ホーム > ニッポンを守る教育 > 情報セキュリティ教育の必要性
 

情報セキュリティ教育の必要性

教育

● 教育概要:陸・海・空・宇宙に続く、『5番目の戦場』とささやかれているサイバー空間で、あらゆるシナリオを想定し、未然に攻撃や事件を防ぐとともに、万一の非常事態に備え、事態の収拾や、犯罪者の特定を行ったりするCSE(サイバーセキュリティエリート)を養成します。

教育対象者:個人や、各企業や各団体の情報セキュリティの専門家に対して訓練を行います。具体的には、

  • 様々な視聴者(学生~一般)向けに、情報セキュリティ分野に於いて国際的共通の基準に基づいた基礎教育プログラムで人材育成するという機会を与えること:
  • 会社、国営企業、民間組織の経営者の情報セキュリティ知識を豊かにし、管理(マネージメント)能力を向上させること:
  • 情報(サイバー)セキュリティの責任者が持つ実践的なスキルや技能を高めること:
  • 情報(サイバー)セキュリティサービスを提供している会社の専門家の訓練レベルを高めること:
  • サイバー攻撃を調査する機関の捜査員の訓練レベルを高めること:
  • サイバーセキュリティの専門家や、サイバー捜査員を育てている講師の訓練レベルを高めること

が挙げられます。

訓練方法:オンライン講座、オンラインテスト、セミナー、各企業や団体内部での集中セミナー、夏季に保養所などを利用した合宿セミナーなどを通じて訓練を行います。

講演対象者:(情報セキュリティの専門家ではない)経営者や、団体上層部を集めて、最新のサイバー危機管理の動向を説明するセミナーを行います。

教育目的

1 日本では、2014年6月、アベノミクスの新戦略「世界最先端IT国家創造宣言」が閣議決定されたことを受け、東京オリンピックが開催される2020年までに「世界最高水準のIT社会づくり」を目指しています。具体的には、

  • 公共データの民間開放
  • ビッグデータの利活用促進
  • ITを活用した農業の高度化
  • ITを活用した社会インフラの維持管理
  • 国・地方の行政情報システム改革
  • 政府CIOによるITガバナンス強化

が挙げられます。このようなIT社会、ITインフラへの投資に比例してリスクも増大しますので、セキュリティを強化するために、CSEを育て、且つ、組織化します。

2 日本では、2001年にIT戦略本部を立ち上げ「5年以内に世界最先端のIT国家になる」と宣言していたものの、失敗し、世界から出遅れました。ニーズを把握せず、各省がバラバラに投資したことも失敗要因の一つです。しかし、そのような苦い経験があるからこそ、今回は、各企業経営者
(※)に対して、サイバーセキュリティを重要視することで、社内の安全性が向上するだけではなく、社会的貢献が果たせるということを解説する『つなぎ人材』の育成も行います。各企業経営者が、サイバーセキュリティの必要性に気づくことで、10万人足りないとされているサイバーセキュリティ人材の募集促進が期待できるからです。つなぎ人材にて、経営陣に対する社会的な空気(ニューマ)=サイバーセキュリティをしないことは罪、というニューマを生み出せば、必要最低限の投資でサイバー空間のセキュリティ強化が行えます。

(※)ハーバードビジネスレビュー誌の読者調査では、サイバー攻撃に深刻な懸念を抱きながら、企業経営者は、被害実態を理解していないと結論付けられています。

3 政府全体のIT政策を取りまとめて推進するCIOやNISCにとって、今後、欠かせないのがサイバーセキュリティを高度化させる取り組みです。もし今、サイバーセキュリティ分野で協力を仰ごうとしている専門企業や、その会社内のセキュリティ専門家のレベルが、日本国内では高くても、世界的に見れば、底辺にあるとしたら、、、もしくは、偏りがあるとしたら、、、どうでしょう?そのような状況を打破すべく、教育を行います。

4 衆議院議員が中心となっている「サイバーセキュリティ基本法案」では、前述のNISC強化に加えて、以下の取り組みが行われています。これらの取り組みに直接、有効(必要)になってくるのが、今回のCSEの養成です。

