ビジネスパーソンにも、技術者にも「伝わる」サイバーセキュリティ教育を目指す
攻撃手口まで教えるセキュリティ講座「Hackademy」で学んでみた
2016年05月06日 07時00分更新
筆者も実際にE-ラーニングで3時間ほど学んでみた
HackademyプロジェクトのE-ラーニングコンテンツ第1弾として、オンライン教育プラットフォームの「Udemy」で「サイバーセキュリティ ~ハッキングと防御 ビギナー編」コースが公開されている。ゴールデンウイークを利用して、筆者も受講してみた。
同コースは、16セクションに分類された70のレクチャーで構成されている。この数だけを見るとボリュームがあるようにも思えるが、1レクチャーあたり1~5分程度、長いものでも10分程度であり、すべてのレクチャーを閲覧しても3時間半程度で終わる。加えて、後半(セクション8以降)はサイバー攻撃のデモ環境を構築し、デモを実行するための説明に充てられており、サイバー攻撃の現状や防御のコンセプトを理解するための前半部だけであれば、1時間強で見終えることができる。
同コースは、前半部でサイバーセキュリティの現状を、後半部でデモ/検証環境の構築方法を解説している(Udemyより)
具体的なセクション/レクチャーの例(Udemyより)
ビギナー編と銘打ってはいるものの、当然ながら「簡単なパスワードを使わない」「怪しい添付ファイルは開かない」といった個人向けレベルの内容ではない。企業が保有するITシステムとデータ資産を前提として、マネジメント層でも知っておくべきセキュリティ脅威の最新動向や、考えるべき防御のコンセプトが解説されている。
特に前半部は、テクノロジーの言葉ではなく「ビジネスの言葉」で平易に説明されるのがポイントだ。たとえば「攻撃者の費用対効果は1425%」「マルウェアのサプライチェーンが完成している」「攻撃の“踏み台”にされるのは企業のCSRとしてどうなのか」といったフレーズは、ビジネス側の人が学びやすいだけではなく、テクノロジー側の人が経営層への説明と説得にそのまま使える“武器”にもなる。
たとえば、製造業でよく使われるFEMA(故障モード影響解析)の手法をサイバーセキュリティ対策に援用できると説明
「攻撃の目的が『自己顕示』から『金銭』に変わった、とはよく言われているが、それが企業側の防御コンセプトとリンクしていないのが実情。それを、たとえば『攻撃の費用対効果を引き下げること』に結びつけなければいけない」(蔵本氏)
「攻撃の費用対効果を引き下げる」ことを目的にすることで、防御力向上だけでなく幾つものアプローチが可能になる
また、企業はビジネスを行うために存在するものであり、セキュリティはあくまでもそれを可能にするためのもの(イネーブラー)だ、という現実的な視点も一貫している。企業がセキュリティ対策にかけられる金銭的、人的なリソースに限度がある以上、セキュリティリスクやダメージをゼロにすることはできない。だが、経営に影響のないレベルにまでそれを引き下げることができれば、企業のなすべきセキュリティ対策としては十分であり、成功だと言える。
攻撃デモを通じて、現在のサイバー攻撃が非常に容易に、カジュアルに実行可能であることを見せていることもポイントだ。前半部でも簡単に紹介されるが、後半部のデモ環境構築以降(レクチャー55から)では攻撃ツールによる詳細な攻撃手順が明らかにされている。現在の攻撃ツールはこんなに洗練されているのかと、筆者も驚かされた。
攻撃デモを披露し、さらにその環境構築方法も説明している(Udemy画面より)
攻撃の解説などでテクノロジー用語(たとえば「ハッシュ」など)を知らないと理解しづらい個所もごく部分的にはあったが、それをふまえても、ビジネス側の人が現在のサイバーセキュリティ状況を理解し、ギャップを埋めるうえでは有益なコンテンツになっていると感じた。
今後、今回のビギナー編に続くアドバンストコースとして、ネットワーク/OS/ミドルウェア/アプリケーションといったレイヤーごとのセキュリティ対策についてもコンテンツを用意していくという。「Hackademyでは、テクノロジーとビジネスの両方を分かっている人を育てていきたい」(蔵本氏)。
