2018/09/05

未知の攻撃にも対応できる「即戦力となるCSIRT人材」を育成する。

  • このエントリーをはてなブックマークに追加

DNPが運営する株式会社サイバーナレッジアカデミーは、イスラエル製の訓練システムを活用した体験型の実践演習を行い、企業・組織のセキュリティ人材育成を支援しています。
サイバー攻撃への対応をチームで訓練することによって、即戦力となるCSIRT人材を育成します。

【目次】

  • マルウェアも攻撃も“本物”。リアルな訓練が力になる
  • 基本のトレーニングは5日間。定期的に訓練を行い意識改善へ
  • 産業制御系システムも攻撃対象。セキュリティ対策は今後マスト
  • セキュリティベンダーにすべてを任せるのはNG
  • 各エリアでのコースやコンサルなどアカデミーも着実に進化

株式会社サイバーナレッジアカデミー
セキュリティコンサルティング部 部長

アグナニ・サンジェ
Sanjay Agnani

公認情報セキュリティマネージャー(CISM)
公認情報システム監査人(CISA)、GIAC GSSP-JAVA 等

※所属・肩書などは、2018年4月取材時のものです

マルウェアも攻撃も“本物”
リアルな訓練が力になる

近年、サイバー攻撃は世界中で増え続けており、それは日本も例外ではありません。複雑化・高度化する未知の攻撃に対応できるスキルを高めるトレーニングが重要になると感じていました。そんな時、イスラエル大使館の紹介で出会ったのが、イスラエルIAI社(イスラエル・エアロスペース・インダストリーズ)のサイバー攻撃対策人材養成システム「TAME Range(テイムレンジ)」でした。イスラエルは世界でも有数のサイバーセキュリティ技術を持ち、官民の情報伝達も他国に比べてスピーディー。実際にサイバー防御を繰り返すリアルな現場で開発された「TAME Range」は、“本物”のマルウェアを使い、“本物”の攻撃シナリオでトレーニングできることが最大の特徴です。
さらに注目すべきポイントは、日本のニーズに合わせたコンテンツを加えることができること。ベースのプラットフォームはそのままに、自由にカスタマイズできる柔軟性を兼備している点も高く評価できました。
「TAME Range」を活用して日々進化するサイバー攻撃に対応できる人材を育成する機関が「サイバーナレッジアカデミー」です。DNPグループはこれまでも、さまざまなセキュリティ製品をご提供してきましたが、サイバー攻撃が複雑になればなるほど、導入したお客さまのセキュリティ担当者のレベルも上げていかないと運用はできません。セキュリティインシデントに対応できる力をつけるだけでなく、導入したセキュリティ製品をきちんと活用してもらうためにも、お客さまのセキュリティ担当者のレベル向上が必要不可欠だと考え、アカデミーを開講しました。

基本のトレーニングは5日間
定期的に訓練を行い意識改善へ

「サイバーナレッジアカデミー」では、セキュリティインシデントが発生した際の適切な判断や対応を学ぶ体験型の基礎演習として5日間集中的にトレーニングしていきます。受講後に会社へ戻り、自社の環境を調べてすぐ対応した受講生もたくさんいました。それは、どのような対策が効果的なのかをカリキュラムの中でしっかり理解できているからこそ。セキュリティ製品を導入しても攻撃されるのは組織に合わせたチューニングを行っていないことが原因のため、「サイバーナレッジアカデミー」ではチューニング方法やファイアウォールのセットアップ、オープンソースのツールの紹介まで行っています。
こうしたトレーニングは災害訓練と同じく、繰り返し行うとより効果的です。日々の業務が忙しくなると、ついつい元のやり方に戻ってしまいがち。サイバーセキュリティ先進国のイスラエルでは四半期に一度訓練を行っていますが、四半期または半年に一度の定期的なトレーニングがおすすめです。
体験重視のカリキュラムで注目を集める「サイバーナレッジアカデミー」の受講生は、2016年の開講以来すでに300人を突破。インフラ企業やシステムインテグレーター、通信会社、最近ではゲーム会社や人材派遣会社など、参加する企業は多岐にわたります。大手企業の場合は、セキュリティベンダーからエンジニアが派遣され、セキュリティ担当者が実務を行わないケースも。とはいえ、セキュリティ担当者は経営層と実務を行う方々との橋渡しも担うため、一緒にトレーニングを行うことが理想的です。

