2016年3月3日
2016年3月3日
2016年3月3日(木)
他人事セキュリティからの脱却 ~ヒトをつなげるセキュリティの試行~
富士通株式会社 サイバーディフェンスセンター
マネージャ 佳山 こうせつ
■「今度、専門家を連れて来ますね」
セキュリティのことで相談すると、こんな答えが返って来たことはないでしょうか。
セキュリティがお茶の間のニュースでも耳にするようになった今でも、セキュリティはどこか他人事、人任せです。
一方で費用対効果が高く、実効性あるセキュリティを実現するためには、研究、開発、運用、リスク管理、経営、政策、さまざまなセクションのあらゆる「ヒト」にちょっとずつセキュリティも分かっていただくことがとても重要だと、私は考えます。
■あらゆる「ヒト」にセキュリティをアドオン
そのためには、さまざまなセクションのあらゆるヒトが巻き込まれやすい環境、ヒトをつなげる環境を作ることが大事です。
私も含めセキュリティの専門家と呼ばれるヒト(以降、セキュリティ専門家)の行き過ぎた「べからず」やセキュリティの考えを押し付けただけの評論では、ヒトは巻き込まれてくれません。
行き過ぎた「べからず」によって発生したシャドウITが原因となってインシデントが発生するケースも周知の事実です。
セキュリティの仕事に役割はあっても、上も下もありません。
セキュリティ専門家がさまざまなセクションの仕事を理解して、関わるヒトすべてがセキュリティを自分のこととして捉えられる、そんなきっかけを作っていきたい。そのためにもセキュリティ専門家が保有する知識のシェアを促進しつつ、セキュリティの必要性と構図を可視化、ヒトをつなげる構造的な課題に取り組んでいきたいというのが私の取り組みの土台になっています。
■さまざまなセクションとセキュリティ専門家をつなげるセキュリティの試行
その土台から、2年前に社内の人材育成制度、セキュリティマイスター認定制度と言う試行を勝手に立ち上げました。
また、ヒトをつなげるために、社内セキュリティコンテスト(以降、コンテスト)も開催しました。
世界各国で行われているCTF(Capture the
Flag)を参考にしつつ、募集対象セクションの人材像やコンテストの目的に合わせて毎回カスタマイズするようにしてます。
コンテストは既に3回行われ、セキュリティ専門家以外の、セキュリティをどこか他人事と思っていたかもしれないあらゆるセクションから出場者が集まりました。
実際にコンテストをやってみると、こんな凄いヒトがいたのか!と口に出してしまうようなニッチで素晴らしい特技を持った変わったヒトにたくさん出会うことができました。
その後、コンテスト内で知り合った仲間たちが業務内外でコミュニティを形成し仕事に活かす、出場者側から次のコンテストの出題者側に回る、コンテストでセキュリティに興味をもったヒトがセキュリティマイスターにエントリーするなど、全社を横断してつながった輪がさらに2重3重に広がっていくことになりました。
もともとコンテスト開催の主目的は人材発掘でしたが、それ以上に人材の交流、ヒトをつなげる、可視化することにとても大きな効果を発揮することが分かりました。
さらに社外においては、SECCONの活動を通して、国内だけでなくグローバルな交流もすることができました。
http://2015.seccon.jp/
私にとってコンテストは、出会い系ツール、さまざまなセクションのあらゆるヒトたちをつなげるツールになりました。
■セキュリティがヒトをつなげる、つなげるセキュリティ
セキュリティがヒトをつなげセキュリティを当たり前の感性とし、その上でものづくりしたら、それが日本の競争力の一つになるのかもしれない。
例えばIoTでイノベーションを起こそうとしている研究、開発セクションのヒトがセキュリティも踏まえて取り組めば安全にリモートからメンテナンスもできるリコールのない製品を世界に出すことができるなど、セキュリティを競争力とすることができます。
セキュリティを当たり前の感性とする社会的構造、組織的構造、商売構造の土俵を日本発で実現するためにも必要なつなげるセキュリティ。
セキュリティは、べからざるモノからつなげるモノへ。
そのために必要なつなげる人材を私自身は目指していきたいと思います。
そしてこれら「つなげる」を実現するために、今日も飲みに行くのでした。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2016年3月3日(木)
社内でCTFやってみた(セキュリティ人材育成)
富士通ネットワークソリューションズ株式会社
ソリューション開発本部
NIセンター 共通技術部
杉尾 憲
私は新入社員教育でCTF(CaptureTheFlag)を実施しています。
IoT時代の到来や、2020年の東京オリンピックに向けて、情報セキュリティのエンジニアが不足しているというニュースを、最近よく耳にします。
弊社では名前のとおり毎年ネットワークエンジニアを目指した新人達が入社してきます。そこで、ネットワークエンジニアに少しずつセキュリティの知識をつけていけば、人材不足に少しでも貢献できるのではないかと考え、2年ほど前から教育でCTFを実施しています。
実際はSECCONや海外のCTFに参加して、面白かったり、勉強になることも多かったため教育でやってみよう。と言うのが発端です。
教育で座学の講義が続くと、眠たくなってしまうことがありますよね。やはりエンジニアは実際にシステムに触ったり、作ったりすることは楽しいものです。
座学講義が不要と言う意味ではなく、座学講義の内容をCTFで実践、CTFで足りなかった知識を座学講義で学ぶ。とバランスよく実施します。
CTFを取り入れた教育の特徴は以下です。
・グループで問題に取り組む(チームワーク)
・ゲーム性が高い(ランキング遷移など競争心を刺激)
・実際にシステムに触る(手を動かすことが重要)
・音楽を聞きながら講義に参加(妨害コンテンツと言われることもある)
眠そうに講義を聞いていた人も、ランキングが前の画面に映されると真剣に問題に取り組み始めます。
また、運営側にも大きなメリットがあります。問題は、当然セキュリティ技術者が作るので、難しすぎず、簡単すぎず、最近のセキュリティ事案を意識して作問していきます。少人数の挑戦者だけが解けるような問題ができた時の嬉しさは格別ですし、リアルタイムに進行するCTFを運用するには突発的なトラブルに対応するスキルなども身につきます。こうすることで、自身の情報や技術の棚卸をすることができます。
競技終了後は、参加者同士で問題の解説をします。会場内から質問を受け、問題を解いたチームの代表者にみんなの前で解説してもらい情報を共有します。この時の悔しさが、技術力を身に着けようと心に誓わせてくれるはずです。(経験談)
新入社員だけではなく、ミドル級のエンジニア向けの教育では、WASForumが主催しているHardening競技を模したようなサイバーレンジ環境で実践的な競技を実施したり、グループ会社で主催しているコンテスト(佳山さんのコラムを参照)に参加しています。
最終的には、これらを発展させて弊社のお客様にもセキュリティ啓発を目的として、セミナーなどでお客様も参加できるCTFを開催し、セキュリティへの取り組みの大切さなどを感じていただいています。
CTFを使った楽しい人材育成いかがでしょうか?出張CTFもやってます!
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。