新闻链接：
http://www.ithome.com.tw/news/95020
新闻时间：
2015-04-08
新闻正文：
上周在台湾资安大会上，来自日本电脑网路危机处理暨协调中心（JPCERT／CC）的资安分析师林永熙，指出了日本企业的资安人才缺口，并揭露了日本各政府部会的资安人才培育蓝图。林永熙表示，根据统计，估计日本每年毕业的资安人才为1千名左右，但企业长期的资安人才缺口达2.2万人，之间有20倍的落差。

这项资讯安全人才培育基础调查来自日本资讯技术促进机构（IPA），在企业方面，IPA将日本企业依员工数分成100～300人、300～1,000人及1,000人以上3种规模，并推算出其中员工数100～300人的企业目前现有的资安人员为8.5万人，人力缺口达8,500名，300～1,000人的企业有6.3万资安人员，尚缺6,200名，1,000人以上的大型企业则有8.1万名资安人员，尚缺7,700名。

整体来看，日本目前从事资讯安全领域工作的IT技术人员有23万名，但距离企业所需的资安人才，尚缺2.2​​万人，而根据受访企业经营决策者的回覆，23万名现有从事资讯安全的人员中，有14万名人员还需要加强技术能力。

从学校课程来看，分为接受专门课程训练，以及有机会受到培训课程的两大阶段，其中，每年有机会接触相关训练课程的学生约2万名，然而，接受专门训练课程的只有130人，加上进行相关议题论文发表的学生，预估每年毕业的资讯安全人才只有1千名左右。林永熙表示，可以从这些数据看出日本的资安人才供给能力，尚无法填补企业资安人才缺口。

日本企业8成以上有资安人才需求，近半数处于资安人才吃紧状态
IPA将资安人才未来的职业路径分成六大类，分别为战略统筹、企画设计、开发建构、运作管理、审计、咨询教育，其中在战略统筹方面的资安人才需求最为明显，有高达4成企业认为这类的人才需求紧绷，处于业务吃紧状态，1成企业则认为已经迫在眉睫，急需人才，否则公司将无法继续营运，其他在各类资安人才需求上，普遍有近半数的企业觉得人才处于紧绷状态，8成以上认为有资安人才缺乏情形。

有趣的现象是，IPA分别询问经营决策者及员工，是否认为公司经营决策者对资讯安全非常了解，超过1成经营者自己觉得非常理解，过半数认为已大致了解，但对于员工来说，只有不到4％员工认为公司的经营决策者对资讯安全非常理解，3成员工认为高层大概理解，可以看到经营决策者与员工之间认知上的落差，有鉴于此，日本也有部分的资安人才培育计画，着重在管理者的培训。

为了填补企业人才缺口，日本政府祭出资安人才培育三箭，要进一步从企业、政府及教育三大面向，分别由经济产业省、总务省及文部科学省来推动，不只要协助企业培训内部的管理者及员工，也从政府内部开始施行实境演习，培训对象扩及各产业人员，还要将网路安全道德观融入中小学教材纲领中。

资安第一箭：官办资安人才培训，力推资安认证
首先，第一箭射向企业，由主管企业的经济产业省来推动，包括协助企业订定企业内部不正常行为纲领（员工的违法行为）、提供资讯安全应对的工具及相关培训、设立互联网安全教室、订定资讯处理技术人员考试的新项目、CSSC工控系统安全中心的普及人才培育、举办资讯安全营，以及举办SECCON（官民合作CTF）等。

其中，互联网安全教室有一部份是针对学校，为了要防止在学学生点到恶意软体或感染到病毒，资讯安全营则是企业针对20岁以下的学生进行培训，教他们撰写安全代码，并举办小型的模拟入侵与防御竞赛，而延续好几年的资格考试，经济产业省则增设了一项安全管理人员考试，并入IoT及云端两个要素，这些主要都是针对企业资安人才需求所推动的计画。

林永熙也特别提到，在日本资讯安全领域上，取得资格证照也是企业寻找人才的指标之一，企业重视的相关资格考试包括资讯安全专家认证考试、系统审计技术人员、CISSP、CISA、网路资讯安全等，整体而言，日本国内的资格认证需求并不小。

林永熙也分享了日本在今年2月举办的骇客竞赛SECCON CTF，遵循一般CTF（Capture the Flag）的竞赛模式，先在各地区举办预赛，再办决赛，当时第一名为韩国，第二名台湾，第三名美国，虽然日本团队的名次排在4名之后，但林永熙说，日本举办CTF目的是要鼓励年轻人参与，竞赛名次反而是其次，当时最年轻的参赛者才14岁，也可以看出日本想普及的决心。

林永熙表示，根据统计，虽然企业内部发生的恶意行为机率不到1%，但平均受影响的员工超过四分之一以上，有时还牵涉到复杂的法律层面。他举例，去年日本一间企业发生重大资料泄露事件，超过4千万笔资料遭窃，总共损失了200亿，不过，该公司原本就已经有相关的措施，并禁止员工携带个人物品、电脑进入，却仍然发生资安外泄事件。因此，林永熙也强调，不是有了防护措施就不用担心，企业需要再进一步思考如何让这些措施持续有效运作，才是最重要的。

资安第二箭：举办实境演习，强化公务员资安因应能力
再来，第二箭则是针对政府内部人员培训，由于目标式攻击类型是日本近年最伤脑筋的资安问题之一，主管通讯部会的总务省，特别将目标式攻击列入人才培育的重点项目，每年对公务人员进行目标式攻击的演练，像是发送目标邮件攻击给公务人员来测试有没有人会受骗，光是去年就有多达数万名的公务人员参与演练。

此外，总务省也会定期举办资讯安全演习CYDER（Cyber​​ Defense Exercise with Recurrence）来培训政府人员。演习时会先建立一个测试的攻击环境（StarBED），并扮演各种攻击角色、上司、同事或是业务上会联系的人，而参与者会被聚集在一个演习会场中，透过专用线路连接到StarBED ，在StarBED环境下进行实际演练。

CYDER演习大约每一、两个月举办一场，每场次为期2天，第1天早上会先给参与者Check list核对表，来验证参与者所具备专业技能，并解说相关案例及活动进行方式，下午便开始进行操作演习，第2天则是评审回馈与讲评，CYDER演习在2013年举办了10次CYDER演习，有33个组织，将近300人参与，2014年则举办7次，共有50个组织，200名人员参与。

林永熙表示，前期CYDER演习主要是对政府人员的培训，不过从去年底开始，也加入了其他​​重要基础设施领域的人员，整体而言，这是一项对于整个国家重要基础设施的保护教育措施计画。

资安第三箭：向下扎根，中小学教材纲领纳入资讯伦理
最后，第三箭射向教育面，要向下扎根，将网路安全道德观念列入中小学生的教材纲领中。主管教育的文部科学省强调资讯道德观念，将高中生的教材纲领分为社会资讯及资讯科学，两个阶段贯穿，强调资讯道德。在技​​术层面上，希望让学生理解网路运作，如何用资讯有效解决问题，将资讯集中到资料库之中，再找出所需的资讯来解决问题，中、小学生则皆以资讯道德为主轴。不过目前这些计画项目还只是纲领阶段，尚未写进教材之中。

林永熙表示，文部科学省拟定这些纲领的目的除了在教育各个阶段贯穿资讯道德观念之外，在实际技能上，也要培训中学生，让他们能写出一个简单程式，来满足自己的想法或需求，而对于高中生，则希望能具备将程式自动化的能力，进一步写出符合自己演算法及想法的程式。文⊙辜腾玉

[课程]Linux pwn 探索篇！