企業を守るカギは「セキュリティ人材」の育成　高まるサイバーリスクに備える教育戦略

セキュリティ教育ニーズとその背景

武藤耕也氏：みなさんこんにちは。グローバルセキュリティエキスパートの武藤でございます。本日は「トレンドから読み解くセキュリティ教育ニーズとその背景」というお話です。

最近どんな相談が多いのか、どんなコースが人気なのか、その理由は何か。そんなお話を進めながら、今教育に積極的な企業や組織のみなさんが、いったい何を目指して活動されているのか。このあたりを掘り下げていきたいなと思っています。よろしくお願いします。

セキュリティ教育に関する相談は、ここ数年ずっと増え続けています。例えばこのスライド、これはGSXが提供するエンジニア向けのトレーニングコースだけを抜き出した図になっています。



2020年度あたりから一気に急増しているのがわかると思うんですが、ついに2023年度の統計では、6,000人に迫る勢いまで人数が増えてきています。

これに経営層さま向けの勉強会や従業員さま向けの研修などを入れると、年間で数万人を超えてしまいます。そのくらい今、セキュリティ教育のニーズは大きくなってきています。

さらに2023年あたりから、ニーズの幅も広がってきています。例えば今お話にあった、「社長向けの勉強会をやってほしい」みたいな話もどんどん増えています。



従業員向けの研修も「毎年eラーニングなどをやっていたけど、もっと自分たちの業務の実態にひも付けて説明できるような講習を考えてくれないか」「エンジニアだけではなくて営業向けの研修もやってほしい」などの意見もいただくようになりました。

製造業さんからは「自分たちの製品を安全に使い続けてもらうためには、そもそも製品を作っている自分たちが、どうやって自分たちの製品を悪用したり攻撃されたりするのか、こういった攻撃手口を知っておかないと管理できないから、自分たちにも攻撃手口を教えてほしい」。

こういったさまざまな背景で、いろいろなリクエストが寄せられるようになってきています。このレベルのご相談は、ほとんどは本部長さん、事業部長さん、部長さんといったような、経営に近いポジションの方、事業責任を担っていらっしゃるマネジメント層の方々からです。

こういったところも、今までと違うトレンドになっていると言えると思います。「セキュリティのためのセキュリティ」「べき論」みたいな話ではなくて、教育に実効性を求めているところです。

非IT企業からの相談が増えてきた

コンサル用語で言うところの上流のご相談ですが、2024年上半期でどのくらいあったのかを数えてみました。全部でなんと59組織もありまして、内訳を見てみると中央省庁が4件、企業からが48件、大学や独立法人が4件、その他3件で、けっこうバラエティに富んでいるなと思います。

企業の内訳がどうなっているのかが気になると思うので、そこも分類してみました。今12種類に分類しているんですが、正直私が予想していたよりも、思ったより偏りはありませんでした。

一番多いのは情報通信なんですが、2番目に多いのが非ITのお客さまで、サービス業が入ってきています。その後も、商社や電気製造業、精密機器、自動車、鉄鋼、石油、化学、銀行、金融、機械、医薬品・食料、運輸というかたちで、本当にさまざまな業種・業態の方からご依頼をいただいています。

もうひとつ特筆すべきなのは、いろいろな業種の中でも、ご相談いただく部門のメインビジネスがITではない方々が、全体の半分以上を占めていることです。こういったところも、かなり今までと流れが違うかなと感じているところですね。

月別で相談件数推移を見ても、あまり差がないんですね。8月はへこんでいますけど、ここには夏休みがありました。そういう意味でも、一年を通じて、本気でセキュリティの実効性をどう上げていくか。そのための教育をどうやっていくか。こういったところに意識が向いているんだと思っています。

IT利活用やDX推進もセキュリティ教育の契機に

このご相談の中でも内容を分解してみると「わかる人を育てたい」「社内で意識を共有したい」「訓練でその意識を組織の中に定着化させていきたい」。こういったお話がどんどん出てくるわけです。



もちろん目的は「実効性を向上させる」ことにもつながっていますし、そのさらに先には「業務のため」があるんですね。

ここが、今のトレンドをかたち作っている一つの大きな要因だと思っていて、本気度が昔と比べて違います。IT関連企業のみなさまはビジネス推進に直結するので、本気になりやすいところはあると思います。

