2022年9月21日、NEC本社ビル（東京）で、wisdom主催による「サイバーセキュリティ人材育成×レゴ®ワークショップ」が開催された。コロナ禍でデジタル化が加速する中、企業へのサイバー攻撃は激しさを増し、安全・安心にDXを進める上で、組織内のセキュリティ人材育成が課題となっている。だが、専門技術の習得やアウェアネス向上は容易ではなく、企業は対応に苦慮しているのが実情だ。本ワークショップは、ブロックを活用して対話や言語化をするワークとレクチャーを通して気付きを深め、サイバーセキュリティ人材を育成するためのヒントを探るもの。ここでは、その様子をレポートしたい。

セキュリティ人材育成の鍵は「サイバーハイジーン」

　本ワークショップでは、オープニングの後、NEC IMC統括部の野口 圭が「“セキュリティ人材”本当に必要なのか」と題してプレゼンを行った。

　「世の中の環境が激変した理由は、新型コロナウイルスだけではありません。B to Cの世界は斬新なアイデアを武器とするベンチャーが台頭し、B to Bでも海外ではAmazonが既存のサプライチェーンを様変わりさせるなど劇的な変化が起こっています。一方、日本では産官学の連携や、さまざまな企業が協業するビジネスモデルの変化が生まれつつあります。こうした中、求められているのは“正しい答えを出す”ことではなく、“変化にいかに柔軟に適応するか”です。そして、専門の部署や人材だけがデジタルを扱っていた時代は終わり、あらゆる業務でデジタルが活用される時代となりつつあります。このため、IT部門のみならず業務部門でも、サイバーセキュリティの教育を考えていく必要があるでしょう」（野口）

　近年、サイバー攻撃の手口は巧妙かつ多様化しており、その被害は拡大の一途をたどっている。

　なかでも被害の増加が顕著なのが、フィッシング詐欺だ。フィッシングの件数は報告されているものだけで1カ月あたり10万7948件（※1）に上り、被害事例のほとんどが経済目的でのサイバー犯罪となっている状況だ。

• ※1 2022年7月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む)

　「近年の攻撃組織は組織化・分業化が進んでいます。まず脆弱性を探す専門組織が標的への不正アクセス手段を探し出し、攻撃を行う別組織へ販売。この情報を基に実際の攻撃が行われるケースが増えています。企業規模の大小を問わず、高度に組織化されたプロのサイバー犯罪者に立ち向かわなければならない時代が到来したのです」（野口）

　こうした中、企業のセキュリティ対策も様変わりしつつある。従来は「ペリメタモデル」、すなわち、社内と社外の境界にファイアウォールを張り巡らして、外部の脅威から内部を守る手法が主流だった。だが、コロナ禍でリモートワークの導入やクラウド化が進み、社内と社外の境界が曖昧になったことで、ペリメタモデルは有効性を失った。

　「今は、脅威はあらゆる場所にあると考え、徹底的にリスクをつぶしていく“ゼロトラスト” がセキュリティのベースとなりつつあります。ただし、サイバー攻撃に最も脆弱なのは “人”であり、マルウェアやフィッシングは“人”を狙って攻撃を仕掛けてきます。したがって、脅威から身を守るためには、すべてのITの衛生管理を徹底しなければならない。そこで、今注目されているのが、日常の運用でサイバー被害を予防する“サイバーハイジーン（公衆衛生）” という考え方です。このサイバーハイジーンを意識できる人材をいかに育成できるかが、セキュリティ人材育成のポイントです」

　高度な技術を持ちゼロトラストベースでセキュリティアーキテクチャを見直していく専門人材だけでなく、組織の中の全従業員の意識向上が必要となる。そこでカギとなるのが、「一般社員にセキュリティ教育を行い、ハイジーンを強化すること」と野口は指摘する。

　「重要なのは、業務の中にプラス・セキュリティ（※2）をしっかりと溶け込ませていくこと。そのカギを握るのがアウェアネス（意識、気付き）であり、『何か怪しい、何かありそうだ』と気付く力です。このため、NECではセキュリティ教育において、知識の習得だけでなく、アウェアネスの力を向上させられるためのプログラムもセットにして体系化しています。本日はそのための演習も用意しておりますので、五感で体感していただければと思います」（野口）

• ※2 プラス・セキュリティ：自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力を身につけること、あるいは身につけている状態のこと。

行動につなげる研修設計の2つのポイント

　野口がサイバーセキュリティの大まかな流れを解説したあと、ファシリテーターを務める井澤 友郭 氏がセキュリティ人材の育成にあたり、研修を設計する際のポイントについてレクチャーを行った。

