2021年8月27日

こんにちは。サイバーセキュリティ戦略本部セキュリティ技術センター所属の鈴木と申します。今回の記事では、セキュリティブログの他の記事とは少し視点を変えて、技術的なお話ではなく、私も一部携わっているNECでのセキュリティ教育について、「【コラム】NECのセキュリティ教育」と題して書きたいと思います。

意外と知られていませんが、実はNECは創立120年を越えた日本最初の外資系企業（！）です^※1。その長い歴史の中で国内外の社会インフラや各種システム基盤の開発・運用、そしてその中でお客様の重要な情報をお取り扱いすることも多くなってきました。もちろんそれに伴って責任も増し、社員一人一人のセキュリティへの知見・意識が低くては万が一の場合に社会全体へ大きな損害を与えてしまう可能性もあります。その為、NECの社員約2万名（2021年3月末現在）、グループ会社まで含めると約11万名がセキュリティの知見・意識を高める必要があります。

では、NECはどのように社員のセキュリティ教育に向き合っているのでしょうか。今回のブログ記事ではNECのセキュリティ教育に着目し、ご紹介します。

NECとセキュリティ教育

セキュリティ教育と聞いて、皆さんはどのようなものを想像されますか？
セキュリティに関する座学の講習を行うイメージでしょうか。それとも、もっと高度なセキュリティ技術を実践形式で学べるような講習などを想像しますか。はたまた、セキュリティ系資格取得に向けた教育を想像される方もいらっしゃるかもしれません。
実は、NECではこれらのすべてのパターンの教育を日々社内で行っています。
概要としては、図1のような5つのプログラムと資格補助を組み込んだものを全社員または特定のエンジニアに対して行うような体系を取っております。それでは、それぞれのプログラムについて簡単にご紹介します。

1. 全社員が対象の「営業・SEセキュリティ基礎教育」

全社員向けに基礎（といってもそれなりに高度な）のセキュリティ教育をe-learningで必須研修として毎年実施しています。ここでは、セキュリティに関する知見・知識の向上はもちろんのこと、NECがお客様に提供するシステムやサービス、製品におけるセキュア開発の手法や、セキュリティチェックを行うための仕組みなど、社員がそれぞれ行うべきセキュリティ活動を改めて認識してもらうようにしています。
また、世間で起きたセキュリティ事故事例なども掲載することで、セキュリティインシデントが「対岸の火事」ではなく自身の身近にも起こりえることや、被害発生がもたらす重大性など、危機意識を再認識してもらうようにもしています。

2. 楽しみながらスキルを磨く「NECセキュリティスキルチャレンジ」

CTF（Capture The Flag）というものをご存知でしょうか。
CTFは、セキュリティに関わる知識やスキルを使い、問題の中に隠されたフラグ（文字列）を見つける、またはCTF専用システムにアクセスして管理者権限を奪取する、といったことでスコアを獲得し、その合計スコアを争う競技のことです。以前のNECセキュリティブログ記事^※2にもあるように、私の所属するセキュリティ技術センターのメンバーは多くのCTFに参加・主催をしております。そのような取り組みの中でNECグループの全社員に向けてNECグループ内の社内CTF（NECセキュリティスキルチャレンジ）も開催しています。毎年二週間開催され、オンライン形式で「Webアプリ」「事例解析」「バイナリ・攻撃コード解析」「暗号」など8ジャンルから出題する形で運営しています。また出題される問題は業務でも実際に使用する解析手順などを用いて出題しています。楽しみながら、かつ業務にも活用できるイベントとなっています。
NECセキュリティスキルチャレンジは毎年大変盛り上がり、2015年の開始以来、延べ5000人以上が自身の腕を磨くべく、奮って参加しております。

3. 実践的なハードニング技術・インシデントレスポンス対応を学べる「NECサイバーセキュリティ訓練場」

「NECサイバーセキュリティ訓練場」（以降、訓練場）は、主にNECのエンジニアがシステムの堅牢化方法を学ぶ研修です。二日間の研修で、演習用のシステムに対してチーム毎にハードニング（堅牢化）とインシデントレスポンスを行い、ポイントを競います（図2）。尚、インシデントレスポンスについては、実際のお客様への対応を想定した顧客報告なども行います。その為、お客様向けの報告書作成や、決められた時間内での定期報告といった実践に近い内容もロールプレイとして行います。
訓練場はNECグループ従業員から受講希望者を定期的に募集し、通年で開催しており、自身の技術レベルを図る良い機会として提供されています。