一般企業のみなさまも、非ITの分野がメインビジネスだったとしても、そのメインのビジネスをより競争力を高めるために、より利便性高くお客さまに届けるために、DXの推進やITの利活用をどんどんやっています。

ここが自分たちのビジネスに直結しているから、このシステムが攻撃されたり、危険で使い物にならないみたいな話になってくると、それはビジネスに直接悪影響を及ぼしてしまいます。

そのリスクは非常に大きなダメージになることも理解されていらっしゃる。だから、今までと違って本気度がかなり強いことになっているんだと思います。

そこで我々も、みなさまから寄せられる相談内容に合わせて、それぞれのニーズに合わせた教育メニューをご用意してきました。プラス・セキュリティ人材の育成のメニューや、より高度人材を目指すトレーニングコースもどんどん拡充してきました。

腹落ちさせるセキュリティ教育とは

階層別の教育のお話ですが、経営層が腹落ちするためのセキュリティ勉強会や、事業部門長の方々が納得するためのセキュリティ研修など、従業員のみなさまが「なぜこんなことをやっているのか？」がわかるセキュリティ講習をどんどんメニュー化して、みなさまのニーズに応えられるように活動をしてきました。

その結果、こういったところがお客さまにも非常に響いて、どんどん次のご相談が来るようになりました。そうすると、「どうやったらうまく進むようになるのか？」。つまり、「実効性が向上するにはどうしたらいいのか？　そのやり方を教えてほしい」。こういったご相談も寄せられるようになってきたんですね。

例えば「今までセキュリティ研修やセキュリティ教育、いろいろなテキストやコンテンツを買って、自分たちでもやってきました」「eラーニングもやったし、社内研修もやってきました」「でも、具体的にイメージが湧かないから、なぜこんなことをやっているのか腹落ちしていない人ばっかりで、これだとセキュリティ教育をせっかくやっても意味がないんです」。

それは本当におっしゃるとおりだと思うんですね。「なぜこんなことをしなきゃいけないの？」と、みんな納得していないから、結果的に教育効果が出ない。例えば犯人の手口、犯行手口一つとってみても、手口を知っているか。手口がイメージできるか。これが浮かんでこないと、腹落ち感が出てこないわけなんですね。

「いや、武藤さん。そんなこと言っても、ハッキングテクニックの話なんて、エンジニアでも詳しい人間ではないと難しいでしょう」とおっしゃる方もいらっしゃるんですけど、これは何もエンジニアの方だけのお話ではありません。

細かな技術的手法の解説はわからなくても、犯人がいったいどんな連中で、どういう攻撃手口を使って、みなさんを騙したり攻撃したりするのか。その結果、犯行が成功してみなさんの被害につながってしまうのか。

ここの部分は、ITには別に詳しくない人でもイメージできるかどうか。イメージできるように、しっかり分解してお伝えをして、例えば伝統的な犯罪手法とその関連性をひも付けて、例え話も使いながらお伝えして、「あ、そういうことなのか」と。

ここをしっかり伝えられるかどうかが、犯行がイメージできるようになるかにもつながっていきます。

3つのポジションが実効性のキーになる

これは犯行手口だけの話ではなくて、それぞれセキュリティでやらなければいけないことが、なぜこんなことをしているのか、具体的なイメージが持てるかどうか。ここが教育効果をもたらす上で、本当に大きな、大事なファクターになっていきます。

みんなが犯行をイメージできれば、当然、「なぜこんなことをしなきゃいけないのか？」が腹落ちして共通認識になっていくわけですね。

だから、できるだけ具体的にみなさんが自分事として捉えられる。そして、それを部下や同僚に伝えられる、説明できる。こういった教育コンテンツが求められているんだなと我々は感じていまして、これがイメージできて自分事になるから、結果的に主体的になる、能動的に動かせるようになるようになります。

結果、教育の効果が高まって、実効性が上がる話につながるわけです。部門長さんからはこういったお話をご相談されていたわけなんですね。みんなが納得するにはどうするか、組織のコンセンサスをどう作るのか。

