大和総研デジタルソリューション研究開発部の渋谷です。
大和総研では近年のセキュリティリスクの高まりを受け、セキュリティ専門のチームを設置し、セキュリティ関連の技術検証や最新のセキュリティ関連ニュースをまとめたレポートを発信しています。
この記事では、私が2023年から2024年に7期生として1年間参加し、サイバーセキュリティを専門的に学んだIPA産業サイバーセキュリティセンターの中核人材育成プログラムについて紹介します。
- IPA産業サイバーセキュリティセンターの中核人材育成プログラムとは
- 参加のきっかけ
- 中核人材育成プログラムのカリキュラム
- 中核人材育成プログラム修了者コミュニティ「叶(かなえ)会」
- おわりに
- 関連するソリューション
IPA産業サイバーセキュリティセンターの中核人材育成プログラムとは
私が参加した中核人材育成プログラムを主催するのは、IPA産業サイバーセキュリティセンター(Industrial Cyber Security Center of Excellence 以下、ICSCoE)(注1)で、この組織はIPAに設置されているセンターの中の一つです。
2017年に発足し、社会インフラや産業基盤のサイバー攻撃に対する防御力を強化することを目的として、サイバーセキュリティ人材の育成事業、システムの安全性・信頼性検証事業、脅威情報の調査分析事業を行っています。
(注1) IPA産業サイバーセキュリティセンター(ICSCoE)
中核人材育成プログラムは、サイバーセキュリティ人材の育成を行うICSCoEの主要な事業です。日本全国の重要インフラ事業者から職員を集め、セキュリティの観点から制御技術(以降、OT)(注2)とITのスキルを併せ持ち、企業などの経営層と現場担当者をつなぐ中核人材の育成を目的としています。
このプログラムの最大の特徴は、1年間フルタイムで学習プログラムが提供される点です。さまざまなバックグラウンドを持つ受講者が一堂に会し、“同じ釜の飯を食う”環境で学ぶことで、一体感を持って学習に取り組むことができます。さらに、米国CISAなどからサイバーセキュリティ分野のトップレベルの研究者を講師に招いた講義や、海外の公的研究機関への派遣演習など、一企業のセキュリティ担当者ではなかなか経験できないプログラムが数多く用意されています。
(注2)制御技術:産業制御システム(ICS/OT)とも呼ばれ、工場や各種機械設備などの物理的な動作の制御を目的としたシステムを指す
参加のきっかけ
大和総研では、海外留学へのチャレンジも可能な充実した研修制度を整備しています。
私は、当社の研修の枠組みでIPAの中核人材育成プログラムへチャレンジできることを知りました。その体系的に行われる実践的な学習内容、とりわけプログラムが掲げる、組織全体のサイバーセキュリティ対策の中核となる人材を育成するという目標に深く共感しました。
それまで、開発業務の中でセキュリティ課題に対応する際、「もっと良い取り組み方があるはずだ」と感じながらも具体的な解決策を提案・実行するための知識や経験が伴わず、もどかしさを覚えていた私の課題意識と重なるものでした。
このプログラムを受講したいという強い想いから応募し、社内審査を通過して1年間の派遣研修に参加することができました。
中核人材育成プログラムのカリキュラム
中核人材育成プログラムのカリキュラムはプライマリー、ベーシック、アドバンスのテクノロジー講義と卒業プロジェクトの大きく四つのフェーズで構成されます(図1)。また、テクノロジーの講義に並行して、ビジネス・マネジメント・倫理、国際事例演習・海外派遣演習のプログラムが実施されます。それぞれのプログラムの特徴を、実際に受講した体験を踏まえて紹介します。
プライマリープログラム(2023年7月~9月)