  • 行政機関におけるサイバーセキュリティの確保
  • 重要インフラ事業者におけるサイバーセキュリティの確保
  • 民間事業者や教育機関における取り組みの促進
  • 犯罪の取り締まりと被害の拡大防止
  • 産業振興及び国際競争力の強化
  • 研究開発推進
  • 人材の確保

5 重要インフラへの攻撃数は急増しています。情報通信研究機構(NICT)の分析システムnicterによると、攻撃元は、中国が41%で1位、2位が韓国で7%、3位が日本で6%、4位がアメリカで5%と続きますが、果たして、この割合は本当でしょうか?今や、組織化、企業化されている攻撃者(犯罪者)は、いとも簡単に、中国が攻撃を仕掛けているように、表面上見せかけることもできることを忘れてはなりません。そのように、現在のセキュリティ関連情報を根本から見つめ直していくためにも、多角的な教育により、CSEの養成を行います。

6 以前のサイバー攻撃は、攻撃者が相手に知られないよう密かに実行する傾向にありました。しかし、近年のAPT攻撃では、高度なテクニックを使って企業や組織のシステムやネットワークに忍び込み、長期間潜伏したり、機密情報を盗み出したり、金銭を要求したり、ユーザーをマルウェアに感染させたり、大胆なサイバー攻撃が増えています。インサイダーと呼ばれるような内部に潜り込むスパイと、高いサイバー技術を持った悪玉ハッカーとが手を組んでいるケースも増えています。そのような実態に、日本の企業は、対応する術を持ち合わせているでしょうか?未然に防いだり、犯罪を暴くことはできるでしょうか?実は、今の日本では、それがほぼ不可能な状態にあります。なぜなら、世界レベルの専門家が、日本には非常に少ないからです。

7 近年、サイバー攻撃は会社経営化され、費用対効果を求める犯罪になってきています。即ち、大きな投資がかからず、なるべく簡単に情報を盗めるところから盗もうとする傾向があります。弱いセキュリティの企業は、犯罪集団にとって魅力的なターゲットとなってしまう可能性があるわけです。適正給与の2倍でマルウェアに詳しいハッカーを雇い、スパムメールを送り付ける担当や通訳を雇い、工作活動を行う工作員を雇い、まるで会社経営と同じような形で、攻撃を運営している犯罪組織に対抗するためには、断片的にではなく、それらのことを複合的に理解しているCSEの養成が必要不可欠です。

8 各企業の経営者や担当者は、情報セキュリティの専門会社の専門家(プロ)が訪れた際に、半ば、言うなりになるしかありません。その答えは単純で、『(情報セキュリティに関して)よく分からないから』です。これは、とても危険なことだと言えます。ほぼ何の役にも立たないセキュリティシステムやツールを勧められて導入し、知らぬが仏で、安全になった気がしている経営者も多いと聞きます。そんな状態から抜け出すためには、自社内にCSEを抱えることが重要です。

アップデート:講演内容、訓練内容は、毎日更新を行います。サイバー空間での1日の遅れは命取りになるからです。

個別訓練:トレーニングは、オープン(大衆向け)も、各企業・団体専用のフォーマットも作れます。各企業や団体の特徴に合わせて、非公開でトレーニングを行います。オープンは、広く一般向けに、総合的な訓練を行うのに対し、各団体専用の非公開トレーニングは、例えば、その団体が水資源について取扱いをしている場合、その水資源を管理しているシステムが攻撃されると、どのような脅威が訪れるのかなども含めて、専門的にリスク回避の方法などを訓練します。

講師陣:各国のエリートを採用しています。各種情報セキュリティのトップ企業、カスペルスキー、ドクターWEB、Eセット、シスコ、ファイアアイ、RSAセキュリテイーなどからのパートナー証明や推薦状を持っているメンバーです。情報セキュリティの分野において、日本人専門家のレベルは、残念ながら、世界レベルとは言えません。チームとして訓練を受けていない専門家も多いです。弊社の場合には、得意分野ごとにチーム化されたメンバーを採用しています。

教育実績:大学での情報セキュリティ教育、各種団体内部での非公開講演、各種団体上層部を集めた公開講演、各種団体のサイバーセキュリティポリシーの立案、各種情報セキュリティ誌にての執筆活動、などを教育活動の一環として行っています。