その方法論として、先ほどの「わかる人を育てたい」「社内で意識を共有したい」「訓練で定着化させたい」という話が、お客さまの口から出ていました。だから、まさにこの話は（自社での）「実効性」を求めています。

実際、「サイバーセキュリティ経営ガイドライン」をひもといてみても「組織の実効性を上げるためには、まずその組織の中で、防犯意識とリスク認識、『何のためにこんなことをやっているのか？』を共通認識にしましょう」と書かれているんですね。

ですので、みなさま方もここは自信を持って、まず、意識合わせに進めていただきたいと思っています。

ただ、この組織の共通認識、会社の全員が同じ認識を持つことはそれこそ不可能です。まずは経営者の方々、各部門長の方々、システム担当者やセキュリティ担当者の方々、エンジニアのお三方が同じ認識を持つのを、最初のゴール、最初の目標にしていただきたいと思っているんです。

このお三方が共通認識を持てると、一気にその組織の実行力が上がっていきます。何のためにセキュリティをやっているのか。経営者の目線で、そして各部門をマネジメントされている部門長の目線で、そしてシステムを担当されているエンジニアの目線で考えていただきたいと思います。

3人がスクラムをがっちり組めるようになると、まさに「セキュリティ経営ガイドライン」に書いてある、各階層ごとのリーダーが連携して、組織全体をリードする流れになっていくというお話でございました。

組織の実行力を上げるには

こういったご要望がとても多くなってきましたので、我々GSXとしても、経営層向けのコンサルティングのメニューの中から、セキュリティ勉強会を抜き出してメニュー化しております。



言い方が適切かどうかわからないですが、ワイドショーのような切り口で、空き巣や詐欺みたいな伝統的な犯罪とも関連付けながら、犯人が狙うポイントを、経営者のみなさまでも、部下にご自身でご説明ができるレベルまでかみ砕いて解説しています。

だから、犯人が狙っているポイントや「どうして被害に遭ってしまうのか？」も、納得していただけるようになります。

この経営層向けの勉強会は、特に我々としても、今までマーケティングを行ってなかったんですが、おかげさまで口コミで広がっていきまして、今では多くのお客さまから引き合いをいただくGSXの人気メニューになっております。



経営層や部門長の方は、このように「何をすればいいのか？」がしっかり理解できて、マインドセットが定着すれば、それで一気にこのスクラムが進んでいくんですが、それだけでは組織の実行力は上がっていかない。

エンジニアのみなさんにとっても、自分たちが使えるスキルを早く身につけたい。スキルアップも必要になる。ここは手が動かないと実効性が出ませんからね。ですので、そこに合わせたエンジニアさま向けのスキルアップトレーニングコースを豊富にラインナップしております。

昔はホワイトハッカー向けのCEH（認定ホワイトハッカー）や、コンサルタント向けのCISSP（世界最高峰のセキュリティ資格）みたいなものしかなかったんですが、今はこんなに増えておりまして、なりたい役割別や欲しいスキル別、コースをたくさんご用意しております。

技術スキルを身につけるカリキュラム

冒頭にご紹介した営業資料の図で、左側は伸び率という話なんですけど、今度は右側を見ていただけるでしょうか。これは技術スキルを身につけるコースの人気トップ5を示しています。



CEHやCISSPは、2020年より前は、1番人気、2番人気だったんですが、（今でももちろんここは伸び続けてはいるんですが）今、1番人気、2番人気、3番人気、トップ3に入っているのはすべて、プラス・セキュリティ向けのコースの人気が急増しております。こちらの受講人数の伸びがものすごいので、順番が入れ替わって、こちらが1位、2位、3位になっています。

一番人気に入っている、これは「SecuriST（セキュリスト）」と読むんですけど、これは我々のオリジナルコースになっていまして、これのコンセプトは、「忙しいエンジニアのみなさまも、欲しいと思ったスキルを、短い期間でサクッと身につけて、すぐに業務で活用できる」。こういったコンセプトで開発させていただいたトレーニングコースとなっています。



