攻撃手口まで教えるセキュリティ講座「Hackademy」で学んでみた

2016年05月06日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp

技術者以外の人がサイバーセキュリティを学べるコンテンツを提供する

　「企業におけるサイバー攻撃の被害拡大は、もはや技術者だけが理解していても歯止めが利かない。『技術者以外の人にも学んでもらいたい』と言い続けないといけないと考えている」（岡田良太郎氏）

Hackademyプロジェクトを立ち上げた岡田良太郎氏（左）と蔵本雄一氏。両氏ともインストラクターやコンサルタント、大学講師としてセキュリティ教育を手がけてきた

　Hackademy（ハカデミー）プロジェクトは、情報セキュリティやITの専門家に限らず、企業のマネジメント層などもサイバーセキュリティを学ぶことのできるコンテンツ提供を目的としている。「Hackademy」とは、ハッキング（Hack）とアカデミー（Academy）の合成語だ。

Hackademy＝Hack×Academy

　同プロジェクトを立ち上げたのは、これまでも企業経営者やビジネスパーソン、大学生向けのサイバーセキュリティ教育を手がけてきた岡田良太郎氏と蔵本雄一氏だ。両氏とも今回のプロジェクトには個人有志として参加しており、企業の枠を超えた幅広いセキュリティプロフェッショナルの参加を呼びかけている。

　冒頭に挙げた岡田氏の発言にもあるように、Hackademyプロジェクト立ち上げの背景には、国内企業におけるサイバーセキュリティの現状に対する危機感がある。

　昨年末には経済産業省がガイドラインを策定するなど、ビジネスの世界でも「サイバーセキュリティ」という言葉自体はある程度流行りつつある。だが具体的に、それが「自社の」ビジネスにどう影響するのか、被害を防ぐために「自社は」どう行動すればよいのか、それを十分に理解している経営層は極めて少ない。一方で、企業のIT担当者／セキュリティ担当者は、自社ビジネスについてよくわかっていないが故に、現状をうまく経営層に伝えることができていない。その結果、多くの国内企業でセキュリティに対する取り組みは遅れ、ビジネスリスクが拡大し続けている。

　この現状は「ビジネスの人」と「ITの人」の話す言葉、説明のプロトコルがかみ合っていないからだと、蔵本氏は指摘する。また岡田氏は、ビジネス側の一般実務担当者がサイバーセキュリティを学ぶための適切なコンテンツが少ないと感じていたと語る。

　そこでHackademyでは“スーツとギーク”、つまりビジネス側とIT側という両方の視点から、サイバーセキュリティについて学ぶためのコンテンツを提供し、両者の間にある現状認識のギャップを埋めていくことを目標としている。

Hackademyでは「経営層に伝わるセキュリティ対策」を大きなテーマとしている

　今後、オンラインで学べるE-ラーニングコンテンツを提供するほか、オフラインでのワークショップやセミナーも展開していく（4月末には第1回のワークショップが開催された）。個人でも学べるように、オンラインコンテンツは6000円と書籍代に近い価格設定にしたという。

Hackademyでは「経営層に伝わるセキュリティ対策」を大きなテーマとしている

「攻撃者の手の内をばらす、種明かししてしまう」教育方針

　Hackademyの大きな特徴は、サイバー攻撃における具体的な攻撃手法や攻撃意図、つまり「攻撃者の手の内」まで明らかにしようとしている点だ。実際に、オンラインコンテンツでも攻撃のデモを披露し、さらにそれを実行するデモ環境の作り方まで細かに説明している。

　岡田氏は、これまでのセキュリティ教育では「被害」や「防御」だけを教えていたが、それだけではうまく伝わらないと語り、医療でのたとえを挙げた。「インフルエンザの被害を説明しても『でも、かからなければいいんでしょ？』となってしまう」（岡田氏）。そこで攻撃の手口もきっちりと明らかにしていく、「手口はこうだから守ることができる」ことを示していく方針だという。

　蔵本氏もまた「簡単に攻撃ができる現状を、肌感覚で理解してもらいたい」と、攻撃手法と防御手法の両方を学ぶ必要があることを説明した。攻撃ツールの入手方法や実行手法は「攻撃者ならばとっくに知っている」レベルのものであり、一方で防御側がその実態を知らないというギャップこそが、攻撃者を有利にしてしまっているという考えだ。