初めに行われるのが、受講者のレベル合わせ学習となるプライマリープログラムで、OTとITのセキュリティの基礎を固めることを目的とした集中講義が行われます。驚くのはその密度で、大学の専門科目として半年や1年かけて履修する単位に相当する知識を、1~2日で学びます。例えば、制御システムの講義では、制御理論の微分方程式や、実際の開発で利用される近似式からラダー言語(注3)を使った制御まで、情報システムの講義では論理回路から始まりUnixのプロセス管理やネットワーク管理までを一気に学習しました。また、プログラミングについても、Pythonを使った簡単なデータ処理からC言語でマイコンデバイス(注4)の制御を行うものまで、自身の専攻分野の復習としてもなかなか挑戦しがいのある講義でした。自信がある専門領域以外の講義は、ついていくのがやっとということもありました。この時期、受講者の間でも課題の負荷が大きいことや今後への不安が話題になる中、自然と連帯感が生まれ、講義外でも積極的に交流するようになっていきました。特に懇親の場を通じて、相互理解が深まり、強い信頼関係が築かれていきました。
(注3) PLC(プログラム可能な回路制御装置)のプログラムを記述する言語。リレー回路に基づく梯子(ラダー)図で表現する
(注4)マイクロコントローラー(マイコン)と呼ばれる小型のコンピュータチップを使って、電子機器を制御する仕組み。演習では、約2cm四方の小さな基板に搭載されたマイコンを用い、USBに接続して動作する簡単なガジェットを作成した
ベーシックプログラム(2023年10月~12月)
続いて取り組むのが、演習によってサイバーセキュリティの実践的な知識を底上げするベーシックプログラムです。このプログラムから、少人数のクラス・グループに分かれ、演習を軸にした講義が行われます。7期では三つのクラスに分かれ、以下の三つのコースを順に受講していきました。
IT/OT分野における検知技術・防護技術・レジリエンス手法等コース
図3: ベーシックプログラムのカリキュラム 出所:IPA 産業サイバーセキュリティセンター
この演習では、さまざまな分野で実際に利用されている設備・OT環境をスケールダウンした模擬プラントを題材に、それぞれの業種・業界で用いるOTとプロトコルを学習しました。現用のテクノロジーを題材に攻撃の検知技術、防護技術の検証を行い、対策の重要性を具体的な脅威とともに理解することができました。
ITセキュリティコース
図4: ベーシックプログラムのカリキュラム この演習では、機器の設置から攻撃、インシデント対応までを実践的に行いましたが、特にインシデント対応が強く印象に残りました。この演習では、管理対象の全てを把握するため、まず受講者自身がコンピュータ機器をラックへ設置し、無線LAN環境や業務システムに至るまで、一連のシステム構築・設定を行います。その後、インシデント訓練に移行し、講師によるサイバー攻撃が発生します。この攻撃は受講者の想像を超えて壊滅的で、皆が一様にショックを受けました。そのような中でサイバー攻撃の原因を調査しつつ、組織としての対応や役員への報告をリアルタイムで進めていく演習は、まさに業務の実践そのものでした。
演習を通じて、どのようにしてセキュリティ強度の高い環境を構築するか、また、いかにサイバー攻撃の原因を究明するかという技術的な内容を身につけることができました。それに加えて、組織としてサイバー被害にあったときのインシデント対応に必要な判断やコミュニケーションなどの、非技術的なスキルについても身につけることができました。これらは、帰任後の実務に活かせる内容だったと感じています。OTインシデント対応/BCPコース
図5: ベーシックプログラムのカリキュラム この演習では、受講者一人ひとりにOT演習環境が与えられ、実機を利用して機器の設定や管理に関する技術を磨くことができました。この演習環境は、製造業のITシステム、OTシステム、工場設備までを模擬したもので、仮想化したネットワークやサーバーの環境を提供する小型のコンピュータと、プログラミング可能な産業用コントローラー、センサー、アクチュエーター(注5)、電源がトランクケースひとつにパッケージされています。通常、業務ではこのような環境を占有する機会はないため、非常にぜいたくな環境で各自の技術力を高めることができました。