SecuriSTシリーズの中でも、スキル別でコースが分かれているんですが、特に人気が高いコースが、1つ目は「ゼロトラスト・コーディネーター」と呼ばれているものですね。



「ゼロトラスト」ってバズワードになっちゃっているんですが、ゼロトラスト・アーキテクチャの考え方は、今までの境界防御や多層防御とかなり考え方が違います。

これをしっかり理解していただいて、他人に説明ができるか、自社のシステムにゼロトラストモデルを実装するために、どうやってセキュリティやソリューションを組み合わせて企画・設計すればいいのか。こういった部分をしっかりつかみたい。ゼロトラストの考え方の本質と、実際に導入を進めていらっしゃったお客さまの具体例も掘り下げて説明していきます。

例えば情報システム部門で、自分の会社のセキュリティシステムをレベルアップしたいと考えていらっしゃる担当者さまはもちろん、お客さま向けにシステムをご提案されているような方々にも大人気のコースになっています。



「うちの部門全員で受けます」などと、数十人・数百人単位のご受講は、本当にいろいろな会社さんからご依頼いただいているコースになっています。

「セキュアWebアプリケーション設計士」にも対応

もう一つ、SecuriSTシリーズの中で有名なコースと言えば「脆弱性診断士」。システム管理者のお立場の方や、アプリケーション開発者の方々からのご受講が多いコースになっていますね。セキュリティホールを自分で見つけられるようになるためのコースです。



このコースでは、診断する対象によって、プラットフォームやインフラ側なのか、あとアプリケーション側なのかWebサイト側なのか。こういった2つに分かれていらっしゃる。それぞれの診断の、実際どういう手順で進めて、どうやって結果を読み解くのかを、方法論だけではなくて、手順も体系化して解説をします。

さらに、ハンズオン実習によって、実際に自分で診断を行う。その結果を読み解いて、第三者に対して説明ができる。ここまでをこのコースのゴールイメージとして設定させていただいています。



2023年あたりから人気が高まってきているのが、「セキュアWebアプリケーション設計士」です。これは開発の方、アプリケーションを作る方ではなくて、発注する側のエンドユーザー企業のみなさん、サービスを企画されるプランナーの方々にも人気のコースになります。



「どうやって設計したら、安全なアプリケーションが作れるのか？」。セキュアコーディングの話ではないというところがポイントなんですよ。安全な設計手法を学ぶコースですね。このコースは一日でサクッと学べますし、しかもスキルの活用範囲がとっても広いので、そういうところが人気の秘訣になっているのかなと思っています。

必要なコアスキルを一気に習得していく

今、SecuriSTの中でも特に人気があるコンテンツをご紹介させていただいたんですが、次は先ほど2番人気になっていた「CCT」があるんですね。このコースは国際ブランド、国際資格の公式トレーニングコースになっていまして、先ほどのSecuriSTとは考え方が異なっています。



こっちのコンセプトは……セキュリティのスキルはすごく幅が広いじゃないですか。この幅広いセキュリティの分野を、体系的かつ俯瞰的に理解していただいて、設計や運用に必要なコアスキルを、できるだけ早い段階から、しっかりタイパ良く身につけていく、という考え方に基づいて作られているんですね。

ですので、本当に対象範囲が広い中で、必要なスキルはさまざまあります。それを一歩一歩、先ほどのSecuriSTみたいに一つひとつステップアップしていく方法も、（特に最初の時には）有効なんですが、ある程度のレベルに達している方は、手っ取り早くズバッと全体像を俯瞰して身につける。

例えば、システムの運用サイクル全体をセキュリティの視点で俯瞰して、運用がどうやってつながって流れているか、体系立てて理解した後に、実際にインシデントが発生した際を想定して、そのインシデント対応から逆算して、それぞれのフェーズで何を準備しておけばいいのか。そうすれば、適切かつ迅速な対応ができるようになる。



この膨大なIT領域のセキュリティ関連箇所を、3日間のトレーニングコースに凝縮することで、セキュリティエンジニアとして必要なコアスキルを一気に習得していくコースになっているんですね。

CCTコースの人気の秘訣

テキストはその分だけ分厚くなっていまして、講義もかなりのスピードで進んでいるんですが、歯ごたえのあるブートキャンプのようなコースとして、海外だけではなくて、日本国内でも一気に人気が広がってきています。

