CEHオンライン受講インタビュー日立ソリューションズ・クリエイト 様
日立ソリューションズ・クリエイト
デジタルトランスフォーメーション事業部 セキュリティビジネス本部
セキュリティビジネス推進センタ
セキュリティスペシャリスト 課長
上野 貴之 氏
デジタルトランスフォーメーション(DX)事業部
アプリケーション開発、プラットフォーム(インフラ)構築、セキュリティ、AI/IoTの4本柱で事業を行っています。
特定の事業やお客さまに特化せず、全事業部に対応するのが目的となっています。
弊社には金融・社会・産業・モバイル・DXの5部門がありますが、当事業部ではどの業種にも対応できるような製品やプラットフォームの開発、構築を行っています。
セキュリティビジネス本部
セキュリティに関わる業務を行っています。脆弱性診断やメール訓練、コンサルティング等のサービスを提供するセキュリティサービス部、セキュリティ製品の提供および構築をメインとするセキュリティソリューション部の2つに分かれています。
セキュリティビジネス推進センタ
2020年4月に設立され、既存サービスソリューションに対しての付加価値を向上できる製品/サービスの模索や、弊社が強みとするAI/モバイルと組み合わせたセキュリティ事業の強みをさらに引き出すための企画検討、そしてそれを支える人財の育成としてホワイトハッカー育成など、プロモーションを兼ねた事業活動を行っています。
日立ソリューションズ・クリエイト
デジタルトランスフォーメーション事業部 セキュリティビジネス本部
セキュリティサービス部
白坂 理佳 氏
セキュリティサービス部に所属していますが、私はサービス提供側ではなく、日立グループの皆が製品およびサービスをセキュアに開発・運用・保守できるようにする支援(ナレッジや規則、ツールの使用手順書の作成)を行っています。
開発経験をもとに、セキュリティ開発のガイドライン、SDLC(ソフトウェア開発ライフサイクル)やシフトレフト(開発プロセスの早い段階でセキュリティ対策を検討すること)の考え方を開発チームがスムーズに導入しやすい手順書の作成、セキュリティ統制の企画検討、コンサルティング業務もしております。
また、ホワイトハッカー育成プロジェクトの一員としてセキュリティコンテストの運営をしており、2020年度は新型コロナウイルス感染症(COVID-19)の影響により集合研修が難しいため、オンライン開催ができないものか検討しております。
検討の背景
<日立サイバーセキュリティセンター Entrance>
ーー検討のきっかけや背景をお聞かせください。
日立ソリューションズ・クリエイト 様(以下、HSC様) 新たな攻撃手法が次々に開発され、国家レベルでサイバー攻撃が行われている近年、サイバー攻撃への対策は、事業を行う企業にとって必要不可欠です。しかし一方で、さまざまな手法で攻撃を仕掛けてくるサイバー犯罪者からの攻撃に対し自社だけで対応することは、人的リソース、技術的リソースの不足から困難であることが問題となっています。
そこで当社では、2016年から全社横断でホワイトハッカー育成プロジェクトを立ち上げました。これまで培ってきた高度なITと幅広い業種・業務分野における経験・ノウハウをベースに、お客さまの環境や状況に応じて、より良いセキュリティ環境の構築を支援するための人財育成を進めています。
2019年12月には、日立製作所、日立ソリューションズ、そして当社共同で日立グループにおける高度セキュリティ人財の育成、およびサイバーセキュリティ研究を目的とした「日立サイバーセキュリティセンター」を開設し、実戦演習などのトレーニングを通じて、システムおよびサービス開発におけるサイバー攻撃対策の技術力向上を図り、セキュリティ人財を育成しています。
■高度セキュリティ人財の育成とサイバーセキュリティ研究のための「日立サイバーセキュリティセンター」を開設
https://www.hitachi-solutions-create.co.jp/company/newsrelease/2019/1205_01/index.html
■日立ソリューションズグループのセキュリティソリューションを支えるホワイトハッカーたち
https://www.youtube.com/watch?v=RreX_laRVpc
ーー社内や組織で認識する課題に対して、どのようなアクションを取られたのですか?
HSC様 業務では得られないスキルの習得と、それを証明する資格の取得に向けて取り組んでいます。
ーーどのような解決策を検討されましたか?また、他社サービスも検討されたのでしょうか?
