GSXの講師陣が語る、セキュリティ教育の重要性と学ぶ意義
〜便利なテクノロジーの裏側への意識を〜

2024年7月配信（8月30日公開） Column

グローバルセキュリティエキスパート株式会社（GSX）では入門編から専門分野まで、幅広い層に対応した多数のセキュリティ教育講座を提供しています。講座の内容だけでなく、受講者の学習を支援する講師陣もGSXの提供するセキュリティ教育講座の大きな強みです。この記事では、講座に登壇する4人の講師の対談を通じて、セキュリティ教育の変化、重要性、学ぶ意義、そしてGSXの取り組みを紹介します。

1. なぜセキュリティ教育が必要か

セキュリティ分野の細分化に伴い、セキュリティ人材の需要が増加しています。そのため、人材育成の観点から、セキュリティ教育の重要性が高まっています。GSXでは多様なニーズに応じたセキュリティ教育を提供しています。まずはその背景を説明します。

1-1. サイバーセキュリティ人材不足の現状

かつて、情報系のエンジニアが担っていたのは、主にアプリケーションやネットワークの設計・開発、システムの運用管理でした。現在でも、ITエンジニアの業務といえばそういった分野を思い浮かべる方は少なくないでしょう。しかし、今ではクラウドコンピューティングの導入支援やデータベース、データ解析、人工知能の開発など、新しい領域が次々と登場しています。

デジタル化の進展に伴い、セキュリティ分野の範囲も広がっています。例えば、企業のネットワークセキュリティ、個人情報の保護、クラウドサービスのセキュリティ対策、規制対応や内部統制の確保などが含まれます。しかし、そのようなセキュリティ対策の需要増加に対し、専門家の育成が追いつかず、人材不足が深刻化しています。

1-2. GSXのセキュリティ教育への取り組み

GSXは、情報セキュリティ・サイバーセキュリティに特化した会社であり、企業・組織に求められるセキュリティ全般を網羅した教育サービスを提供しております。提供する教育プログラムは、セキュリティの知識がない新入社員向けの講座から、エンジニアを対象としたセキュリティプロフェッショナル認定資格であるCISSP取得のためのトレーニングまで、非常に幅広いニーズに対応しております。さらに、実際のインシデント発生を想定した被害シミュレーション訓練のサービスも提供しており、企業は現状の体制における対応能力を可視化し、今後のセキュリティ対策を検討することが可能となります。

1-3. 対談に参加した講師

今回の対談に参加した、GSXの4人の講師を紹介します。対談のモデレーターを務めた教育事業本部・教育事業部で副事業部長の西野哲生は、金融業界のシステムエンジニアとして、プログラミングやサーバー構築、ネットワーク構築などシステムに関わる業務を経験してきました。GSX入社直後は開発部門に所属していましたが、現在は教育事業部の管理者の一人として、セキュア開発やインフラのセキュア設定に関連した講座を担当しています。

西野と同部でチーフインストラクターを務める樂満俊幸は、大手電機メーカーで、ネットワーク系の業務経験を有しています。IT人材の育成に関しては、2,000年以前より取り組んでおり、汎用コンピュータの教育から始まり、ネットワーク技術、インターネット技術、マイクロソフトユニバーシティ等の分野の教育を担当、その後セキュリティ関連教育を中心に担当してきました。IPA、経済産業省等のセキュリティ人材関連の委員も担当経験を有しており、GSXに入社後は、その豊富な経験をもとにEC-Council・CISSPを中心としたインストラクター業務に専念しています。

同じくチーフインストラクターの小林浩史も、樂満と同じ大手電機メーカー出身です。経理などを経て、教育部門に所属し、Notes/Domino、Microsoft Universityの認定トレーナーを経て、セキュリティ領域（FireWall-1、ISS、VeriSign、SEA/J、ISMS等）の研修に携わってきました。近年においては、官公庁の職員や重要インフラ事業者のCSIRT要員に対してのインシデント対応の演習を行っており、過去3年間の演習実績時間は1,000時間以上を超え、国のサイバーセキュリティ人材育成にも貢献しています。現在GSXでは先述の樂満同様、EC-Council・CISSPを中心としたセキュリティ講座のインストラクターを担当しています。

