サイト内の現在位置

ここがスゴイぞ!ICSCoE 中核人材育成プログラム

NECセキュリティブログ

2022年8月5日

NEC サイバーセキュリティ戦略統括部セキュリティ技術センターの榊です。2022年7月1日から、産業サイバーセキュリティセンター 中核人材育成プログラムの第6期がスタートしました。今回はこの中核人材育成プログラムに関して、修了生の立場から紹介いたします。特に、私が修了した第2期での経験談を交えながら説明いたします。

ICSCoE 中核人材育成プログラム概要

産業サイバーセキュリティセンター(Industrial Cyber Security Center of Excellence, ICSCoE)とは、2017年4月1日にIPA内に発足した組織です。この組織は、模擬プラントを用いた演習や、攻撃防御の実戦経験、最新のサイバー攻撃情報の調査・分析等を通じて、社会インフラ・産業基盤へのサイバーセキュリティリスクに対する人材・組織・システム・技術を生み出すことを目的としています new window[1]
中核人材育成プログラムは、ICSCoEの事業のひとつです。ICSCoEにおける「中核人材」とは、OT(制御技術)※とIT(情報技術)双方にわたる技術的なスキルを核として有し、リーダーシップなどの業務推進力、セキュリティ専門家などとの人脈も有する、組織全体のサイバーセキュリティ対策の中核となる人材です。PDF[2]

図1. 中核人材の説明(第6期中核人材育成プログラムカリキュラムご案内資料 p.1より)
  • OT(制御技術):「Operation Technology」の略。ここでは、製造装置や製造工程の制御・監視などの運用を行うための技術を意味する。new window[3]

「中核人材育成プログラム」は、そんなセキュリティの中核人材を丸1年かけて育成するトレーニングプログラムです。国内の優秀な技術者による講義だけでなく、海外機関とも連携した、多様なカリキュラムが組まれています。

図2. 中核人材育成プログラムの概要(第6期中核人材育成プログラムカリキュラムご案内資料 p.2より)

中核人材育成プログラムのカリキュラム

カリキュラムの内容は大きく4つに分類されます。

図3. 第5期中核人材育成プログラムの年間カレンダー(第6期中核人材育成プログラムカリキュラムご案内資料 p.3より)

1. プライマリー(7月~9月)

受講生同士のレベル合わせのための期間として、ITセキュリティとOTセキュリティの基礎を学習します。この期間は座学が中心になります。
この期間は、私にとっては非常にありがたい期間でした。私はいわゆる「IT」について大学で専攻してこなかったため、ボンヤリと覚えていた用語や仕組みについて、この期間でしっかり理解することができました。一方、ITベテランの方々は退屈しているように見えました。もし物足りないと感じた場合は、他の受講生とコミュニケーションをとることを優先したり、研修会場に併設されている技術部屋にある様々な機器を触ったり、技術者・講師(スゴイ方々ばかり!)の方と語ったり、たくさん置かれている技術書を読んだりしながら、後述する卒業プロジェクトのアイデアを深める期間にするのが良いと思います。

2. ベーシック(10月~翌年1月)

OTセキュリティ、ITセキュリティ、BCP等の考え方を網羅的に習得します。ベーシックの期間では、2~3クラスに分かれて「OT防衛技術・ペネトレーション手法コース」「OTインシデント対応・BCPコース」「ITセキュリティコース」の3コースをローテーションします。
このあたりから、座学だけでなくグループ演習も増えてきます。そのため、必然的に受講生同士の親睦が深まっていきます。講師の方々も、受講生同士の親睦を深めるべく様々な取り組みを企画してくれます。ここでの親睦が、のちの卒業プロジェクト立ち上げにもつながっていくように感じます。

