CTFを通して得た学びを
ビジネスで活用するサイクルを生み出しているNSSC
こうした社内でのセキュリティ人材育成の取り組みの中でもユニークな施策が、ここまでにも何度か登場したNEC Security Skills Challenge(以下、NSSC)だ。
今でこそCTFは市民権を得ているが、かつては「お遊び」的に見られることもあった。だがCTFには座学による学びだけでなく、ゲーム感覚で問題にチャレンジすることで、体験を通して学び、スキルを可視化できるといった特徴がある。NECは早くからその有効性に着目し、2015年からNSSCを実施してきた。
直接的なきっかけは、東京オリンピック・パラリンピックの開催だ。日本をターゲットにしたサイバー攻撃が激化するであろうことを見越し、セキュリティに関する知識やアウェアネスの向上とともに、社内の素養を持つ人材を発掘・育成することを目的に行われ、その後も、その時々のトレンドを踏まえて改善を加えながら継続してきた。
NECサイバーセキュリティ
戦略統括部セキュア技術開発グループ
宮澤智輝氏
一般的なCTFは難易度が高くなる傾向にあるが、「NSSCは間口を広くし、全体のセキュリティ意識やアウェアネス向上に重きを置いています。また実践力にも力を入れており、業務で直面するような実践的な問題を用意し、さらに丁寧な解説を加えることで狙いを達成しています」(NSSCを運営するNECサイバーセキュリティ戦略統括部セキュア技術開発グループの宮澤智輝氏)
特徴の一つは、セキュリティ専門ではない部門からも広く参加者があることだ。「もちろん多いのはシステムエンジニアの方ですが、いろいろな職種・役職の方が参加しており、中にはマネージャー層もいます」(鈴木氏)。NSSCで高得点を記録した人材がセキュリティ部門に異動し、セキュリティのプロフェッショナルとして活躍するという具合に人材発掘につながったケースもある。
もう一つは、ただ技術を競うだけでなく「学び」を重視していることだ。すご腕が競い合うSECCON CTFなど一般的なCTFとの大きな違いと言えるだろう。「昔は、問題の技術レベルが高すぎるという感想をいただいたこともありました。そこでNSSCでは、教育という目的を踏まえて解説を重視し、実際に業務で利用するガイドラインなどと照らし合わせながら説明するようにしています。最近では、『CTFで得た知識をすぐに業務で活用できている』といったフィードバックも増えています」(鈴木氏)
宮澤氏も「実践的な問題を作成しているため、そこから得られた知見を実際に業務に活用できるという効果が非常に大きいと考えています。セキュリティ専門のエンジニア以外の方に対しても、日々発生するセキュリティ上の問題に意識を向けるきっかけを作り出すことができていると思います」と述べた。
ここに至るまでにはいろいろな試行錯誤があった。問題の難易度調整はもちろん、解説を手厚くし、さらに競技終了後の一定期間、問題と解説を公開し、繰り返し復習できる環境を用意するなど、参加者がそれぞれのペースで理解を深める仕組みを整えてきた。これからも新たな問題作りに取り組み、意識や知識の向上に向けてNSSCを継続していく。
「NSSCで得たスキルや知識を、お客様へのセキュリティビジネスの中で活用できるようになったという声もあります。我々NECが目指しているセキュリティ・バイ・デザインの実践を加速させている取り組みだと実感しています」(宮澤氏)
多様な人材が活躍できるセキュリティ分野、
コミュニティ活動での発信も
こうした、幅、深さ共にセキュリティ人材を広げる取り組みの中から、セキュリティコミュニティ全体に貢献する人材も生まれている。その一人が、女性を対象としたセキュリティコミュニティ「CTF for GIRLS」の代表を2024年度から務めるNECサイバーセキュリティ戦略統括部リスクハンティンググループの中島春香氏だ。
NECサイバーセキュリティ
戦略統括部リスクハンティンググループ
中島春香氏
IT業界、特にサイバーセキュリティの分野には女性が少なく、心理的にハードルを感じてしまうこともある。そこで、セキュリティに興味・関心を持つ女性同士が気軽に情報交換できる場として生まれたのがCTF for GIRLSだ。SECCONの活動と連携し、定期的にワークショップやCTFといったイベントを開催している。
SECCON 2023 電脳会議においても「CTFワークショップ」や「CTFハンズオン」が行われ、いずれも100人を超える参加者があった。
CTFというと、参加者が黙々と問題に向き合う場というイメージだが、「今回は講義を行い、CTFを体験してもらうことを目的としてるため、一人で黙々と作業するよりも、同じ島の方々と相談し、交流しながら進めてほしいと考えていました」(中島氏)。参加者に配布されるステッカーを持ち寄り、情報を集めなければ解けない問題を用意するといった仕掛けも功を奏し、和気藹々とした雰囲気で行われていた。
また、参加者の約半数が初参加という点も特徴と言えそうだ。「セキュリティに関わる会社で営業をしているといった方が興味を持って参加してくれるケースも多く、着々と広がっている実感があります」(中島氏)
人材不足に悩むセキュリティ業界では、性別や年齢に関係なく多様な人材の活躍が期待されている。一方、個々人の立場に立つと、特に若手や女性の場合、「参考になるロールモデルがない」「どんなふうに働いているかがわからない」といった声が少なくなく、そこが入りづらさの一因になっているようだ。
実際に飛び込んでみると、例えばNECでも多くの女性がセキュリティ分野で働いており、特有の働きづらさがあるわけでもない。「女性だからやりづらいということはありません。むしろセキュリティ業界では国際情勢や政治、法律などさまざまな知識が求められるため、セキュリティの技術だけでなく、広い視野を持つ人も活躍できると考えています」と中島氏は言う。
事実CTF for GIRLSでも、またNEC社内でも、多様なバックグラウンドを持つ女性が活躍しているという。「教育が好きで、そこからセキュリティ教育に携わるようになった人など、いろんな視野、視点を持った人たちが集まっています。多様な背景の中から、あまりセキュリティに詳しくない人にどうすれば上手く伝わるかのヒントや視点が得られることもあり、多様な人たちと一緒にやっていくのはとても大切だと思いながら活動しています」(中島氏)
かつて中島氏自身も、「興味はありながらも、ちょっと不安だな」と思いながらサイバーセキュリティコミュニティに足を踏み入れ、チャレンジし、模索しながら進んできた。今はその体験を、「Leading Cyber Ladies Japan」(LCL Japan)で発信したり、木更津高専で行われたイベント「K-SEC CAMP FOR GIRLS in KISARAZU」のワークショップにNECと高専機構との提携に基づいて参加し、学生向けにロールモデルを伝えたりしているという。
「迷うくらいならば、チャンスを逃さず、チャレンジしてほしいなと思います。まずはやってみることが大切で、そうすれば自然と周りに仲間ができていくと思います」と中島氏はエールを送っている。不安もあるかもしれないが、興味があるならば、まず一歩踏み出してみてはどうだろうか。