同部でインストラクターを努める鈴木明日香は、某大手ホテルにてベルキャプテン(ベルマンの統括責任者)として勤務し、その後ホテルマンを育成する専門学校でクラスを受け持つ担任教師として、人材育成の経験を積んできました。GSX入社後はこれまで培った経験を活かし、セキュリティの一般教養研修を担当しています。

講師を担当する4人の対談の様子
右から西野、小林、樂満、鈴木

2. セキュリティ教育の変遷

かつてセキュリティ領域は、技術者だけが把握すべき問題として捉えられてきました。しかし今では、全ての従業員が把握すべき会社全体の課題となっています。西野は「セキュリティ教育がどのように変遷してきたのか」を、長らくセキュリティ業界に身を置く樂満と小林に問いました。

2-1. 2000年以前：ファイアウォール中心の時代

樂満は「かつて、ファイアウォールはセキュリティの代名詞でした」と振り返ります。インターネットが今ほど発達していない2000年以前は、ファイアウォールを導入すれば、セキュリティの問題は全て解決するという考え方が一般的だったのです。2000年頃までの状況について小林は「当時は全社的な教育プログラムはまだ存在せず、誰も彼もがセキュリティ教育を受けるという状況ではありませんでした」と振り返りました。

当時の状況について西野も「2,000年以前は、プログラムでもセキュアコーディングという言葉は普及しておらず、サーバーやWebシステムを直接攻撃する不正アクセス型の攻撃対象や、それを実行する攻撃者が日本国内ではあまり認知されていませんでした」と開発者の視点で語りました。ファイアウォールが登場したときには、設定する役割を主にネットワーク技術者が担っていました。セキュリティというと、技術者が守ればいいという考えが一般的だったのです。その一方で海外から新しい潮流が生まれます。小林は「組織でポリシーを作って運用しなければならないという『セキュリティマネジメント』の概念が生まれました」と説明を加えました。技術面だけでなく、組織のマネジメントという意味でもセキュリティを考慮する必要が高まっていったのです。

2-2. 現在：多層防御の必要性、経営課題化

今セキュリティでは、多層防御の考え方が主流となっています。かつてのようにファイアウォールだけで対策できることはなく、様々な対策を採らなくてはならないのです。CISSP（Certified Information Systems Security Professional）を始めとする海外の体系的なセキュリティ資格などから、日本国内でも多層防御の考え方が広がり、セキュリティの重要性と複雑性が認識されるようになってきています。インターネットやクラウドが当たり前の時代となり、学ぶべきことや意識することが大きく変化してきました。

特に経営者の間では、セキュリティに関する情報がほとんど共有されていないのが多い傾向にあると見受けられます。経営者は、自社の問題としてセキュリティの課題を認識し、対応していくことが時代の変遷と共に強く求められるようになりました。

3. セキュリティ教育に対するニーズ

セキュリティ教育に対するニーズは変化しており、GSXでもそれに対応するように努めています。セキュリティ教育を求める企業や受講者からのニーズに、GSXはどのように応えているのでしょうか。

3-1. 参加者の動機は？

かつてGSXの受講者は、技術力の向上や特定の製品を扱えるようになりたい、という動機を持った人が多くを占めていました。最近では、資格取得を動機としている受講者も増加傾向にあります。西野は「受講者の中には、資格を取得することで自身に箔を付けたいという人もいるでしょうが、多くの受講者は会社から資格取得を推奨されています。会社が資格の取得を重視しているのです」と傾向を話しました。また、西野は「近年では、技術力を証明する為にセキュリティの学習をするだけでなく、入札案件の仕様書に国内外のセキュリティ資格が記載される等、ビジネスを進める上でも、セキュリティ資格は欠かせないものとなっている」と語ります。

会社によっては昇進要件として資格の取得を求めることがあるほか、ビジネスを進めていく上でもセキュリティ資格が欠かせないものになっています。小林は「たとえば、入札要件として管理者がCISSPを持っていることを求められることもあります」と説明しました。GSXでもCISSPなどの海外の資格取得を目指すトレーニングを提供しており、根本的であれ、組織的な方針であれ、資格取得を動機として受講する人が増加しています