3. アドバンス(2月~4月)【選択制】

特定分野における実践的なトレーニング及び演習の実施による、さらなる知見の向上を図ります。上記の3コースに加え、「DXセキュリティ・国際基準」というコースを含めた合計4コースの中から2コースを選択し、受講します。
アドバンス期間に受講できる「DXセキュリティ・国際基準」は、第6期から新設されたコースのようです。私が参加した第2期では、アドバンス期間に受講できるコースは3コース中1つだけでした。当時、多くの受講生が「本当はあのコースも受けたかったんだけどなぁ」とボヤいていたことを覚えております(私もその一人でした)。そんな受講生の意図をくみ取っていただいた結果、2コース選択制が採用されたのかなと想像します。実にうらやましいです。。

4. 卒業プロジェクト(5月~6月)

アドバンス期間までに習得した知識や経験を活かし、グループもしくは個人で自らが定めた、産業サイバーセキュリティをテーマとした課題に取り組む期間です。この期間は講義など特になく、各受講生が自ら企画したプロジェクトを、各自で活動していきます。
私が第2期を受講する直前に、このカリキュラムを見た際は「たった2ヶ月間で成果が出せるのか?」と不安に感じたことを覚えています。実際のところ、この2か月間はあくまで「集中期間」であり、それよりも早い段階からプロジェクト自体は開始するケースが多いように思います。私が所属していたプロジェクトの中には、10月ごろに活動開始するものもあったと記憶しています。しかし、卒業プロジェクトを検討するための企画もあるので、「なんとかなる」と思っていただいて問題ないと思います。

IPAのサイトでは、さらに詳しいカリキュラムが紹介されています。私が受講した第2期と比較してみましたが、アドバンス期間にDXセキュリティ・国際標準コースが追加された以外は、特に変更されていないように思います。

zoom拡大する
図4. 第6期中核人材育成プログラムのカリキュラム(第6期中核人材育成プログラムカリキュラムご案内資料 p.4より)

このカリキュラムと絡めて、受講生同士の関係性の深まりについても説明します。プライマリーの期間は受講生それぞれ緊張や遠慮がありますが、ベーシックに入ると一気に親睦が深まります。そして年末ごろには、お互いを尊重し、協力し合う「仲間」のような関係になります。
中核人材育成プログラムは、ベーシックの中盤からどんどん面白くなっていくと思います。それと同時に、時間が進む感覚が一気に早く感じるようになります。悔いのない時間を過ごすためにも、少しでも興味を持ったことには積極的に首を突っ込んでいくのが良いと思います。

中核人材育成プログラム 卒業プロジェクト紹介

「カリキュラム」の項で触れた卒業プロジェクトに関してですが、成果物の一部はIPAの公式サイトで公開されております new window[4] 。ここではそのうち、第5期(2022年6月に修了)の成果物を簡単に紹介したいと思います。

  • でぃふぇんす!!セキュリティ塾
    IoTやAI、サプライチェーンといった、一般的なセキュリティ教育コンテンツであまり触れられないようなテクノロジー・システムに関するセキュリティ啓発を目的としたプロジェクトです。このプロジェクトの成果物は、主に非エンジニアの方向けのIoTセキュリティ、サプライチェーン、AIに関する読み物です。イラストを交えながら平易な日本語で書かれているため、非常に読みやすいと感じました。ページ数も多すぎず、サクッと読めるのでオススメです。
  • ミドルマネジメントのためのDX戦略・組織論
    セキュリティというより、DXにフォーカスしたプロジェクトです。このプロジェクトの成果物は、トップマネジメントと現場をつなぐミドルマネジメント層の方が、社内でどのようにDXを推進していけばよいのか、事例も交えて説明するような読み物です。あくまで主軸はDXでありつつ、要所要所でセキュリティにもフォーカスしながら解説しています。
  • IoT Sec for Users 5分でIoTのセキュリティリスクがわかる本
    IoTセキュリティにフォーカスしたプロジェクトです。このプロジェクトの成果物は、IoTセキュリティリスクを理解するための読み物です。既存のガイドラインを要約しつつ、事例やイラストも交えて、非常に読みやすい内容になっていました。
  • 未来のKidsサイバーセキュリティ教室 ~No SEC No Life~
    子ども向けのセキュリティ教育にフォーカスしたプロジェクトです。このプロジェクトの成果物は動画とゲームです。私は動画のみチェックしましたが、クオリティはかなり高いと思いました。
  • セキュリティエンジニアのための English Reading
    セキュリティエンジニアの英語力向上にフォーカスしたプロジェクトです。このプロジェクトの成果物は、英語のドキュメントを読むコツや、英語学習のコツをまとめた読み物と、セキュリティ系のニュース記事でよく使われる単語をまとめた単語帳です。読み物の方は、英語のニュース記事を読む際の勘所や、よく使われる単語の意味や解釈の違い、また米国MITRE社 公式サイトのCVE掲載ページの読み方など、非常にユニークな内容が盛りだくさんです。一通り読めば、英語関連のドキュメントに対する抵抗が大幅になくなると思いました。
  • ゼロトラスト移行のすゝめ
    その名の通り、ゼロトラストにフォーカスしたプロジェクトです。このプロジェクトの成果物は、ゼロトラスト導入のための読み物です。ゼロトラスト実装の流れ、メリット、ポイントをまとめてあります。実務者が使えるレベルで、比較的細かく説明しているように感じました。
  • セキュリティ関係者のためのAIハンドブック
    セキュリティ業務において、AIを活用する方にフォーカスしたプロジェクトです。このプロジェクトの成果物は、組織のセキュリティ担当者がAIを使ったセキュリティ(技術・サービス)を使うときに気を付けるべきポイントを、様々な論文やガイドラインをもとに整理した読み物です。こちらも実務者が使えるレベルで、比較的細かく説明しているように感じました。