終わりに
英Lloyd’sの「RiskIndex 2013」では、サイバーリスクが12位から3位へと大きくランクアップしている昨今です。しかしそんな中でも、“企業の金庫”と呼ばれるデータベースからの機密情報窃取に対して、驚くことに、およそ80%の日本企業はセキュリティ対策をしていません。

それとは相反して、2014年8月、関電システムソリューションズは、ファイア・アイとパートナーシップを結びました。ファイア・アイは大阪外国企業誘致センターの支援で、西日本市場における事業拡大を目的としているそうです。これは、情報セキュリティ対策を重視している、非常に良い傾向ではあるのですが、ここにすら盲点があることを忘れてはなりません。ファイアアイのシステムだからといって、100%完全に攻撃が防げて安心なわけではないということです。

サイバー空間の『安全神話』『思い込み』から抜け出し、未来のニッポンを守れる人材を急ピッチで育てていくことが、大切だと思っております。

何万人も、どうやって育てるの?

イーライト自社開発の『e-ラーニング』

日本の内閣サイバーセキュリティセンター(NISC)、サイバーセキュリティー基本法案を作られた政治家、様々な特色ある情報セキュリティ企業の方達、そして情報やコンピューターに特化した専門学校の校長先生、それぞれ直接お会いして、長い時間に渡って議論をさせていただきました。その結果、皆さまのご要望として、

『人材育成の必要性は分かっている。でも一体、具体的にどうやって、一度に何万人も育てるんだ?』

という課題をいただきました。この課題にお応えするべく開発致しましたのが、『e-ラーニングシステム』です。

『e-ラーニング』の特徴

サイバー空間の安全を守ることは、日増しに大きな課題となってきているにも関わらず、高いレベルの専門家の人数が、圧倒的に不足している現状があります。従いまして、e-ラーニングシステムは、理論重視の読んで終わりの教育プログラムではなく、情報セキュリティの本当のケースをベースにした、実戦能力を高めることに重点を置いた教育プログラムで構成されています。卒業できた人は、情報セキュリティ市場が求めている専門家になります。

『e-ラーニング』の構成

e-ラーニングシステムは、5つの分野で構成されています。

1. 保護されたITの構築と分析
2. フォレンジック(事件の捜査)
3. ITの解析と監査
4. 保護されたITの管理
5. 保護されたITの利用

ユーザーが目標としている分野とレベルによって、自動的に必要な科目が定められます。全部で55個の科目があります。それぞれの科目は、大きくいうと、4つに分けられています。

①入学テスト
②講座(知識)
③実習(能力)
④卒業テスト

オンライン教育システム 『e-ラーニング』 専用ホームページはこちらです

期間

あるレベルへの達成を目標とした場合、個人個人の能力により、学びの期間は異なります。

よくあるご質問

Q, 情報セキュリティの第一人者で、セキュリティキャンプにも協力されている先生が、なかなか良いホワイトハッカーが育たないと嘆いておられましたが、その点、大丈夫なのでしょうか?
A, 恐らく、仰っている『良いホワイトハッカー』というのは、ゼロデイレベルでも取り扱える、類稀なるホワイトハッカーのことかと想像します。通常レベ ルのホワイトハッカーや情報セキュリティ技術者であれば、何千人、何万人規模で育成することは可能です。通常レベルのホワイトハッカーが1000人で寄ってたかっても勝てないようなエリートハッカーの場合、確かに大量排出は困難だと言えると思います。

Q, ホワイトハッカーとして育てたのに、逆に犯罪行為をしてしまうこともありますか?
A, 可能性としてあると思います。サイバーセキュリティに限らず、持っている力を悪用してしまう人は、警察官でもボクサーでもいると思いますが、そうならないように、心を育む教育が大切だと考えています。

Q, 知識だけではなく、技術を育てる教育ですか?
A, はい。弊社の教育は、知識よりも技術力に重きを置いた教育です。知識を学ぶCISSPとは大きく異なります。技術を学び、実践できるようなプログラムになっています。

料金

お見積りを開始されたい方へ
(今の状況とご要望をお聞きし、お見積りをスタートします)

 
 

セカンドオピニオンのe-light

イーライトは、ニッポンの情報セキュリティのセカンドオピニオンを目指します。国内の情報セキュリティ企業様とは異なる、「第2の意見」として、御社様のより良い決断に貢献できれば幸いです。