本日の情報セキュリティコラム(2014年2月22日)

TOP 平成25年度サイバーセキュリティ月間 本日の情報セキュリティコラム 本日の情報セキュリティコラム(2014年2月22日)

本日の情報セキュリティコラム(2014年2月22日)

2014年2月22日

【座談会2】

サイバー大学 園田 道夫
株式会社ラック 長谷川 長一
内閣官房情報セキュリティセンター 情報統括グループ 参事官補佐 川口 洋
 
 
川口  今日はお忙しいところお集まりいただきありがとうございます。人材育成の分野でご活躍されているお二人にお話を聞きたいと思い、お願いいたしました。まずは普段お二人のやっていることを教えてください。
 

トークが盛り上がる二人(左が長谷川さん、右が園田さん)
 
園田  主にサイバー空間にある大学で情報セキュリティを教えていますが、その他にもSECCONの実行委員やIPA研究員、各種実行委員などの仕事や活動をしています。
 
長谷川  所属会社ではセキュリティアカデミーという情報セキュリティ教育の部門で、教育業務をしています。外部では、JNSA(NPO日本ネットワークセキュリティ協会)の教育部会、(ISC)2、CompTIAなどの団体、政府機関の人材育成関係の委員、大学の非常勤講師等の活動をしています。
 
川口  園田さんと言えば、セキュリティキャンプとSECCONが代名詞のような印象がありますが、いかがでしょうか。
 
[セキュリティ・キャンプ実施協議会]
http://www.security-camp.org/
[SECCON]
http://2013.seccon.jp/
※上記リンクをクリックすると別サイトに移動します。
 
園田  2004年からはじめて、昨年で10回目でした。随分長いことやってるなあ。年々応募倍率が上がってきています。まだまだではありますが、以前に比べるとかなり認知度が上がってきているのは嬉しいところです。
 
川口  長谷川さんはセキュリティキャンプには直接関わっていないかもしれませんが、外部から見てどうでしょうか。
 
長谷川  認知度が上がっているからか、セキュリティキャンプに応募すること自体がハードルが高いという学生がいるんだよね。社会人との交流にまだまだ慣れていないんだろうね。その辺もなんとかできるといいんだけど。気軽にセキュリティ関係者と交流できるスペースがあったら良いと思う。「セキュリティカフェ」とか(笑)
 
園田  ハードルを作っているのはその人自身であって、実際にはとにかく飛び込んでみて欲しいんですけどね~。とはいえ、敷居が高い印象を変えるために地方でミニキャンプやキャラバンを開催する取り組みもやっています。
 
長谷川  ミニキャンプ、いいですね。質問ですが、ミニキャンプを見学したい社会人もいるんじゃないですか。
 
園田  いるいる。たくさんいますよ。
 
長谷川  やはり社会人は社内のセキュリティ教育であればお金を出してほしいところです。
 
川口  そういえば、セキュリティキャンプも昔実現しなかったものがあるとか。
 
園田  実は第1回目の開催の前年「セキュリティ甲子園」という企画もあったんですが、発表したときにメディアや世間からの向かい風が強くてつぶれてしまいました。「税金を使って攻撃技術を学生に教えるとはどういうことだ」と。こんなに人材育成が叫ばれている今からしたら当たり前の企画内容というか、単にCTFそのものだったんだけど、当時はまだまだ世間に認知してもらえなかった。
 
長谷川  あのときはネガティブな反応でしたよね。
 
川口  セキュリティキャンプはそういう苦難を乗り越えて10回もやってこれたわけですか。
 
園田  毎年色々と手を替え品を替えやってきました。セキュリティ分野で若者の育成ということに関しては世界でも早く始めた方じゃないかなあ。普段、セキュリティに関する話ができる仲間が周りにいないような子供たちがキャンプやSECCONで素晴らしく話が通じる新たな友人たちに出会って、切磋琢磨して伸びる姿を見るのは嬉しい限りです。
 
長谷川  SECCONも最近始まりましたね。
 
川口  今まで何回くらい開催しているんですか。
 
園田  2012年度は計5回、2013年度はこれまでに10回開催しました。SECCONはCTFに良く見られる技術クイズのような問題だけでなく、遊び心をくすぐるような問題や競技を用意することを重視しています。「かるた」を取り入れてみたりして、低年齢の人になじんでもらえるような方向を模索しています。
 
長谷川  ITが重要度を増す社会の中で若手を失敗させてあげられる場を作るのが大事ですね。SECCONなんかのコンテストとかそういう意味で重要だと思う。
 
園田  今後もコンテストの枠組みを色々と用意したいと思っています。社会人エンジニア、それもセキュリティと直接関わりが無いような技術者に少しでも興味を持ってもらう仕組みを考えたい。
 