(注5) OTにおいて、現実世界に変化を与える出力装置の総称
アドバンスプログラム(2024年1月~3月)
出所:IPA 産業サイバーセキュリティセンター
ベーシックプログラムまでは全員共通のカリキュラムでしたが、アドバンスプログラムでは各人が専攻分野を選択し、受講者自ら課題を設定。講師の補助を受けながら深掘りするアクティブラーニングや、実践的なトレーニングがプログラムの中心になりました。
例えば、IT/OT分野における検知技術・防護技術・レジリエンス手法等コースでは、派遣元の業界特有の制御システムを題材に、研究者と連携して新たな検知技術・防護技術の開発を行います。ITセキュリティコースでは、最先端の攻撃事例に基づいたペネトレーション演習や攻撃コードの分析といった実践的なトレーニングを行うなど、コース別にそれぞれの専門性をより高めていくプログラムです。
私はOTインシデント対応/BCPコースとDXセキュリティ・国際標準コースを専攻し、マネジメントの観点から組織のサイバーセキュリティを維持・改善するための視座の獲得を目指しました。特に印象的だったのは、生成AIや5G、Web3など、先端技術をビジネス化するために、技術の概要を捉え、国際的な法規制も織り込んだセキュリティ戦略を立案するという演習です。経営トップからの指示というシナリオにより、非常に短納期でセキュリティ戦略を立てる必要があり、調査から報告プレゼンまでを1日で行います。これを、ターゲット技術や分野を変えて毎日繰り返すという、まさに頭脳の筋トレのようなハードなトレーニングでした。実際、ビジネスの現場においてもスピーディーな対応が求められるケースは多く、未知の分野を迅速に把握して説明する訓練を通して、実業務に生かせる力が鍛えられたと感じました。
この頃になると、プライマリーコースが懐かしくなるほど学習密度が高まり、いつのまにか多くの受講者がキャンパスの最終退出時間を気にするようになっていました。そんな受講者の姿には、まるでゲームをやりこむが如く研究生活を楽しむ様子がうかがえ、忙しくも、とても充実した幸せな時間でした。
ビジネス・マネジメント・倫理プログラム(2023年7月~2024年2月)
中核人材育成プログラムにおける中核人材とは、組織においてサイバーセキュリティのスキルを背景に、事業部門の現場社員や経営層、法務、財務といったビジネス部門の社員など、異なる言語・文化を持つ部門の方々とそれぞれの言葉で連携し、サイバーセキュリティを推進できる人材とされています。
そのため、演習による実践的なスキルの他に、ビジネス、マネジメントや倫理といった非サイバーセキュリティ領域の講義も用意されています。
例えば、ビジネスの領域では、経営層と会話するための言語として、財務の知識を学びました。財務諸表の読み方に始まり、セキュリティリスクに伴う想定損害額を算定したり、各種財務指標を活用して投資効果を経営層に説明する演習を行いました。プログラムを通じ、サイバーセキュリティの技術だけではなく、このようなビジネススキルも、組織でセキュリティ施策を推進するために欠かせない要素であることを実感しました。
国際事例演習・海外派遣演習プログラム(2023年7月~2024年4月)
サイバーセキュリティの脅威は国境を越えて拡大しており、国際的な連携と協力がますます重要になっています。本プログラムでは、海外の研究機関から研究者を招いた最先端の講義や演習に加え、海外の政府機関・研究機関を訪問し、現地の専門家から直接学ぶ派遣研修など、国際的な視点を養う多彩な機会が提供されました。
例えば、欧州では、国家安全保障の観点からサイバーセキュリティへの取り組みが非常に進んでおり、政府が主導してさまざまな施策を展開しています。法制度やガイドラインの整備にとどまらず、組織向けに無償で提供されるSaaS型のセキュリティツールの公開(注6)や、産官学連携による研究拠点(注7)において、サイバーセキュリティが主要分野に位置づけられている点など、日本では見られない先進的な取り組みが印象的でした。
