[インタビュー]

2017年6月22日(木)川上 潤司（IT Leaders編集部）

リスト

　マテリアル（教材）の中身の濃さにも自信を持ってます。1つのトレーニングコースあたり6日間を費やすのが最も多いパターンで、1日あたり250～300ページからなるテキストが配布されるんですよ。ページの上半分には講師が投影するスライドが、下半分には事細かな解説が記されているのが基本スタイル。それが6冊にもなるわけですから、ボリュームだけでも相当なものです。受講後も参考書として常に役立つとの声が寄せられています。知っての通り、セキュリティの分野は動きがとても速いので、常にアップデートすることにも神経を尖らせています。

　講師と教材、その双方のクオリティについて一切妥協しないというのがSANSのポリシー。どちらかが欠けた瞬間に今まで築いてきた信頼を失うことになりますからね。一連のトレーニングにおける情報の量と新鮮さは、他の追随を許さないものと自負しています。

専門性を究めるために70以上のトレーニングコースを用意

──コースのバリエーションはどのぐらいあるのでしょうか。

　ベーシックなものから、かなりエッジの効いたものまで、現在は70ほどを用意しています（図1）。コースごとに3桁の番号を振っており、ざっくり言えば100番台が難しさのレベルを表しているんです。セキュリティ分野で広く知られる認定資格として、CISSPがありますが、この水準に相当するのがSANSのコースで言えば「414」です。もっとも、我々の考えとしては、セキュリティの「プロ」を養成するのであれば、これはまだ基礎レベルで、さらに専門性を究めなければなりません。SANSのコースは、より高度な500番台が中心であり、さらに600番台、700番台もあります。

図1　SANS Instituteが提供するトレーニングコースの概要
拡大画像表示

　一口にセキュリティ人材といっても、求められる専門性が分化し深化する傾向が強まっていて、一人がマルチ対応できない時代を迎えています。防御のオペレーション、ホワイトハッキング、フォレンジック、制御系のセキュリティ…。どの領域を、どのレベルまで突き詰めなければならないのか。「プロ」としてのキャリアパスを描き、そこに必要となるカリキュラムを検討した結果が現在の姿です。

　米国では、国防総省（DoD）や陸海空軍などに活用されるケースも加速しています。多くの場合、セキュリティに関するオリジナルの教育プログラムを持っているのですが、最新動向や攻撃対策など“足の速いもの”については、外部の専門コースを組み入れて補うやり方が増えているんですね。そこにSANSが、うまくはまるという構図です。

──そうしたトレーニングコースに加え、資格の認定もしていますね。

　セキュリティに関する知識やスキルを客観的に証明すために、「GIAC（Global Information AssuranceCertification）」という認定試験を1999年から始めました。2017年3月時点で、この資格を有する人は世界で9万2000人に達しています。認定の有効期間は4年で、継続には再受験が求められます。

　GIACはSANSが認定する資格の総称で、実際にはセキュリティ管理・運用、フォレンジック、マネジメント、監査など専門分野ごとの区分に沿って、30ほどの資格に細分化されています。いずれも“実社会で真に通用する”ことに主眼を置いています。