川口  運営する側はたくさん苦労があると思うんですが、どうでしょう。
 
園田  とにかく問題を作るのが大変です。作ることができる人も限られているので、今の体制ではまだそれほど大量に問題を用意することができない。なので、複数個所で同時開催して一度にたくさんの場所で問題を使えるような工夫をしています。ちなみに問題を作るときは合宿をやってまとめて作っていたりします。もちろん夜は飲むわけですが(笑)。
 
川口  やはり(笑)。
 
長谷川  そういう取組ってボランティアパワーでないと続かないよね。お金が目的でやってる人は、予算が無くなったら途端にいなくなる。こういう教育とかイベントとかボランティアでもできるようなモチベーションをもった人でないと続けられない。
 
園田  ほんと自分のモチベーションを持っている人が必要だね。ビジネスになればそれが本当はいいんだけど。
 
川口  そういう園田さんのモチベーションは?
 
園田  セキュリティキャンプを10年も続けているのは、自分が早く隠居したいからなんですけどね。でもなかなか定型的に引き継げる人がいないのが悩みです。イベントのメインの企画を進めたり、コンテンツを作ることも重要ですが、その他の色んな調整事があるときに日中の時間帯に身軽に動ける人がいないと難しい。セキュリティキャンプの関係者の多くは自社の本業を抱えているので、昼間に自由に動くことができる人ということで相変わらず私が動いているところがあります。そのあたりもう少し何とかなったらいいな~。
 
川口  (と、いいつついつも楽しそう)
 
長谷川  代わってくれなくてもせめて邪魔する人がいないといいんだけどねえ。
 
園田  はははは。契約できっちり決められないことも多いので口約束を守ってくれるのが重要ですね。約束したことを守ってくれない場合、イベントどころではなくなるので、そういうときはほんと苦労しますよ。
 
川口  ロジ周りも大変なのでは?
 
園田  それも大変。色々と裏で調整してくれる事務局機能が重要ですね。また地方開催をするときは地元メンバーが頑張ってくれないと難しい。これはSECCONもそうなんですが、開催に積極的に協力してくれる人、組織がある地方では開催できています。
 
長谷川  プロ野球~甲子園~地方大会~草野球みたいな全体の仕組みを作っていく必要があるよね。今はプロ野球や甲子園にあたるものを作った段階かもしれないので、もっと地方のイベントや草野球レベルのものを増やしていきたい。個人的にはあちこちに講師で行くときにそういう草の根的なつながりを大事にしています。
 
園田  もっと草の根活動が全国に広がるようにしたいよね。SECCONとかが47都道府県で行われるようになってくると良いと思うんだよな~。自分たちの手を離れて勝手に実施されるような流れを作りたい。
 
長谷川  いつも同じメンバーが参加しているとマンネリ化しちゃうのでそうならないようにするのが大事だよね。地方で開催したとしても、東京のメンバーばかりが参加するイベントだと本当にその地元のためになっているのかってのがありますよね。よく参加する人は殿堂入りするシステムを作るとか。
 
園田  あとはすそ野を広げるために各地にトレーナーが必要になる。
 
長谷川  必要だと思っている。トレーナー育成もなかなか難しいんですよね。
 
園田  やはりトレーナー候補が東京に集中していて地方に少ないんだよなあ。
 
長谷川  東京で修業して、地元に帰って頑張りたいと思っている人をトレーナーとして育てるといいよね。
 
川口  地方の人は話せるコンテンツがないという悩みもあったりしませんか。
 
園田  トレーナー自身がコンテンツメーカーである必要はない。トレーナーはどんなコンテンツがあるかを知ってもらって、それを使ってしゃべるようになってくれればいい。地方によってはそういう資質がある人がいるのでそういう人をサポートしたいと思っている。トレーナーになれるような人がいないところをどうするかが課題。
 
川口  そういう意見って人材育成の場で重要ですね。
 
長谷川  人材育成を検討する会議とかカリキュラム作成とかイベント企画とかには現場でやってる人を送り込むべきだよね。もちろん、推進するためには肩書がついている偉い人がでる会議も必要なんだけど、内容を考える段になったときには実際に手を動かして経験をしている人の意見を取り入れるような体制にしなきゃいけないよね。
 
川口  やはり「人材は足りない」んですよね。
 
長谷川  新聞で「セキュリティとクラウドに人が足りない」と言われてますね。クラウド人材は35万人足りないらしいよ。でも、そんな「クラウド人材求む」なんて求人をみたことがない。そんなに求人があるならもっとにぎわっているような気がするんだよなあ。実際には日本の産業の中で仕事のシフトチェンジが必要なんだと思う。昔、教育を受けていたころの環境と今、現実で使われている環境が違ってきているんだから、仕事をする場所や内容を変えていく時期にあるんだと思う。
 