出所:大和総研
(注6) 英国政府が無料提供するサイバーセキュリティサービス
(注7) フランス技術研究機関IRT-systemXの注力分野
卒業プロジェクト(準備:2023年11月~2024年3月、稼働:2024年4月~6月)
中核人材育成プログラムでは、学習の総まとめとして、卒業プロジェクトに取り組みます。卒業プロジェクトは、企業や社会で解決したいサイバーセキュリティに関する課題を設定し、チームワークと中核人材育成プログラムで積み上げた知識・人脈を活用して課題の解決を目指します。プロジェクトはリーダー・サブリーダーを中心に5~10名程のチームで構成され、多くの受講者は複数のプロジェクトに参画します。
それぞれのプロジェクトでは、テーマに沿った分野の専門家と意見交換を行ったり、研究用の設備を調達して検証を行ったり、受講者の意欲でさまざまな取り組みにチャレンジすることができます。これまで多くの卒業プロジェクトでは、成果を広く社会へ還元する目的でIPAのサイトを通じて一般公開しています。また、一部の卒業プロジェクトでは自社や業界の課題を徹底的に掘り下げ、門外不出の成果を探求しました。
この期間、プロジェクト活動ではメンバーが同じ課題を共有し、主体的に研究を行うことになるため、それまでの講義以上に長い時間を共に過ごします。こうしたメンバーとの時間は志を同じにする強固な信頼関係を築くことにつながり、かけがえのない財産になりました。
卒業プロジェクトの中から私が携わったプロジェクトを三つ紹介します。
このプロジェクトでは、主に発注者となる企業の実務者を想定し、自社以外の取引先・関連会社のサイバーセキュリティをどうやって推進するか、というサプライチェーンセキュリティ(注8)の課題に取り組みました。課題に対し、関連法令や先行事例の調査、企業や省庁へのヒアリングを行い、実務者に必要な考え方や取り組みの流れを整理した手引書にまとめました。また、サプライチェーンセキュリティではセキュリティ専門外の協力をいかに獲得するかが大切なポイントの一つと考え、目的意識のスムーズな共有を行うために、イラストを中心に構成したハンドブックも作成しました。難しい課題をわかりやすくとらえられるよう、サプライチェーンセキュリティとは登山であるという例えを用いたハンドブックは、Interop® TOKYO 2024(注9)での展示やヒアリング先企業からも好評でした。
448時間かけて分かったセキュリティルールに感じる“もやもや”の正体とは?by侵入と対策の研究プロジェクト
「情報セキュリティルール」と聞くと、守らなければならない固い存在に感じるかもしれません。また、理由がわからず「守らされている」という状況に、「もやもや」を感じている方も少なくありません。このプロジェクトでは、そのような「もやもや」に注目し「すっきり」解消したいという考えのもと、企業の情報セキュリティルールがサイバー攻撃に対しても、有効な対策となることを検証し、読み物として楽しめる啓発コンテンツにまとめました。検証では、特に侵入手口にフォーカスし、セキュリティ機関の公開情報などを活用して実際に侵入が成功する手段を開発したうえで、情報セキュリティルールの効果を確認しました。
出所:IPA 産業サイバーセキュリティセンター
サイバーセキュリティにおいては、攻撃の巧妙化や兆候の事前察知、攻撃動向を踏まえた対策の立案が求められている中で、脅威インテリジェンスという考え方が注目を集めています。脅威インテリジェンスは、サイバー脅威に関する情報を収集・分析、攻撃の兆候や傾向を把握することで、事前に対策を講じるための知見や、広い意味ではそれに基づいた組織のセキュリティ運用、意思決定のライフサイクルのことを指します。脅威インテリジェンスは、組織のセキュリティ運用や戦略など広範囲にわたる大きな概念であるため、事業会社が具体的に実施すべき範囲や実施事項が明確になっておらず、導入が進んでいないという課題がありました。プロジェクトでは、文献調査に始まり、概念実証や製品の検証、先行企業へのヒアリングなども行い、脅威インテリジェンスの構築や運用に関する知見を集めました。成果物として脅威インテリジェンスの概要・概念からその効果、ライフサイクルを整理し、動向背景・効果などの経営層への提案に必要な内容を加えたガイドラインを作成しました。
