[インタビュー]

2017年6月22日(木)川上 潤司（IT Leaders編集部）

リスト

 年に2,3回のトレーニングイベントで集中的に展開

──日本で、SANSのトレーニングコースを受けたいと思った場合、いつでも申し込めるのでしょうか。

　随時受け付けるのではなく、現状では年に2～3回のトレーニングイベントを企画・開催しており、そのタイミングで受講頂くことになります。

　直近のものを例に挙げると、7月5日（水）～15日（土）にかけて「SANS Cyber Defence Japan 2017」を開催し、ここでは「401：Security Essentials Bootcamp Style」「504：Hacker Tools,Techniquies,Exploits,and Incident Handling」「575：Mobile Device Security and Ethical Hacking」「660：Advanced Penetration Testing,Exploit Writing,and Ethical Hacking」の4コースを実施します（図2）。

図2　2017年7月に開催するトレーニングイベントでは4つのコースが受講できる
拡大画像表示

　今年は同様の企画をすでに2月にやりました、これから7月、さらに10月と続き、3回の開催となります。コースの種類で数えれば、現状で14～15コースほどを日本で展開していることとなり、これは、国内の実状に照らして「今ならこのコースが望ましいだろう」というものを選んで実施しています。

──ちなみに、講師は日本人ですか？

　先に述べた認定講師は今は日本にはおりません。ただ、独自のスキームで「ローカルインストラクタ」制度を運用しており、国内在住の講師が今日の時点で3人います。ただ、その人たちはどのコースも教えられるわけではなく、特定のコースに紐付いてます。「401」を教えられる日本人講師が2人、「504」を教えられる日本語が堪能な外国人講師が1人という布陣です。2つのコースについては教材も日本語化しています。それ以外のコースは、米国から認定講師が来日し教壇に立ちます。英語による講義ですが、同時通訳があります。

　ランゲージバリアはいかんともしがたいのですが、いたずらに日本人講師を増やしたり教材をローカライズしたりするつもりはありません。何しろ、サイバーセキュリティに国境などなく、日本の企業や国家機関といえど、グローバルな視点で対峙していなければなりません。次々と出てくる攻撃手法を食い止めたり、被害を最小限に抑えるためには、世界中の専門家や同志の知見を結集する必要があります。最新の情報を収集するにしても、コミュニティで議論するにしても、そこでは英語がベースとなるという現実を踏まえなければなりません。

　コミュニティという話をしましたが、SANSのコースを受けるのを機に、講師や受講生とのネットワークを築ける点は大きなメリットだと思います。実務の現場で問題を抱えたり壁に当たったとき、すぐに相談できる人脈を持つことはとても大事なことですから。また、先に触れたGIACに認定資格においては、テストで優秀な成績を収めるとアドバイザリボードというコミュニティに迎えられ貴重な情報交換の場に参加できることになります。そうしたアフターフォローまで含め、すべてシステマティックに制度を運用しているのがSANSだと理解頂ければ幸いです。

──今年はあと2回チャンスがあるわけですが、何かトピックがあれば教えて下さい。

　SANSの日本でのトレーニングイベントでの初の試みとして、7月開催のものからは会期中に「Core NetWars Experience」を企画しています。いわゆるCTF（Capture The Flag）として知られるもので、ゲーミフィケーションの要素を取り入れたネット上の攻防戦です。

　これがなかなか良くできているんですよ。クイズ形式の問題を解きながらステージをクリアしていくと、SANSのセンターにあるサーバーが見えて来るんです。知識やスキルがあれば、その中に隠れているフラッグ（情報）を手に入れることができる。そうして一定条件を満たすとサーバーの管理者権限を使えるようになり、さらに深いところまで入っていけるようになります。最終ステージはいよいよ攻防戦。他が手に入れたフラッグを奪うこともできれば、逆に奪われる可能性もある。自身の環境を堅牢化しつつ、相手の隙を突く方策を考えなければなりません。

　勝者を称えるコンテストというよりは、疑似環境における「腕試し」です。レベルに応じたところまでしかたどり付けないので、楽しみながらも自らのスキルを客観的に評価することができます。「考えて、手を動かす」ことの訓練にもなること間違いありません。

　IoTやAIを筆頭にテクノロジーの激動期にある中で、日本企業は様々なチャレンジに余念がありません。枯れていない真新しい技術ほどリスクと背中合わせであるのは世の常です。サイバーセキュリティという問題に対処する人材を社内で育成するにせよ、外部の専門業者に任せるにせよ、きちんとした評価軸を持っていなければなりません。そこにSANSが提供する枠組みをうまく活かしていただければと思います。