当然、知識だけではなくて、ハンズオンがないとスキルアップにつながらないところもありますので、サイバーレンジも使いたい放題で使えるようになっています。このサイバーレンジの利用期間が、なんと半年間ですね。6ヶ月にわたって使いたい放題で使えます。



サイバーレンジの練習シナリオも85本も入っているんですね。ですので、本当に体系立てた知識をすぐに経験に変えていただいて、どんどんスキルアップしていただくということが可能になっています。

これがまた、CCTのコースの人気の秘訣になっているんですが、卒業生のみなさんはオプションのライセンスで延長ライセンスがあって、それを買うと、また半年間延長できるようになっているんですね。卒業した後に、資格も取っているにもかかわらず、サイバーレンジの延長ライセンスだけ、ずっと更新し続けているお客さんがけっこういらっしゃるんですよ。

理由を聞いたら、「半年間の延長をしても、延長料金が4万円もいかないから、自分で環境を作るよりも安くて簡単だ」ということで、更新し続けている。こういったお話もうかがっていて、こういう部分も本当に人気の秘訣なんだろうなと思っています。

CCTを使って、コアスキルをしっかり強固に身につけることができれば、その後のスキルアップが段違いに早くなっていきます。ですので、「上位資格に挑戦したい」「ここのスキルをもっと磨いていきたい」といった時にも、コアが先にできていれば、結局タイパもコスパも良くなるというお話なんですね。

CEHやCISSPにも無理なく挑戦できる

他のどんな勉強でもやり方は同じだと思うんですけど、やっぱり何事も基礎が重要です。このCCTでは、3日間のオンラインのブートキャンプ講習、講義のプレイバック動画の視聴権と、そして半年間のクラウド演習環境の利用権。さらに、国際試験のチケットが付いて、お1人さま18万円が定価になっています。



これは、ハンズオン付きの国際ブランドの公式トレーニングコースとしては、本当に破格のお値段だと思います。価格破壊になっていると思っているんですね。この1番人気のSecuriSTや2番人気のCCTを皮切りにすることで、より上位の、例えばCEHやCISSPにも無理なく挑戦するルートを作っていけると思っています。



これは実例として、我々のお客さま、国内の大手SIerさんの事例で、こういったカリキュラムを組み合わせて、社内の各エンジニアの役割別、レベル別に、必要となるスキルを組み合わせた定義をすでに実行されていて、計画的かつ継続的に人材育成を実現されている。



こういったお話は、他社さまからもご相談いただいて、教育コンサルや人材スキルマッピングのコンサルでご提供させていただいています。

この事例のお客さまは、毎年毎年計画に基づいて、マインドセットを得た受講者のみなさんが、トレーニングや研修を受講されて、必要とされる人材や必要とされる資格保持者が毎年育って、その人たちがどんどん各部門に配属されるところまで進んでいらっしゃっていました。



組織全体の認識向上と組織の認識定着の必要な教育やコンテンツ、それぞれ内容が異なっていますので、我々も目的に応じたメニューをたくさんご用意しております。



例えば、「こういう対象者にこんな内容を刷り込みたいんだ」「こういうマインドセットを醸成してほしいんだ」というリクエストをいただければ、そのご要望に応じたプランをご提案できるようにしております。

多岐にわたるトレーニングコース

エンジニアのスキルを伸ばすためにも、役割や目指す人材モデルごとに、いろいろなコースを選ぶことができます。「脆弱性診断士を目指したい」「SOCのアナリストを目指したい」「ペンテスターを目指したい」「フォレンジッカーを目指したい」。

それぞれのコースがありますので、それを使っていただければといいと思いますし、もちろんGSX以外にも、さまざまなトレーニングコースが出ています。



一昔前は、こういったセキュリティのスキルアップのコースはかなり数が少なかったんですが、今は本当に幅広い分野のものが出ていますし、とても使いやすくなっています。その意味で、ぜひみなさまにはこれらをうまく活用して、みなさまが育てたい人材、必要な教育メニューを組み立てていっていただければと思っております。