トークが盛り上がりすぎて記録が追いつかない
 
川口  セキュリティ人材というとどういう人が必要なんですかね。
 
園田  セキュリティ専門の技術者ももちろん必要なんだけど、多くの組織で求められているのはベースのIT技術力がある上でセキュリティをわかる人だよね。
 
長谷川  ネットワーク(だけわかる)インフラエンジニアとかアプリケーション開発(だけしている)エンジニアとだけ言っている人がいて、そういう人が作るシステムが問題を起こすからお客さんも困っています。
 
園田  プログラミングをしている人はセキュリティに関心がなくて、そういう人に関心を持ってもらうためにはどうしたらいいのかが課題だと思っている。SECCONの「かるた競技」とかはそういう人に興味を持ってもらうための試みだったりします。
 
川口  若者や学生の人材育成としてセキュリティキャンプみたいなものがあるわけですが、大人はどうすればいいんでしょうね?まずはちゃんと金を出せって話?
 
長谷川  首都大学東京の諮問委員をやっているんですが、年々企業からの派遣は減っている状況ですね。
 
園田  現状の企業では+αのセキュリティの教育費としてお金は出せないんだと思う。私が講師をしているサイバー大学は社会人が8割くらいなんですが、学位が欲しい人とスキルアップの目的の人がいます。自分の時間とお金を投資してまでやることができるかという問題がありますね。特に家庭を持っている人は家事や子育ての問題もあり、そこまで自分の時間やお金を投資できない人もいます。SECCONやセキュリティイベントを土日ガッツリ二日間で開催すると家庭を持っている人が参加できないと。一方で平日に開催すると「本業があるから行けないので土日にやってほしい」という人もいたりして悩ましい。
 
長谷川  例えば、セキュリティ勉強会なんかはいっそ東京以外での開催を促進したいと思っている。開催人数が集まらないからやらないってのはおかしな話だと思う。東京で開催して、150人集まっても参加者の半分が寝ているよりも、地方で開催してまじめに聞く50人が参加してくれる方がいいんじゃないかなあ。地方ではそういう情報を得る機会も少ないので求めているのもあるし。
 
園田  あちこちに出張に行く機会もあるのでそんなときに勉強会やCTFみたいなイベントをからめて開催しています。コミュニティが育っている地域ではそういう取り組みができるんですよね~。先日も沖縄でセキュリティミニキャンプもやったけど、地方で実際にキャンプの中身の一部を見せるというイベントは、コミュニティに良い伝播効果があると思いますね。だから大変だけどこういう取り組みを続ける必要がある。嬉しいのはその地方にいるセキュリティキャンプの卒業生がネタ提供してくれていたりするんだよね。成長する姿が見られて良いですよ。
 
長谷川  人材教育に関して時間と場所の制約をなくしたいという思いが強い。セミナーの様子を動画配信とかしたいと思っているんですよね。場所の制約がなくなるのでいいんじゃないかと。企画によっては録画して配信すれば時間の制約だってなくなるし。「セキュリティのおもしろいおっさん達がずっとしゃべっているチャンネル」とか面白いんじゃないか。以前、●非公開●さんと■非公開■さんと集まって飲んでいた時に「この会話の内容をUstreamで中継しようぜ」って言って、急きょ中継しながら話をしていたんですが、これが結構盛り上がって、事前告知もしなかったのにけっこうな人数が見てくれていたんですよね。
 
川口  それ、見たかったなあ。
 
園田  エキスパートが作業をしている画面をひたすら映し続けるものなんかも面白いと思うよね。ひたすらコードを書く、ひたすらマルウェアを解析する、ひたすらパケットを解析する画面を流し続けるのとか。
 
川口  最後にキャリアパスや教育現場についての話をお聞きしたいです。
 
長谷川  セキュリティ人材のキャリアパスを考えるときに「工学専攻」「情報工学専攻」と限定するのはよくない。それが敷居を上げている部分がある。私も園田さんも文系だし。文系理系という分類も問題だと思っているけど、両方にまたがる必要があると思います。また、教育現場ではトラブルシューティングの問題を扱わせた方が良いですね。ある学校でネットワークのトラブルシューティングの講習をやったらものすごく盛り上がった。物理的論理的に色々とトラブルを仕込んでおいて、取り組ませるとかなりわくわく取り組んでくれた。「作る」という講義ばかりでは実践では役に立たないので「動かない」「なぜだ」と考えてもらうことが力につながると思います。
 

( 何もネタを振らなくても次々と話題が出てくる様子 )
 
園田  やっぱり謎解きは楽しいもんね。「ゲーミフィケーション」や「シリアスゲーム」みたいなものがもっと認知度が上がってほしい。そういう知的好奇心をくすぐる枠組みが必要なんだと思う。ただ、謎解き問題を作ることができる人がすくないのが課題ですね。謎解き問題を作ることができる人を育てることがトレーナーを育てることだと思うし、このレベルまでいけると自分たちで運営できるようになるんじゃないかと期待しています。
 
川口  本日はお忙しいところお付き合いいただき、ありがとうございました。
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。