そして、多くの受講者の声に現れているのは、“実践力の習得”です。GSXの受講者の多くは、座学や講義で技術情報を学ぶだけなく、手を動かす事でその情報を体験する事で、実際の業務に活かしていく事を求めています。GSXの資格講座は、そのほとんどの講座で演習環境を設けています。SecuriST・EC-Councilの大部分の講座で、学習内容に応じた演習環境を用いて、座学で学んだ内容をすぐに実地体験することで、攻撃手法や技術的な知識について、短期間での知識力向上に結び付ける事ができます。EC-Councilの演習環境は、受講コース終了後も６ヶ月の間、受講者が使用する事ができ、多数の攻撃シナリオや様々な環境を体験する事により、多面的に講義内容を理解することができます。このように、GSXの講座は、提供期間は異なれど演習環境を受講者へ提供し、座学と体験の繰り返しを通じて、記憶の定着化を図り、受講者の多様なニーズに応えています。

3-2. GSXセキュリティ講座の特徴

GSXでは講座の数を年々拡充しており、初心者からスペシャリストになるための講座ラインナップが非常に充実しています。GSXではスタートしてからゴールまでしっかりと学べる講座が充実しています。

その背景について西野は「例えば『社員をネットワークエンジニアからSOCのエンジニアにしたい』といったパスを設定している企業が多いです。しかし、そこに至る為に、具体的にどうすれば良いかという質問が多く寄せられます。このような要望を聞きながら講座を提供し続けた結果、初級から上級までの段階を踏めるようになりました」と説明します。

また、GSXの講座では体系的にセキュリティを学べることも大きなメリットです。樂満は「アンケートで『すでに知っている』と答えた人でも、実際には一部しか知識を持っていなかった人も多いです。そのため、『知識が補完されて新しい見方を学べた』『勘違いして理解していた』といった意見をいただきます。セキュリティの仕事を長くやっている人でも、特定の業務に限定されることが多いため、知識の範囲が狭くなりがちです。その意味でも、体系的な研修を受けることは非常に重要です」と話しました。

授業のスタイルは、忙しい受講者の都合にあわせてオンデマンドの動画で学べるものが増えていますが、対面で演習を行う講座もあります。インシデント対応の模擬演習を含む「Micro Hardening」という講座では、受講者からと高い評価を得ています。鈴木は「このMicro Hardeningは、再度受講してくださるお客様も多く『以前の研修後、実際に会社でインシデントが発生し、練習したおかげで対応できました』との声も頂きました。インシデント対応は、その学習に必要な環境を自社内で整備する事が簡単ではない為、有益な体験を提供できていると感じています」と語りました。

4. 講師たちの想いと工夫

GSXの講師陣は、受講者たちにセキュリティの知識を身につけ、業務や有事の際に活かしてもらいたいと考えています。何故ならこの事が、日本のセキュリティレベルの向上に繋がるからです。その為には、セキュリティを学ぶ意義や動機を明らかにして、学習意欲を保つ必要があります。GSX講師はどのように受講者と向き合い、講義に臨んでいるのでしょうか。

4-1. セキュリティを学ぶ意義

観光・ホテル業界出身の鈴木は、観光・ホテル業界におけるセキュリティ意識の低さを感じています。「ホテル業界でもお客様のご要望にお応えする上で、ITリテラシーを問われる瞬間が増えてきました。ホテル業界をはじめとした、セキュリティ意識の高くない人たちに対しても内容を理解して頂けるように、分かりやすいセミナー、分かりやすい研修を提供し続けたいと日々考えています。従業員一人ひとりがセキュリティの知識を持つことで、お客様へより多面的に安心して頂ける環境を提供できるようになるからです」（鈴木）

セキュリティの知識はコンサルティングやシステム構築、一般職員のリテラシー向上など、広い業務で活用することが可能です。しかし、セミナーや研修を受講しても、自分の業務に関連しない話題もあり、自分に関係のないことと思う人もいるでしょう。しかしそれでは、セキュリティ意識を高めることはできません。

西野は、セキュリティ講座受講に目的を持つことが重要だとし「技術を磨くため、あるいは自分の価値を高めるために資格を取ろうとする人もいます。どちらの理由でも良いのですが『なぜ自分がこの講座を受けるのか』を考え、その知識を業務に活かしてほしいと思います」と語ります。

セキュリティを学ぶ中で、自身の業務に直接関係のない話題も登場します。樂満は「自由な意思で受講してほしいですが、特に自分の業務と照らし合わせながら講義を聞いていただくと良いでしょう。『どのように関係するのだろうか』と考えながら聞くと理解しやすくなるはずです」とアドバイスしました。また、生成AIの登場の一方でフィッシングメールの高度化やフェイクニュース、誤情報の生成など、新しい技術にも対応していかなければなりません。