もっと踏み込んで、「セキュリティ人員のマッピングをやり直したい」「人事評価と連携させたい」「うちに最適な人材モデルを教えてほしい」といったご相談をいただく機会も増えました。

必要な人材像はお客さまの組織によって異なりますので、我々もお手伝いに入らせていただいて、しっかりサポートできるように、例えば必要な役割を見える化して、それを組織の役割分担ごとに落とし込んでいくコンサルもお引き受けできるようになっています。

ふだんのお仕事の中の業務プロセスの中の、セキュリティをコントロールする役割。そういった要素が、必ず、少ないながらも、みなさんのお仕事の中にある。セキュリティ担当者やIT担当者だけではなくても、いろいろな部門の方が、実はそれぞれやらなければいけないタスクがあります。



これをふだんの業務プロセスの役割の中に、「セキュリティに関するタスクがある」ことを見える化して、「みなさんがふだん業務をやる中では、こういったことがセキュリティをコントロールする肝になっているんですよ」と。こういう部分を明示していく。

そうなってくるとセキュリティが、「後から言われた」「アドオンされた」「面倒くさい何か」ではなくて、ふだんのお仕事の中の安全管理、品質管理と同じ流れで、サイバーセキュリティの管理ができるようになってくる。

なので、こういった作業は、もちろんコンサルであれば、我々のような人材もお手伝いできるんですが、ポイントなのは、この活動をリードするのは、あくまで「社内の方々」がやるべきだというところなんですよね。何よりもみなさん自身が、一番業務内容を把握している。組織文化そのものを把握している。だから説得力があるし、実効性が違います。



これがわかれば、「セキュリティはIT部門の仕事で、俺たちは関係ないよ」という話ではないということが、いろいろな部隊の方々もわかっていただけるはずなんですよね。だから能動的に、自発的に動けるようになる。メンバーがみんなわかっているから、万が一事故が起こった時にすぐ対応できるようになります。

敵にタックルされても、倒れながらでもすぐに他の人にパスを回せる。そして、パスを回される側も、自分がそこに走り込まなきゃいけない。わかっているから、パスが飛んでくることを予測して走り込める。そして、パスを受け取れる、つなげられる、ということなんですね。まさにチームプレイの真骨頂だというところなんですけれども。

セキュリティをリードできる人材を増やすために

これがわかれば、「セキュリティはIT部門の仕事で、俺たちは関係ないよ」という話ではないということが、いろいろな部隊の方々もわかっていただけるはずなんですよね。だから能動的に、自発的に動けるようになる。メンバーがみんなわかっているから、万が一事故が起こった時にすぐ対応できるようになります。

敵にタックルされても、倒れながらでもすぐに他の人にパスを回せる。そして、パスを回される側も、自分がそこに走り込まなきゃいけない。わかっているから、パスが飛んでくることを予測して走り込める。そして、パスを受け取れる、つなげられる、ということなんですね。まさにチームプレイの真骨頂だというところなんですけれども。



こういった教育のコース、流れもメニュー化できておりますので、「とにかくここから始めたいんだ」というお話がありましたら、ご相談いただければすぐにお手伝いすることができると思っております。

経営者、事業責任者、そしてシステム担当者のお三方で共通認識を持って、スクラムを組んで活動を推進することで、安全な活動や品質管理と同じように、セキュリティ活動が組織文化に定着していく。

今ご相談いただいているお客さまは、まさにこういった点について悩んでいらっしゃるということが、今日お話しさせていただいた内容でした。

志を持っているみなさまのような方が、声を上げられて行動を起こして、その行動を見て感化されて、みなさんの賛同者が増えていけば、どんどんみなさんの組織の中で人を巻き込んでいけるようになります。

巻き込まれた人の中に、またみなさんのリーダーシップが伝染して、そして組織の中に伝播していく。セキュリティをリードできる人材がどんどん広がっていって、そして組織も育っていきます。

我々も引き続き、自分が持っている知見やノウハウを還元して、みなさまのお役に立てる情報を発信してまいりますので、引き続き、なにとぞよろしくお願いいたします。本日はご清聴いただきまして誠にありがとうございました。これで講演を終了したいと思います。ありがとうございました。