ちなみに、訓練場についてはNECグループの社員だけではなく、NECのお客様でも参加が可能です。ご興味がございましたら以下をご覧いただけますと幸いです。

お客様向け教育サービスはこちら＞「NECサイバーセキュリティ訓練場演習」

4. Security By Designの人材を育成する「SBDS（Security By Design Specialist :セキュア開発人材育成プログラム）」

Security By Design（SBD）^※3という考え方もだんだんと世間に浸透し、エンジニアの中などでは市民権を得たように思えます。一方で、十分にSBDを実現するというにはまだまだハードルが高い状況にもあります。そこでNECグループでは各事業部門でSBDを実践できる人材を育成するSBDS（Security By Design Specialist）という研修プログラムに取り組んでいます。
もう少し具体的に説明すると、SBDSでは、各事業部門にいるセキュリティ責任者（システム等の脆弱性や、情報セキュリティ事故の撲滅に向けてセキュア開発・運用施策案の討議や施策進捗状況の共有などを行う責任者）を補佐する人材として、NECグループの高度なセキュア開発を理解・活用する方法を身に付け、自部門内でセキュア開発を実践できる人材を育成しています。
こちらは今年度も様々な事業部門からの受講者が参加しております。

5. トップセキュリティ人材を育成する「NCSA（NEC Cyber Security Analyst :セキュリティ技術者育成プログラム）」

NCSAではトップセキュリティ人材の育成を目的とし、既に一定のセキュリティ知識・スキルを持つ社員を対象に、より高度なセキュリティ知識・スキルを習得してもらうための研修プログラムです。期間は半年間で、OJTを通じて集中的に学びます。
もう少し具体的に説明をすると、NCSAの受講者は実際にセキュリティ業務を担う部署に配属されて業務経験を積みます。例えば、CSIRT業務、脆弱性診断業務、SOC（ログ解析）業務、マルウェア解析業務などです。その他にも、システム開発におけるセキュリティリスク検査の実施と対策の立案、インシデントレスポンス、セキュリティの脅威分析と活用（インテリジェンス）も学びます。
尚、本プログラムの終了後はセキュリティアナリストとして、各部門のセキュリティ業務を担当することもあります。

6. 資格取得に関する研修

情報処理安全確保支援士（以降、RISS）やCISSPという資格をご存知でしょうか。
NECでは、セキュリティ技術者として業務を遂行する上で、これらの資格の取得を推奨しています。RISSは2016年に新設された情報セキュリティ系の国家資格です。また、CISSP（Certified Information Systems Security Professional）は国際的に認知されているベンダーフリーの認定資格です。それぞれの資格はセキュリティエンジニアの知識・スキルレベルを推し量る上でも有効な指標の1つとも言えます。

NECではRISSはもちろんのこと、CISSPも多くの社員が取得しています。何故セキュリティの資格取得者が多いかと言うと、これはNECの社内制度によるものです。NECでは社内の資格補助制度により、会社がRISSやCISSPの取得を推奨するとともに、資格取得や維持にかかる費用を補助しています。特にCISSPは毎年インハウスでのオフィシャルセミナーを開催するなど、多くの社員が自ら進んで資格を取得しやすい環境を整えています。

尚、こういった資格取得の有効性については様々な意見があると思いますが、NECではお客様に安全・安心のソリューションを提供するため、それに携わる社員のセキュリティレベルを可視化することも重要と考え、資格取得を推奨しています。このような情報セキュリティに関する高度な資格を有する社員を育てることにも力を入れています。

7. その他の教育について

上記の内容は主にサイバーセキュリティ戦略本部のタレントマネジメント部門で定常的に実施している教育や制度ですが、その他にも特定のテーマに関する勉強会が多数開催されております。
例えば、脆弱性の周知や対策について、NECでは様々なベンダや組織から集めた脆弱性情報をエンジニアにタイムリーに配信する仕組みを作っており、その活用方法などについて定期的に勉強会（講習）を行っております。その他にも各種勉強会が定期的、またはリクエストに応じて都度実施されており、こういった面でもNECのセキュリティ知識・スキルの底上げが行われています。（これはまた別の機会にご紹介します）

最後に

いかがでしたでしょうか。いつものセキュリティブログは技術的なものが多いですが、今回は視点を少し変えて【コラム】としてNECのセキュリティ教育をご紹介しました。この記事から、少しでもNECでのセキュリティ人材育成の取り組みについて興味を持っていただけると幸いです。
余談ではありますが、ここには挙げきれないほど、NECでは様々なセキュリティ教育にも非常に力を入れております。それらを通じて、これからもNECではお客様に安心してシステム・製品・サービスを提供するために様々な取り組みを行ってまいります。

参考までにNECでのセキュリティの取り組みについて、以下の「情報セキュリティ報告書2021」のご紹介を行いつつ、本記事を締めたいと思います。ご高覧ありがとうございました。

参考

執筆者の他の記事を読む