[インタビュー]
「すぐ手を動かして対処できるスキルこそ重要だ」─実務重視のセキュリティ人材教育に携わるSANS Institute
2017年6月22日(木)川上 潤司(IT Leaders編集部)
デジタル変革に邁進する企業に、しばしば暗い影を落とすのが狡猾なサイバー攻撃。オリンピック/パラリンピックが開催される2020年に向けて、日本が標的になる機会も増えると目されている。こうした状況を睨み、高度なITセキュリティ人材の育成などを事業の柱とする米SANS Instituteは、日本での活動にこれまで以上に力を注ぐという。この6月にマネージングディレクタに就任した関取嘉浩氏に話を聞いた。
──SANS Instituteは、セキュリティに関わる仕事をしている人にとっては知名度があっても、一般的なITエンジニアには馴染みがないかもしれません。まずは、SANSの概要を教えていただけますか。
SANS Instituteは、一般企業や政府機関など組織横断的にサイバーセキュリティに関わる研究を推進したり、実務の現場で必要となる高度な専門教育を手掛けたりすることを目的に1989年に設立した組織で、本部は米国のワシントンD.C.にあります。ちなみにSANSとは、Sysadmin、Audit、Network、Securityの頭文字を取ったもの。その名の通り、システムアドミニストレータや情報システム監査人、ネットワーク管理者、セキュリティ担当者など16万5000人超の“プロ”に、トップレベルの教育プログラムや議論の場を提供してきました。
そうした人材育成のほか出版活動や、サイバー攻撃に関わるワールドワイドの最新情報を発信すると共に各種の注意喚起を促すプロジェクト「Internet Storm Center」の運営など、幅広い活動を繰り広げています。
日本においては、私が先頃まで在籍していたNRIセキュアテクノロジーズとの協力関係の下、2003年から一部のトレーニングコースを粛々と展開してきた経緯があります。セキュリティへの取り組みにおいてはソリューションにも増して人材が重要だとの認識が広まってきたのは2012年あたりからでしょうか。昨今、大企業を中心にCSIRTを設置する動きが活発になる中で、実務の現場で役立つスキルを備えた人材を求める機運も急速に高まっています。そうした状況に照らし、SANS本部としても、日本市場の支援体制を厚くすることに舵を切る判断をし、私が6月1日付でマネージングディレクタを務めることとなりました。
──ITセキュリティの知識やスキルを身に付けようと思った場合、色々な教育講座や資格制度があります。その中でSANSはどのような特徴を打ち出そうとしているのでしょうか。
「SANSトレーニング」の特徴の一つは、知識ベースではなくスキルベースを重んじていることです。この5月にランサムウェアのWanna Cryが世間を賑わせたことは記憶に新しいところですが、例えば、自社に感染が確認された時に、実害を最小限に食い止めるにはどうしなければならないのか。何かあった時に「すぐ手を動かして対処できる能力」を身に付けることを重視しています。
だからこそ力を入れている一つがハンズオン(PCを使った演習)。コース内容に準じ、受講者一人ひとりにVM(仮想マシン)上で動く環境を提供します。実際のシステムやネットワークの環境を想定して、OSや各種ツールのコマンドなどを駆使しながら、万一に備えたテクニックを学びます。これはトレーニング会場のみならず、自宅などで何度でも演習を繰り返すことが可能です。あくまでベンダーニュートラルな立場を貫いており、特定のソリューションの操作方法を教えることはしません。
ハンズオンにおいては、攻撃者のマインドについての解説もあります。こんな場面ではたらく行動心理とはどういうものか。だとしたら、どう先回りしておくべきか。相手より優位に立ってアクションを起こすための実践的ノウハウが徹底的に教え込まれます。
──教壇に立つ側にも力量が問われますね。
当然ながら、講師陣もハイレベルでなければなりません。最新のサイバー攻撃手法への深い理解のみならず、ビジネス現場の実状にも精通した人材など、そうそういるわけではありません。SANSでは一般的に、普段はセキュリティのコンサルタントなど第一線でサービスを提供している実力者を招聘し、トレーニング期間中に限り講師になってもらうスタイルを採っています。ただし、受講生からの評判が悪いとすぐに“戦力外通告”となる厳しいルールを課しているので、教える側も生半可な態度では続きません。実績を積んで一定の評価が得られれば「サーティファイドインストラクタ(認定講師)」となりますが、それも最低で3年はかかります。