加している人たちが GRIMM で働くことに興味がないとしても、それは問題ありません。私たちは彼らが自分の才能を活かしてどこかに行ってくれることを願っています。」

ウィズウェル氏によると、だからこそ、サイバーセキュリティの分野で働く人々とつながるための挑戦や経験が重要なのです。なぜなら、それは学生が卒業後に何をしたいかについて情報に基づいた決定を下すのに役立つからです。

「私たちは、学生が非常に円満に感じられるように、既成概念にとらわれずに考えようとしています。そうすることで、学生は、この労働力のどの部分に最も興味があるかを決定できるようになります。」とウィズウェル氏は述べ、現在の課題は Linux と Microsoft システムに焦点を当てているが、将来的にはハードウェアやその他の分野も含まれる可能性があると説明しました。

そして、卒業までにさらに経験を積むために、いつか雇用してくれるかもしれない企業とつながるために、バグ報奨金プログラムに参加することを学生に奨励しているとウィズウェルは言います。

「すでに多くの優れたスキルを持っており、スキルを磨き、お金を稼ごうとしている場合、バグ報奨金プログラムはそのための素晴らしい方法だと考えています」と Wiswell 氏は説明しますセキュリティ管理。 「GRIMM はサービスプロバイダーとしていくつかのバグ報奨金と提携しており、バグ報奨金を自ら主催することで利益を得られる企業だけでなく、参加に興味のある個人の幅広いグループに参加してもらえるよう支援しています。」