以上のほかにも、多様な切り口でセキュリティ課題に挑戦した有用な成果物が多数公開されています。ぜひ、IPAの公式サイトからご確認ください。
(注8) サイバー攻撃によりサプライチェーンの取引が停止するなどのリスクを低減するため、サプライチェーンを構成する企業全体のサイバーセキュリティ対策を行う取り組み
(注9) 2025年で第32回を数えるネットワーク技術を中心とした大規模な展示会・コンファレンス。「Interop® TOKYO 2024」に出展を行い、成果物の説明などを実施した
中核人材育成プログラム修了者コミュニティ「叶(かなえ)会」
中核人材育成プログラム修了後、受講者は「叶(かなえ)会」という修了者コミュニティにより、継続的につながりを維持することができます。
普段のコミュニティ活動では、ICSCoEから脅威情報や対策情報の提供が行われるほか、会員同士で業界動向やナレッジ共有なども行われます。そして年次の総会では、政策や技術動向のフォローアップに加えて、新たな修了者と年次を超えたネットワーキングも行われ、コミュニティ全体の強化につながっています。
おわりに
私はこのプログラムの受講を通じて、大きく三つの成果を得ることができました。
- 実践的なサイバーセキュリティの知見
まずは実践的なサイバーセキュリティの知見、攻撃者目線での技術の獲得です。それまで漠然と不安に思っていた実装が、どのようなときに危険なのか、どう対処するのが効果的なのか、逆に効果が薄い対策はどのようなものかといった見方、考え方や情報ソースのたどり方を身につけることができました。 - 経営的な立場におけるサイバーセキュリティのコストに対する考え方を理解
次に、経営的な立場におけるサイバーセキュリティのコストに対する考え方の理解です。現在、サイバーセキュリティの大切さは広く認知されていますが、まだまだ多くの経営層へ投資の重要性が理解されているとはいいがたい状況です。このプログラムでは、経営層に対し、セキュリティ施策を提案するにあたり、経営目線でも適切な投資であることを示す方法について学ぶことができました。 - 第一線のセキュリティ人材との交流、ともに学んだ仲間との人脈
最後は人脈です。このプログラムでは、これまでの会社経験の中では接することのできなかった、トップレベルの研究者や各国政府のセキュリティ組織など、第一線のセキュリティ人材と交流することができました。そして、プログラムを通じて得た講師や受講生との顔のわかる関係は、セキュリティ人材にとってプライスレスな宝物であることは間違いありません。テクノロジー分野では個の力が重視される傾向もありますが、特にエンタープライズ領域のセキュリティにおいては、脅威情報の共有や迅速な対応のために、信頼できるコミュニティとのつながりが極めて重要です。そうした意味でも、本プログラムを通じて築けた人脈は、セキュリティの実務において大きな力となると確信しています。
プログラム修了後は、サイバーセキュリティの専門チームの所属として会社へ帰任しました。
現在、セキュリティに関連した技術調査や製品検証、社内教育・訓練の企画・運営、広報・営業活動の支援など、プログラムで得た知見を活かしながら、忙しくも充実した毎日を送っています。
今後は、産学連携のセキュリティ人材育成に関する研究へ参画するなど、より活動の幅を広げて会社へ貢献しつつ、セキュリティ人材として成長していきたいと考えています。
大和総研では、このプログラムへの派遣も含め、エンジニアの働きやすい環境づくりに取り組んでいます。技術に興味のある方、気になる方は、ぜひ大和総研の採用サイトものぞいてみてください。
