デジタルハーツの実績ある人材育成プログラム「DH CYBER BOOT CAMP」が企業向けに提供開始
“ゼロ知識”から数カ月でセキュリティ人材が育つ実践的プログラム
2021年09月30日 08時00分更新
「セキュリティはすべて丸投げ」で本当に良いのか?
サイバー攻撃の高度化、複雑化に伴って、一般企業におけるセキュリティ対策業務の外注化、アウトソーシング化が進んだ。経済産業省なども指摘しているとおり、国内のセキュリティ人材は不足しており、大規模な企業でもなければそうした人材を自社で新規雇用することは難しい。そのため、多くの企業がセキュリティ業務を外部ベンダーに委託しているわけだ。
もちろん、高度な知見やスキルが必要な場面においては外部専門家の力を借りる必要があるだろう。ただし、外注“だけ”に依存する状況は望ましいことではない。セキュリティの知見が社内に蓄積されず、外部専門家との連携において適切な判断を下すことが難しくなるからだ。特にビジネスのデジタル化が進んでいくこれからのDX時代には、企業規模を問わず「自社のビジネス/業務」と「セキュリティ」の両方を理解し、適切な判断のできる社内人材が必須となるだろう。
それを実現する一番の近道は、IT/情報システム部門など社内の人材を「セキュリティ“も”わかる人材」へと育成すること、いわば「セキュリティ業務の内製化」を進めることだ。
これまでセキュリティ人材確保に苦労してきた方ほど「本当にそんなことができるのか?」と疑問に思われるかもしれない。だが、デジタルハーツではそれを実践してきた。社内教育プログラムを通じて、3年間で顧客企業のセキュリティ業務を請け負うプロ人材を100名以上輩出してきた実績があるのだ。
そして今回、この人材教育のノウハウを凝縮し、企業が導入しやすい人材育成パッケージとして提供を開始したのが「DH CYBER BOOT CAMP Corporate Edition(DHCBC Corporate Edition)」である。これがどんなものなのかを見てみよう。
社内でプロ人材を育成してきたデジタルハーツ
業務システムやゲームなどのソフトウェアテスト(安全検証/品質保証)受託サービスを展開するデジタルハーツには、およそ8000名のテスターが登録している。ここから適性のある人材を選抜し、セキュリティ業務受託やマネージドセキュリティサービスの現場で通用するプロ人材を育成してきた社内研修プログラムが「DH CYBER BOOT CAMP(DHCBC)」である。
DHCBCでは、セキュリティ、ネットワーク、ツールなどに関する2カ月程度の講座研修と、6カ月程度の実地研修(OJT)を通じて、実践的なセキュリティの知識/スキル習得を支援してきた。論理性や集中力、根気強さ、学習スピードの速さといった適性があれば、たとえ“セキュリティ知識ゼロ”からでも十分にプロとして通用するセキュリティ人材になれるという。
前述のとおり、このDHCBCを通じて3年間で100名を超えるセキュリティプロ人材が誕生しており、セキュリティ企業やSIer、クレジット会社、電機メーカー、通信キャリア、電力会社、ECサイト運営企業などの業務現場で、PSIRT(プロダクトSIRT)、CSIRT、SOCアナリスト、脆弱性診断、セキュリティ製品のサポートといった業務に就いている。修了者の取得資格も、国家資格である情報処理安全確保支援士をはじめ、グローバルな資格であるCISSP(セキュリティプロフェッショナル認定資格制度)、CEH(認定エシカルハッカー)・CND(認定ネットワークディフェンダー)など豊富で、セキュリティ人材としての実力を証明している。
さらにこのDHCBCは、自治体(大阪府、群馬県)やNPOにおける就労支援の取り組み、高校生を対象とした経済産業省「未来の教室」実証事業でも有用性が認められ、活用され始めている。実践的な知識とスキルが短期間で効率良く学べる講座として、注目を集めているのだ。
企業向けプログラムの狙いと実践的な内容
今回新たに提供を開始するDHCBC Corporate Editionは、DHCBCの実践的なプログラムをベースとして、一般企業におけるセキュリティ人材育成研修向けにアレンジしたものだ。研修目的に応じて基本コース/実践コースの2種類が用意されている。
DHCBC Corporate Edition 基本コース/実践コースの概要
基本コースは、受講者がセキュリティの基礎知識を身につけることを目的としたプログラムだ。eラーニングと独自の資格認定試験で構成される。