HSC様 ホワイトハッカー育成プロジェクトのメンバーおよび、セキュリティビジネス本部のスペシャリスト人財に対して以下の資格取得、教育を実施しています。
・Black Hatトレーニング参加
・SANSトレーニング参加
・Black Hat、DEFCON、RSA Conferenceなどの国際カンファレンス出席
・IPA中核人材育成プログラムへの派遣
・CISSP、CISM、CISA、GIAC、CEHなど国際資格の取得
・日立グループ向けの高度セキュリティ人財による人財育成教育の開催
・日立グループ初となる社内セキュリティコンテスト(CTF)の開催
・国内外のセキュリティコンテスト参加(SECCON、DEFCON、など年間50大会前後)
選定のポイント
ーーGSX(EC-Council)へお決めいただいたポイントをお聞かせください
HSC様 受講させたい人財がいても、業務都合などで5日間空けるのが難しいという事情もあり、悩んでおりました。オンライン受講でかつ本来5日連続受講が原則の中で、分割受講をご提案いただいたことで、受講させることができました。
ーー効果・効用や受講者の率直なご意見・ご感想をお聞かせください
HSC様 さまざまなハッキングツールを試すことができ、知識と技術(実技)が身につき、ホワイトハッカー育成プロジェクト内にもハッキングラボはあるが、使ったことのないツールもCEHでは試せるので、ツール選択の幅が広がりました。
また、ペネトレーションテストの考え方などが学べ、セキュリティ診断員、ペネトレーションテスターの育成にも役立ちました。
ーーiLabsについてのご感想をお聞かせください
HSC様 iLabsのような環境は珍しいですね。類似した環境を自作しようと思えば可能だと思いますが、社内利用するには複数台必要となってしまうため、iLabsでサーバを含めた複数環境を使用できることが便利でした。
御社について
<日立サイバーセキュリティセンター Training Room>
ーー日立グループの人財力向上を推進する取り組みについてお聞かせください
HSC様 技術系とマネジメント系に分けてキャリアマップを作成しており、日立グループには、HISSP(情報セキュリティスペシャリスト:Hitachi Certified Information Security Specialist)制度というCIP(Collaborative Innovation Partnership)制度があります。HISSP制度は、CISSP資格のようにその人自身の知識(スキル)と経験(キャリア)、所持資格に応じて4段階(プレミアム、プラチナ、ゴールド、シルバー)のレベルで評価しています。
日立グループでセキュリティを専門にしていることをアピールするためには国際資格を所持することが必要となりますし、グループのプレゼンス向上には各レベルに一定の人数確保が必要だと思っています。
また、語学研修の一環として海外でCEH研修を受けることもでき、直近実績ではフィリピンで英語によるCEH研修を受講した2人が合格して帰国しました。
ーー御社におけるCEH取得人数は他の資格のボリューム感と比べていかがでしょうか
HSC様 事業部ごとに取得する資格の特色は異なりますが、CEHホルダーはセキュリティをやっている数人のみで、マイノリティと言えます。現在はホワイトハッカー育成プロジェクトのメンバーと、一部の現場で活躍している人しかまだCEH取得につながっていない状況です。
上野 氏 社内・社外でCTF(Capture The Flag)などに参加しているのでそこで培ったノウハウをビジネスに生かしつつ、それを測る指標としてGIAC、CEHを活用していければと思っています。当社では人財力、スキル、製品等の面でも秀でている部分のアピールとして、資格とその保有人数、さまざまな活動があり、一つの指標として資格も使っていく方針です。社員の皆さんに奨励する資格は頃合いを見て追加や精査をしています。
ーー資格の知名度が向上することのメリットは何がございますか
HSC様 セキュリティ事業を担当している社員はCEHを知っていますが、一般的には上層部になるにつれて認知度が高くない資格です。資格の知名度が向上すれば、社内で資格の有用性の認知や取得への理解を得やすくなり、しかるべき人に資格を受けてもらいやすくなります。CEHがハッカー認定のための必要資格と認識されるようになれば、所持していることがその人のモチベーションや評価、さまざまなプレゼンスの向上につながると考えます。
ーーオンラインで受講したご感想をお聞かせください
上野 氏 周りの目を気にせず自分のペースで休憩しつつ受講でき、生活の一連の流れで勉強できることで集中力を保てることが良かったです。
iLabsでの実機操作を通して知識や見分を増やせることや、研修のおさらいにもなり、操作することで使い方の勉強にもなりました。
iLabsの課題にはノルマがあり、フィジカルでの受講時には決められた時間内に終わらせないといけないような切迫感がありますが、オンライン受講時には自分で研修課題のオンオフを決めて課題に取り組めるので集中することができました。
テキストの内容はわかりやすく、何よりも講師の方の話を聞いていることが面白かったです。資格を取ることだけが目的なら直接試験を受ければ良いのでしょうが、現場の声を聴けることや講師の経験談から派生する知識/知見をインプットできること、そこに研修を受講する価値があるのではないかと思います。直接お会いして会話できたらきっと楽しかっただろうな、と思う講師の方もいました。
白坂 氏 新型コロナウイルス感染症(COVID-19)の影響で在宅勤務になりオンラインで受講しましたが、特に違和感はありませんでした。質疑応答は後回しになるのではという不安がありましたが、実際はタイムリーに対応していただけて安心しました。
集合教育ですと、研修中に気になることもその場ではなかなか調べにくい上に、研修後は忙しくて調べるのを忘れてしまうこともありましたが、オンラインでは調べものやテキストの見返しが好きな時にできること、自分がその時にやりたいと思った研修内容が選べる、などが自分のペースでできることによって受講スタイルの融通が利くのが良かったと感じています。
また、講師の方からはテキストに載っていない現場での経験に基づいたお話をしていただけたのは良かったです。
お問い合わせ
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。