　「今は、これまでの当たり前が通用しない不確実性の高い時代です。そういう時代において、人材育成プログラムは何を目指すべきなのか。研修を設計するポイントは、『知る・わかる・できる』をすべてクリアすることです。ところが、大概の研修では、『知る・わかる』まではクリアできたとしても、そこで得られた知識を自分の現場で適用できるとは限りません。最近、ワークショップ型の研修プログラムが増えているのも、『知る・わかる』と『できる』との間には、容易には超えられないギャップがあり、『知識提供だけでは学習の定着が非常に弱い』という懸念があるためです」（井澤氏）

　では、どうすれば「できる」段階に進むことができるのか。それは大きく分けて、2つのポイントがある。1つは、研修の学習目標を明確にすること。もう1つは、その学習目標に向けて「成功体験が積めるようなコンテンツ」を用意し、プログラムの中に「自分でもできそうだ」と思えるような時間を用意すること、と井澤氏は言う。

　「研修の学習目標を明確にする」とはどういうことか。例えば「セキュリティ意識を自分ゴト化する」という研修を設計する場合、学習者は何を獲得できたら「セキュリティ意識を自分ゴト化できる」といえるのか、そこまで明確に言語化して研修を設計しているのか。

　この学習目標を考えるフレームワークの1つに、KSA（K：Knowledge『知識』、S：Skill『技術』、A：Attitude『態度・価値観』）という考え方がある。例えば、「車が運転できるようになる」という学習目標を達成するためには、車の基本構造や交通ルールについての「知識（K）」と、車を正しく動かすための「技術（S）」だけでなく、安全運転を心がける「態度・価値観（A）」が必要だ。ところが多くの研修では、学習目標の中で知識（K）と技術（S）に言及することはあっても、態度・価値観（A）まで言語化するケースは少ないのが実情だ。「黄色信号を見て、ブレーキを踏むかアクセルを踏むか」は態度・価値観の領域であり、この部分の教育がなおざりにされれば大事故につながりかねない。したがって、「KSAを意識して学習目標を立てることが非常に重要なのです」と井澤氏は強調する。

　もう1つ大事なのが「価値変容＝価値観や優先順位を変える」だ。学習目標の設計にあたっては、「行動変容＝行動に移す、行動を変える」を起こすことが大事だとよくいわれる。しかし、価値観が変わらなければ、なかなか行動は変わらない。「どのような知識やスキル、態度・価値観を持つセキュリティ人材を育成するのか」が言語化されないまま、学習プログラムを設計しても、中途半端な成果しか得られないわけだ。

　「セキュリティにも同じことがいえます。『情報漏えいを防ぐため、USBメモリにデータを入れて持ち運ぶのはやめよう』といっても、根底にある価値観やガイドラインがきちんと認識されていないと、また同じような失敗やミスを繰り返されてしまう。それを防ぐためには、価値観や優先順位をしっかり言語化していくことが大切です。今日は実際にブロックを使いながら、『どのようなセキュリティ人材を育てていくのか』ということを、見える化していきたいと思います」（井澤氏）

ブロックを使い「求めるセキュリティ人材像」を見える化

　その後、受講者は4～5人のグループに分かれ、ブロックを使ったワークに取り組んだ。今回のテーマは「私が考えるセキュリティ人材に必要な〇〇とは」。A4用紙の「知識」「技術」「態度・価値観」の3つの欄にそれぞれブロックを置き、5分程度で作品を制作。一人ひとりがイメージするセキュリティ人材像をブロックで表現し、2分間でプレゼンと質疑応答を行う。

　受講生のAさんは、「知識」の欄にタイヤを2つ、「技術」に歯車を1つ置き、「態度・価値観」の欄には緑の基礎盤と木、橋を置いた。

　「『知識』にタイヤを2つ置いたのは、セキュリティ人材はさまざまなものの構造を知っている必要があると考えたからです。その知識の回し方を学ぶのが『技術』と考え、歯車を1つ置きました。『態度・価値観』については、緑の基礎盤を安定感、橋をバランス感覚、木をゴールに見立てています。セキュリティ人材に欠かせないのが安定感。それをベースに置き、バランス感覚を持ってゴールに向かっていく様子を表現してみました」