eラーニングコンテンツは「エシカルハッカー入門」「DHサイバーセキュリティガイド」の2本が用意されており、全体で20時間程度となる。セキュリティの基本から応用までを段階的に学ぶことができる構成だ。コースの開始/修了時にはチューターによるリモートオリエンテーションも実施して、受講者をサポートする。
eラーニングの理解度を測る資格認定試験は、受講期間中(3カ月間)に最大3回受験することが可能で、合格者は「DHサイバーセキュリティ4級コース修了認定」の修了証を得られる。
DHCBCのeラーニングコンテンツ(初級編)サンプル
社内で脆弱性診断チームを組成したい、実践レベルのスキルを身につけたいといった場合には、実践コースの受講が推奨される。基本コースの内容に加えて、サーバー/ネットワーク研修、ハンズオン診断演習も提供される。修了時の試験に合格すると「DHサイバーセキュリティ3級コース修了認定」が取得できる。
サーバー/ネットワーク研修は、eラーニングで学びながら実際に手を動かしてサーバーOSやネットワーク機器の設定などを習得していく。ハッカーの攻撃手口、防御のための情報収集や監視、分析などに必要な手段を学ぶ実践的な内容だ。そしてハンズオン診断演習として、リモート(Zoom)で接続した講師と共に、実際の脆弱性診断に使われるツールを模したかたちの実践的演習も行う(※日程調整が必要なため、実践コースの研修期間については応相談)。
加えて、実践コースでは「脆弱性診断OJT」オプションも用意されている。これは、受講者がデジタルハーツのWebアプリケーション脆弱性診断チームに参加し、実際の業務を1カ月間体験することで実務スキルを磨くものだ。これにより、まさに“即戦力”のセキュリティ人材が誕生することになる。
企業が導入しやすい価格設定になっているのもポイントだろう。セキュリティ人材を育成するためには、個々人の適性を見極めることも大切だ。まずは多くの人に学んでもらい、そこから適性を見いだしてより高度な研修に進んでもらえるように、比較的安価な価格帯を目指したという。
DHCBC Corporate Edition 基本コース/実践コースの価格と研修期間(※両コースとも3名以上から申込み可能)
DHCBC Corporate Editionで習得できるコンテンツの一部
社内セキュリティ人材はどのように活躍できるか
DHCBC Corporate Editionを通じて、脆弱性診断や攻撃分析といったスキルを身につけた人材を自社内で育成する。これによってどのようなメリットが得られるのだろうか。
まず、セキュリティ人材を新規雇用することなく、外部のセキュリティベンダーや専門家への依存度を下げることができる。もちろんインシデント対応など有事においては外部の力を借りる必要もあるが、「自社のビジネス/業務」と「セキュリティ」の両方がわかっている人材がいれば、外部との情報連携や作業依頼もより的確に行える。
平時における社内セキュリティレベルの向上も見込めるだろう。脆弱性診断のスキルや知識があれば、ふだん運用している自社システムやネットワークに潜在するセキュリティリスクを分析可能だ。IT/情報システム部門の役割を、より高度なものにシフトしていくことができる。
自社製品や自社Webサービスの脆弱性診断を行うPSIRTの組成にも役立つだろう。開発プロセスの中に脆弱性診断のステップを組み込んでおけば、開発完了後に脆弱性が発覚して手戻りし、リリースが遅れるというトラブルを未然に防ぐことができる。これから自社ビジネスをデジタル化していくうえで、欠かせない取り組みになるだろう。
* * *
DHCBCのWebサイトでは、人材研修プログラムに関する詳細情報のほか、使用する初級編eラーニングコンテンツの一部を公開している。“セキュリティ知識ゼロ”からでも学べることがおわかりいただけると思うので、ぜひご参照いただきたい。デジタルハーツへの問い合わせもWebサイトからできる。
またデジタルハーツでは、今回の企業向けコースだけでなく、個人を対象としたDHCBCのトレーニングコースを近日スタート予定だ。これからセキュリティのプロ人材を目指したいという方も、まずはWebサイトにアクセスしてDHCBCの実践的なコンテンツに触れてみてほしい。
加えて同社では、セキュリティに興味を持っている人材の中途採用も積極的に行っている。そうした方もぜひ、Webサイトからお問い合わせいただきたい。
(提供:デジタルハーツ)
本記事はアフィリエイトプログラムによる収益を得ている場合があります