このほかにも、第1期~第4期の成果物も公開されています。ぜひチェックしてみてください。参考までに、IPA公式サイトで公開されている第1期~第5期までの卒業プロジェクトを表で整理してみました。

  • 私の感覚で整理しているため、必ずしもこの内容が正しいとは限らない旨、何卒ご了承ください
メインジャンル サブジャンル 卒業プロジェクト名 成果物のスタイル
非セキュリティエンジニア向けコンテンツ 一般社員向け でぃふぇんす!!セキュリティ塾 第5期 読み物(PDF等)
一般社員向け セキュリティ意識向上啓発活動~セキュリティ投資の重要性を経営層へ発信~ 第1期 読み物(PDF等)
経営層向け ミドルマネジメントのためのDX戦略・組織論 第5期 読み物(PDF等)
経営層向け 経営者のキモチ 第3期 読み物(PDF等)
子ども向け 未来のKidsサイバーセキュリティ教室~No SEC No Life~ 第5期 動画、PCゲーム
子ども向け カッコいいセキュリティ実行委員会 第4期 漫画
OTセキュリティ 教育 現場向け制御セキュリティ教育:セキュリティ道場 第4期 カードゲーム
事例集 現場向け制御セキュリティ教育:安全・安定操業を脅かした事例10選 第4期 読み物(PDF等)
資産管理 制御システムにおける資産管理の効率化 第3期 読み物(PDF等)、OSS
攻撃検知 制御システムの通信可視化によるサイバー攻撃の検知~サイバー攻撃の検知システムを構築、ユーザ企業が内製化~ 第1期 ソフトウェア
特定IT領域系コンテンツ IoT IoT Secfor Users 5分でIoTのセキュリティリスクがわかる本 第5期 読み物(PDF等)
ドローン ドローンセキュリティ 第4期 読み物(PDF等)
セキュリティエンジニア向けコンテンツ 英語 セキュリティエンジニアのためのEnglish Reading 第5期 読み物(PDF等)
ゼロトラスト ゼロトラスト移行のすゝめ 第5期 読み物(PDF等)
心得 愛されるセキュリティ部署になるには 第4期 読み物(PDF等)
ゼロトラスト ゼロトラストという戦術の使い方 ~情報系・制御系システムへのゼロトラスト導入~ 第4期 読み物(PDF等)
CSIRT CSIRTカードゲーム制作 第3期 カードゲーム
特定業界向けコンテンツ 航空 Security Aviation Industry~欧州における航空・空港の安全対策ガイドライン, 日本への導入に向けて~ 第1期 読み物(PDF等)
鉄鋼 チームメタルセキュリティ~業界の競合他社同士が結束してセキュリティ向上のPDCSを検討~ 第1期 読み物(PDF等)
化学・石油・ガスプラント 混ぜるな危険~複数の業界が一丸となってサイバーセキュリティの確保へ~ 第1期 詳細不明
自動車 自動車業界向けIT/OT連携演習開発 第2期 動画