しかし樂満は「セキュリティは取り組めば取り組むほど、いくつかの要点に集約される部分と細かい部分に発散する部分があります。その要点となる原則を理解すれば、あとはそれを様々な場面に適用していくだけです」と言います。基本的なITの知識とセキュリティの原則を理解していれば、技術の進展にも対応できるようになるというのです。

新しい技術が登場する時、利便性の高さがクロースアップされますが、それには必ずリスクが伴うことを忘れてはいけません。小林は「ビジネスの場面では、利便性によって『どれだけ儲かるか』を考えがちですが、セキュリティリスクを考慮していないケースがよく見受けられます。便利の裏側にあるリスクへの考慮もセキュリティの原則です」と説明しました。

4-2. 講師として配慮していること

セキュリティのセミナーや研修は、内容が難しいものが少なくありません。内容が難しいと感じると受講者は、なかなか自分事として感じられず、せっかくのセミナーを活かせなくなってしまう恐れがあります。

セキュリティには重要度やレベルが様々ありますが、西野はその要点を事例によって伝えることに心掛けています。「自分が経験してきたことから重要なポイントを伝えています。『この被害はあなたやあなたの会社にも起こり得ることです。自分の問題として捉えて考えてください』と強調します」（西野）

小林は講義のなかで、身近な例を出すように配慮していると言います。「皆さんに『今、財布の中にお金がいくらあるか、言えますか？』を尋ねることがあります。もしも財布の中の金額をまったく管理できていなければ、盗まれても気づかないでしょう。しかし、1円単位で財布のなかのお金を管理するのは面倒です。そこで、お札だけを管理するなどの基準を決める必要があります……このような例を用いることで、セキュリティは『普段の生活の延長にある』と伝えています」（小林）

また、受講者の学習意欲を、講義の時間中も継続させられるように努めています。樂満は「テキスト『を』教えるのではなく、テキスト『で』教えることが基本だと思います。テキストをそのまま読むと、本当に面白くない研修になります。そのため、テキストを使ってその内容の意図や背景にある事を説明するよう心がけています」と説明しました。

ホテル業界の専門学校で講師の経験のある鈴木は「専門学校の受講生へレクチャーしていた経験では、講義を受ける受講者は、おおよそ15分程度で集中力が切れることが分かっています。そのため、受講者に対して、何かしらのアクションを取ってもらい、学習意欲が継続できるような工夫をしています。例えば15分おきに受講者同士で議論する時間を設けたり、15分間の短いワークショップを行うようにしたりしていました。セキュリティ教育についても、受講生が『セキュリティという話題ではあるが、楽しく学ぶことができた』と学習意欲を高めつつ、満足して頂けるように心掛けています」とコメントしました。

4-3. 受講者へのメッセージ

樂満は受講者に伝えたい事として、セキュリティの技術面ではITの基礎技術が重要であるとし、次のようにコメントしました。

「ITの基礎知識をしっかりと勉強することが非常に重要です。遠回りのように感じるかもしれませんが、結果的にはその方が確固たる基盤となります。たまに『ポイントだけ教えてください』という人もいますが、『学問に王道なし』という言葉が示す通り特定のポイントだけを学べば立派な技術者になれるわけではありません。時間をかけて積み上げてほしいです」

最後に西野は、GSXの講座の充実度について「GSXでは、初心者からスペシャリストまでの幅広いニーズに対応する講座のラインナップが充実してきました。他社と比べ、スタートからゴールまでの学習過程を一貫してカバーしている点が、当社の強みです。他社では特定のスペシャリスト向け講座はあっても、初心者向けは断片的なことが多いのに対し、GSXはスタートからゴールまでのパスを持っている事が、大きな特徴です」と話しました。

今回登場したGSXの講師陣には、経験や知見が豊富で、講師としてのスキルが高く、効果的に指導できる熟練講師もいれば、セキュリティ業界以外の異業種からリスキリングした、これまでにない新しい人材育成の観点を持った講師もいます。GSXでは、今後も多彩な講師を増強し、幅広いニーズに対応する為に講座のラインナップをも年々拡充していきます。セキュリティ教育に課題を感じている企業は、ぜひGSXにお問い合わせください。