産業制御系システムも攻撃対象
セキュリティ対策は今後マスト

ここ数年で重要性の高まりをみせるのが産業制御系システムのセキュリティです。工場などで使われている産業制御系システムは長期間の使用が想定されているにも関わらず、セキュリティ対策をしていないものもあります。簡単に遠隔操作できるもの、アクセス権限管理がないもの、パスワード不要なものが多く存在し、そこを狙って攻撃されてしまうと工場の生産システムに甚大な影響を及ぼします。また、従来、工場内のネットワークにはインターネット接続がなく、閉鎖された環境でしたが、今はオフィスのネットワークと繋がっている工場も増加。脅威に晒される可能性がますます増えるため、産業制御系のセキュリティ対策も必須といえるでしょう。
「サイバーナレッジアカデミー」では基礎演習に加えて、産業制御系システムのセキュリティを学ぶ産業制御系・基礎も開講しています。IT系の知識をある程度持っているセキュリティ担当者に対し、ノウハウの足りない産業制御系システムのセキュリティの基礎知識、世界で発生しているサイバー攻撃事例、予防法について基礎から学ぶことができます。

セキュリティベンダーに
すべてを任せるのはNG

セキュリティ製品は、本来サイバー攻撃の脅威から守るためのものですが、人間が開発しているのでバグや欠陥が発生することもあります。そもそもセキュリティ製品は通常のアプリケーションより高いレベルの権限を持つため、わずかな欠陥を踏み台に攻撃されてしまうと一層危険な状態に陥ります。
だからこそ、運用する企業側のセキュリティ担当者による要件定義が重要。セキュリティベンダーから言われた通りに製品を購入・設定したとしても、導入する企業の組織や業務に合っていなければ、どんなにいい製品であっても全く意味がありません。何が目的でどう運用したいのか、セキュリティ担当者がセキュリティベンダーに正しく伝えることができなければ、製品選定から導入後の運用、インシデント発生時の対応まで困難を極めるでしょう。セキュリティベンダーにすべてを任せるのではなく、企業内部で要件定義を行える人材を育成していくことも重要なカギになります。

各エリアでのコースやコンサルなど
アカデミーも着実に進化

今後も増え続けるサイバー攻撃に対し、「サイバーナレッジアカデミー」が行う今後の取り組みは3つあります。まず1つ目は、各エリアでの出張コース。「TAME Range」は遠隔操作ができるため、お客さまの会議室にインターネット接続可能なパソコンをご用意いただければ演習を実施できます。「サイバーナレッジアカデミー」から講師を派遣しますので、大勢で東京に学びに来る必要がありません。
また、お客さまの要件に合わせてコースをカスタマイズし、各企業に特化したオリジナルコースを提供することも可能です。2つ目は大学やコンサル企業との連携コース。情報セキュリティ大学院大学を始めとする大学と連携したコースや、デロイト トーマツ リスクサービス株式会社と組んだ共催コースなども実施しています。3つ目がコンサルティング。講師たちはオープンになっていない事件や脆弱性について情報を集め、日々研究を重ねています。実際の現場で得た経験やノウハウをベースに、日本におけるサイバーセキュリティの第一人者である名和利男氏に、「サイバーナレッジアカデミー」のセキュリティ技術顧問に就任していただき、カリキュラムの開発にも着手しています。「TAME Range」を活用した本物の攻撃体験を通して、セキュリティの重要性をアピールしていきます。

「サイバーナレッジアカデミー」のお問い合わせはこちら

  • このエントリーをはてなブックマークに追加