私の主観ですが、各期の成果物には以下のような特徴があるように思います。

  • 公開されている成果物は、ソフトウェアやハードウェアよりも、PDF等の読み物が多い第1~2期は、特定産業向けのコンテンツが多い
  • 第3期以降は業界に閉じず、社会全般に受け入れられるような学習コンテンツが多い(非セキュリティエンジニア、経営者、子ども)
  • 2期は公開されている成果物が少ない
  • DXやドローン、ゼロトラスト等、国内外で当時話題になったワードに関するコンテンツが多い

中核人材育成プログラムの卒業プロジェクトは、ここに掲載されているものがすべてではありません。むしろここに掲載されているのはほんの一部で、これ以外に大小さまざまなプロジェクトが発足し、多種多様な成果物が存在します。私が参加した第2期では、一人当り平均2~3プロジェクトを担当していました。ちなみに私は5つのプロジェクトに参加していたので、特に1月以降は大変忙しかったことを覚えています。そんな中でも受講生同士、お互いをフォローしあいながら、実に充実した日々を過ごすことができました。「あれもやりたいけど、手が回らなくなったらどうしよう」と悩んだ際は、まずそのプロジェクトに参加してみてから、自分に何ができるかを仲間と一緒に話し合うのがよいと思います。

修了生コミュニティ

中核人材育成プログラムを終了すると、修了生コミュニティ「叶(かなえ)会」への参加資格が得られます。叶会は、中核人材育成プログラムを修了したセキュリティプロフェッショナルの集まりです。在籍企業・業界・年齢・役職を超えて、様々なセキュリティ関連コミュニティで活動しています。
より詳しい特徴は、ICSCoE REPORT vol.6 PDF[5]に記載されています。ぜひチェックしてみてください。私も叶会の会員ですが、叶会の活動は非常に有意義に感じています。特に叶会内にある部会のひとつである「ノウハウシェア部会」では、経験豊富なセキュリティエンジニアの方々の広く深い知見が、定期的にシェアされています。「ここだけの話」もたくさんあり必見です!また年に一度開かれる「叶会総会」は、同期生と再会できる貴重な機会です。もちろん他期生も集合しているので、期を超えたコミュニケーションも可能です。
叶会には、この他にも様々なメリットがあります。中核人材育成プログラム修了生で、まだ叶会に参加されていない方は、これを機にぜひ参加してみてください!

おわりに

いかがでしたでしょうか。
私の感覚ですが、この中核人材育成プログラムに参加できる方は「日本一幸せなエンジニア」といっても過言ではないと思っています。参加をためらっている方は、ぜひ前向きに受講を検討していただければと思います。また今年度の中核人材育成プログラムに参加している方や、これから参加される方は、二度とない極めて貴重な体験と思って、存分に堪能してください!

参考資料

執筆者プロフィール

榊 龍太郎(さかき りゅうたろう)
セキュリティ技術センター リスクハンティング・システムグループ

ペネトレーションテスト、脆弱性診断を通じたセキュリティ実装支援、社内CTF運営、その他社内外向けのセキュリティ人材育成施策に従事。
2019年6月にIPA 産業サイバーセキュリティセンター中核人材育成プログラムを修了。
またインプレスグループが運営する技術解説サイト「ThinkIT」にて、RISS試験に関するWeb記事2件の執筆を担当。
new windowhttps://thinkit.co.jp/article/18849
new windowhttps://thinkit.co.jp/article/19367
CISSP/情報処理安全確保支援士(RISS) /GIAC GPEN/CEH/AWS認定クラウドプラクティショナー/AWS認定ソリューションアーキテクト アソシエイトを保持。
趣味は家族サービス。

執筆者の他の記事を読む

アクセスランキング