　次に、受講生のBさんは、「知識」の欄に3つのパーツを重ね、「技術」の欄に黒の基礎版、「価値観」の欄にタイヤと橋、グレーの基礎版を置いた。

　「セキュリティ人材は、社内システムを守る手段としての『知識』を持ち、ベンダーさんとネットワークをつくって守っていかなければならない。そのイメージを3つのパーツで表現しました。これらの知識をどう組み立て、どんな体制で実行するかというグランドデザインを考え、身の丈に合った現実的な対策を講じるのがセキュリティの『技術』です。それを黒の基礎版で表現しました。『態度・価値観』のところでは、タイヤという動力源を使って、“自分がやるんだ”という行動力や主体性を表しました。橋を使ったのはコミュニケーションを大切にする、という価値観の表現で、ついてこられない人たちを助ける、他部門と連携をとって進めるといったイメージです。もう1つ大切なのは、やはり安定感。コンクリートをイメージしてグレーの基礎版を使ってみました」

　最後に発表したのは受講生のCさん。Cさんは『知識』の欄に格子戸と木、水色のパーツを置き、『技術』の欄には赤・緑・黄色・黒の4つのブロック、『態度・価値観』の欄にはハンドル付きの円柱を置いた。

　「『知識』としては、防御する知識と攻撃する知識、会社の方針を3つのパーツで表現しました。攻撃する知識を加えたのは、守りを固めるためには攻撃の仕方も学ぶ必要がある、と考えたからです。『技術』としては重要度の高い順に、『これは怪しい』と疑う力、情報収集力、連携力、分析力を、それぞれ赤・緑・黄色・黒のブロックで表現しました。『態度・価値観』については軸が必要だと考え、円柱のパーツを使いました。加えて、不測の事態が起きた時に即応できる機動力と、どの方向に舵を切るかという判断力も必要と考え、それを円柱の上のハンドルで表現してみました」

　プレゼン後は、グループごとに質疑応答も行われた。

　Aさんが「『技術』のところで（重要度の）順序をつけたのは、なぜですか」と質問すると、Cさんは、「まずは危険を察知することが一番重要だと考えたからです。『何か変だぞ』と疑った上で、必要とあらば他部門も巻き込み、本当に怪しいかどうかを突きつめる。それを踏まえて、（サイバー攻撃がもたらす）影響を分析するのが順序かな、と考えました」と回答。ブロックによって互いのイメージを可視化しながら、受講者の間で活発な意見が交わされた。

ゲーム感覚で、生きたセキュリティ知識を学ぶ

　ブロックを使ったワークの後は、実際にPCを使ってハンズオン演習が行われた。演習のツールとして使われたのは、「NECサイバーセキュリティ競技場演習（CTF：Capture The Flag）」。これは、NECがセキュリティ人材の発掘・育成のために毎年行っている社内コンテストをベースにしたサービスで、実際に暗号を解いたり、ファイルの内容を解析したりしながら、“フラグ”と呼ばれる答えを見つけて点数を競うというもの。演習に先立ち、NECの桑名 徹が説明を行った。

　「NECでは“海底から宇宙まで”さまざまな領域で事業を行っています。しかし、全領域でセキュリティの専門家を用意することは難しい。そこで、事業部門のSEや担当営業にセキュリティの知識を身につけてもらおうと考えたのが、このコンテストを始めたきっかけです。では、なぜコンテスト形式なのかというと、座学で知識を身につけても、それを活用する場が限られているためです。実際に手を動かして技術を使ったほうが、学んだことを腹落ちさせられる。それが、ゲーム感覚で行えるCTFを採用した理由です」

　CTFとは、一般的には高度な技術を持つセキュリティ技術者が腕を競う「技術者のお祭り」だが、この競技場演習では、「すべての人にセキュリティの技術を学んでもらい、気付きをもたらす」ことを目標としている。「このため、幅広いレベルの人が参加できるように難易度を調整しており、演習後はレポートでスキルレベルを可視化することも可能です」と桑名は説明する。

　受講者はPCから問題サーバーにアクセス。ヒントを活用したり、インターネットで調べたり、アドバイスを受けたりしながら、思い思いに問題に取り組んでいた。NECサイバーセキュリティ競技場は、個人レベルで参加するものだが、実際のサイバー攻撃に向けた組織レベルでの演習もある。それがNECサイバーセキュリティ訓練場演習だ。ワークショップではその紹介も行われた。

　最後に、グラフィックレコーディングによる振り返りと、井澤氏によるクロージングが行われた。

　「最後にお伝えしたいのは、『学びは足し算ではなく掛け算である』ということです。例えば、今日のワークショップで30の気付きと10の知識を得たとしても、行動が0（ゼロ）なら、30×10×0＝0で、今日の学びはゼロになってしまいます。そうしないためにも、実際にセキュリティ強化につながる行動をとる、もう1回調べてみる、感想をほかの人に伝える、何でもけっこうです。今日の学びをゼロにしないために、何かしら行動していただきたいと思います」

　井澤氏はそう語り、この日のワークショップの結びとした。