ランサムウェアやフィッシングメールが猛威を振るい、サイバー攻撃が個人情報の流出はもちろん、工場の操業停止など事業に深刻なインパクトを与える問題になりつつある今、そうした脅威から企業を守るセキュリティ人材の不足が叫ばれている。いや、より正確には、この数年来叫ばれながらも、なかなか状況が改善されていないと言うべきだろう。
確かにセキュリティ人材は一朝一夕に育つものではない。だが業界を挙げて、セキュリティ技術に興味を抱く若者を発掘し育成していく取り組みが進められている。日本最大級のセキュリティコンテストである「SECCON CTF」ももちろんその一つだが、それを支えるスポンサー企業もまた、さまざまな活動を展開している。その一社がNECだ。
NECのサイバーセキュリティ戦略統括部タレントマネジメントグループの木村俊介氏は、「セキュリティ人材は年々増えていますが、社会が求めるサイバーセキュリティ人材の需要がそれを上回っている状態です」と述べ、サイバーセキュリティ事業を展開するためだけでなく、業界全体での人材育成に向けて広範な取り組みを進めていると述べた。
学生がセキュリティに触れ、親近感を持つことを目的とした
「NEC Security Skills Challenge for Students」
NECが特に力を入れているのが、学生向けの取り組みだ。
例えば若年層にセキュリティへの興味・関心を持ってもらうことを目的に、「NEC Security Skills Challenge for Students(以下、NSSC for Students)」というCTFを開催してきた。2023年9月に行われた大会では、大学生や大学院生だけでなく高等専門学校生にも対象を拡大。さらに、NECグループの社員も共に参加し、大会を盛り上げたという。
NECのサイバーセキュリティ
戦略統括部タレントマネジメントグループ
木村俊介氏
「CTFの競技だけでなく、終わった後に解説や交流会も行い、日常生活や業務の中でどういったポイントが重要になるかを説明することで、セキュリティをより身近なものとして捉え、親近感を持ち、興味を持っていただくことを狙いにしています」(木村氏)
また、国立高等専門学校機構(高専機構)と包括連携協定も締結した。全国の51の国立高専を対象に、教職員との情報交換やサイバーセキュリティ演習の実施、教材の提供、さらに出前授業などを実施している。こうした活動を通して、高い技術力を持つ学生に、直近の社会課題をどのように解決していくかを学ぶ機会を提供し、人材の裾野を広げている。
2023年12月23日に行われたSECCON 2023 電脳会議においても、NSSC for StudentsのSECCON版とも言える「NEC セキュリティスキルチャレンジ(CTF)」を開催。事前に応募した学生、約20名が参加した。
このCTFは、NECが社内で社員向けに開催しているNEC Security Skills Challenge(以下、NSSC)と同様に、ゲーム感覚で楽しみながら手を動かし、セキュリティに関する基本的なスキルを、体験を通して身につけていくことを目的としたものだ。
「学生の方々がCTFを通じてセキュリティ技術に少しでも触れ、いろいろな学びや気づきを得てもらうこと、そしてNECという会社が安全安心な社会の実現のためにセキュリティ分野に力を入れており、将来を担うセキュリティ人材の育成にも貢献していることを少しでも知ってもらえたらと考え、実施しています」と、CTF運営に当たったNECサイバーセキュリティ戦略統括部リスクハンティンググループの鈴木雅也氏は述べた。
チュートリアルの後、約1時間に渡って行われた競技では、参加者が「事故調査」「ネットワーク」「ペンテスト」といった領域ごとに用意された問題に取り組んだ。競技終了後にはNEC社員による解説が行われ、問題の解き方や基本となる考え方を解説した。
NECサイバーセキュリティ
戦略統括部リスクハンティンググループ
鈴木雅也氏
例えば、ネットワークに関する問題では、Wiresharkというパケット解析ツールを用いてキャプチャしたネットワークデータを解析し、フラグを取り出すといった形だ。むやみやたらと難易度の高い問題を並べるのではなく、ヒントをもとに試行錯誤することで、自然と、セキュリティ調査や脆弱性診断の道筋を知り、基本的なツールの使い方を把握できるようになっている。
限られた時間ということもあり、さすがに全問正解者はいなかったが、一位から三位までの得点が同一となり、回答に要した時間で順位をつけるというハイレベルな争いとなった。入賞者も「問題が解けただけでなく、学びになって良かった」「全体的に面白かった」と感想を述べていた。
「アンケートでも『解説がしっかりしていて学習になった』というコメントが多く、狙い通りのイベントを運営できました」(鈴木氏)
セキュリティ・バイ・デザインの実現に向け、
多層的な枠組みで社内人材を育成
NECは、社内のサイバーセキュリティ人材育成にも取り組んでいる。
そもそもITシステムやサービスの設計、構築、運用を通して、公共から金融、あるいは流通、製造など幅広い分野の企業を支えるのがNECの業務。そこにセキュリティが欠けていては大きな問題だ。そこで、後付けではなく、すべてのフェーズでセキュリティを実装する「セキュリティ・バイ・デザイン」という考え方を提唱し、実現に必要な人材を三つの枠組みで育成してきた。
一つ目は、全社員を対象としたセキュリティスキルやアウェアネスの向上だ。自社で作成したeラーニング教材による教育のほか、動画を見ながら「どのように対策すべきか」を議論するテーマトークなどを行ってベースラインを底上げし、個人のセキュリティの実装能力の向上を図っている。
二つ目は、組織観点の底上げだ。「セキュリティ・バイ・デザイン スペシャリスト」という独自の研修体系を整備し、適切にリスクアセスメントが行われ、高いレジリエンスを備えたシステム開発・運用に必要な知識を身に付けることで、セキュリティ・バイ・デザインを実践できる人材の育成を進めている。
三つ目は、トップセキュリティ人材の育成だ。CSIRTでのインシデント対応やリスクハンティング、事故後のフォレンジックなど、より高度なセキュリティサービスを提供するために必要なスキルを半年間で身に付けるプログラムを用意しており、高度なセキュリティ技術を持つ人材を育成している。
「こうした研修やプログラムを受けて各事業部門に戻った後は、システム開発などの業務に携わることになります。研修で身につけたノウハウが、開発工程を俯瞰して適切にセキュリティを実装し、リードしていける人材につながっています」(木村氏)
もっとセキュリティスキルを極めたいという場合には、国際的なセキュリティ資格「CISSP」の取得を、費用も含めさまざまな側面で支援する仕組みが用意されており、社員の成長を後押ししている。
「『海底から宇宙まで』という通りNECには多様なお客様がいらっしゃり、それぞれにセキュリティサービスやシステムを提供しています。一つの業界だけに特化するのではなく、幅広い業界・業種のお客様とのビジネスや社会実装を通して培ったセキュリティに関する高度な知見を保持している点が強みですし、その強みを活かして適切なセキュリティ実装につながっていると考えています」(木村氏)