海外の先端情報セキュリティー教育を受講する訳

呉井嬢次(Johji Kurei) 2006-07-21 18:25:00

 セキュリティトラブルに遭遇したことがない情報セキュリティ責任者は存在しない。これは専門家を選ぶ時に非常に役に立つ。どんなトラブルに遭遇し、どのように解決したのか。豊富な経験があればこそ、即戦力なアドバイスができる。だが一歩間違えると、無能に見えるかもしれない。

 情報セキュリティの仕事を続けていると、トラブルについて相談される。その時に選択した具体的な対処は、どの教科書にも書かれていないし、書店で販売されている情報セキュリティの専門書にも載っていない。マニュアル、書籍の知識で足りるなら専門家は不要だから。
 過去の経験を通して、セキュリティ計画を作り、遂行してセキュリティトラブルに対する知識やノウハウを身に着けていく。これを裏返せば、世の中には様々なセキュリティ製品やサービスが紹介されている。もし、無事故をアピールしているならば、ちょっと疑ってみるのも悪くない。もしかすると、開発は外国で行って、日本では販売しか手がけていない、そんなケースも多いので、要注意だ。

システム管理者が本当のトラブル対応を知らない?

 さて、インターネットに接続されている情報システムの面倒を見ていれば、色々なイベントが毎日のように起きる。ネットワーク負荷が変化し、アクセスログが増えて、奇妙な電子メールも届く。電子メールを読むだけでも、勉強になる。
 肝心なことは、いつもと違う「何か」を検知できる(感じる)か否かだ。例えば、ワームの痕跡を見つけても、それがワームの痕跡であることを知らなければ、システム管理者は見落としてしまう。不正検知するセキュリティ製品を回避してアクセスを試みる現場を遭遇していれば、導入したセキュリティ製品の警告メッセージをチェックすれば大丈夫と考えないだろう。

 なら、トラブルに遭遇しなければ一人前になれない訳ではない。犯罪を防止する為に、警察官が泥棒を
経験しないように、ITの安全を守るには情報セキュリティー教育がある。残念ながら、日本でも情報セキュリティ教育が実施されているが、実践的なコースが非常に少ないのが現実だ。その理由は3つある。

第1の理由は、教育コンテンツを作る人が専門家でないこと

 そもそも教育は、教室(クラス)で教えるものであり、クラスとはクラシック、つまり、古典であり、そこに最新な知識、ノウハウを取り込むことには限界がある。故に、情報セキュリティの初心者から中級者を育成する点では教育コンテンツも豊富に存在するが、現場の人に役立つ教育コンテンツは無い。それを作成できる人は、暇(時間)がない。

第2の理由は、高度なセキュリティー知識を学習する市場が小さいこと

 教育もビジネスだ。そんな高度な知識を教える教育コンテンツを作ったとして、どれだけの人が学習するだろうか。教材を作り、講師を招けば、教育コストは高くなる。少なくとも日本語のコンテンツであれば、投資した分を回収するのは非常に難しい。正直なところ、日本の市場は狭い。海外に目を向けるべきだろう。

第3の理由は、セキュリティ技術からマネジメント(管理面)へのブームが強いこと

 2000年頃から、情報セキュリティを守るには、技術的なセキュリティ対策からマネジメント(管理)対策へ経営者が考え方をシフトさせてきた。この傾向は、高度なセキュリティ教育をシステム管理者に投資する際の妨げとなっている。

セキュリティトラブルを擬似的に経験する方法

 そこで、擬似的にセキュリティトラブルを経験する教育をお勧めしたい。3年前までは、SANSのGIACが結構面白い教材を提供していた。今でもGIACは参考になるが、英語版を推薦したい。ただし、日本語版の教材は中身が古く、更新頻度も悪いのでお勧めしない。注目しているのは、北欧、中国などのセキュリティ教育機関が提供する教育コースだ。日本からインターネットを経由して受講できるし、海外の専門家とも情報交換できる。また、豊富な不正アクセスに対しては、どんなログが出力されるのか、その見分け方も詳細に取り上げられている。つまり、トラブルに遭遇する前に擬似的に経験することができるのだ。

 外国の情報セキュリティ教育は敷居が高く見えるが、ブラウザから教材をダウンロードするので、国内のeラーニングと変わらない。夏休みに時間が取れたら、挑戦してはどうだろう。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR