-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
セキュリティ技術への関心喚起に加え、チーム力強化にCTFを活用
定時就航率や顧客満足度指数で国内トップの評価を得ているスカイマーク株式会社(以下、スカイマーク)。様々な役割を持つ部門が日々の航空運送事業を支えており、そのひとつがシステム開発部だ。システムインフラから予約システムまでを内製開発する技術者集団は、頻発するサイバー攻撃に対してどのような準備をしているのか、キーマンである清宮氏と白川氏に話を聞いた。
システム内製化に取り組むスカイマーク
スカイマークは、国土交通省航空局が発表した「特定本邦航空運送事業者に係る情報」において、2018年より6年連続で定時就航率の国内トップを記録している。また、公益財団法人日本生産性本部 サービス産業生産性協議会が調査した、2023年度の日本版顧客満足度指数で2年連続の一位を獲得するなど、サービス品質において日本トップクラスの評価を得ている。
好調な輸送事業を支えるシステム開発部は、航空券予約システムといった業務システムから、人事管理システムといった社内システムまでを内製開発している。スカイマークでは、ITを経営の重要なツールと位置づけている。先に上げた航空券予約システムに関しても、内製化は開発リードタイムの圧縮やコストの見える化を通じて、膨大なユーザーに満足してもらうための取り組みだ。何よりスカイマークが実現したいシステムを自ら追求できる点も大きい。
エンジニアのセキュリティ技術への関心を高めたい
スカイマークのITを統括するシステム開発部は今、情報セキュリティ対策に注目している。航空事業者として最も重視するのが運航の安全性だ。人の命に係わる事業であることから、社員全員が運航の安全を期するための、あらゆる教育を受けている。しかし、情報セキュリティ対策は、リテラシー教育や具体的なセキュリティ対策の浸透など、やるべきことは残されている。
情報セキュリティ対策を進捗させるには、情報システムを統括するシステム開発部のメンバーの育成が重要だ。これまで、セキュリティインシデントに対する事故対応の机上訓練は行ってきたが、有事対応に特化した訓練であり、期間も短く技術的な要素は少ない。そこで、技術者が数週間程度セキュリティ関連技術に触れる機会を設けるため、セキュリティ競技コースの導入を検討した。
セキュリティ競技コースは、CTF(Capture The Flagの略)として知られるセキュリティの知識や技術を試す競技を、社員教育に活用したものだ。セキュリティに関する問題を解くことで得点を得て、同時に参加しているエンジニアとポイント勝負をする。
清宮氏は、CTFを部門内で開催する狙いを「セキュリティに関しての知識は座学でも得られます。しかし、知識としてわかっていても自分事にしなければ身に付かないので、参加型の教育プログラムが必要だと考えていました。」と語る。CTFにより、ゲーム感覚で楽しみながら自発的に技術に触れ、セキュリティ技術への関心を高められる効果に期待し、本コースの導入に向けて準備を行った。
CTFをチーム戦としたことで得られたもの
スカイマークのシステム開発部で実施したCTFは、3週間にわたって開催された。競技に参加したメンバーが、ラックから提供される様々な課題を解きながら獲得スコアを競うものだ。このCTFでユニークな取り組みとなったのがチーム制を採用したことだ。
スカイマークのシステム開発部には、IT統制、インフラ、アプリケーション、デザイナー、データ分析、運用といった職種のエンジニアが所属するが、同じ職種でまとまらないようチーム分けをした。
この発案について白川氏は「ネットワークやWeb開発など、自分がこれまで経験してきた分野には抵抗が無いと思いますが、苦手な分野の問題に挑戦することでモチベーションを下げることになるのは本意ではありません。個人によっては、解決できないことをつらいと感じる人もいます。そこで、苦手な分野は仲間に任せるなどチームワークで乗り越えることで、これまでに触れてこなかった分野にも安心して挑戦してもらいたいと思いました。」と振り返る。
清宮氏は、実際にCTFを開始して驚いたことがあったという。「当初は、それぞれ得意な領域を解きあうと思っていましたが、アプリケーション開発者がフォレンジックの問題を解いていたり、WebデザイナーがPythonのコードを書いて問題を解いていたりと、それぞれのエンジニアの違う側面が見えてきました。」と、エンジニアの才能の発見につながったようだ。
体験参加型トレーニングとしてのCTF
セキュリティ対策は非機能要件ということもあり、意識しなければ技術に触れる機会は少ない。しかし、ゲーム感覚で体験できる参加型のトレーニングは、攻撃者の視点で技術に触れることでセキュリティ対策の重要性が感覚的に理解できる点が優れているという。実際、CTFが始まると、多くのエンジニアが初日から時間をかけて取り組んでおり、モチベーションの高さを感じたようだ。
白川氏は「チームの成績が常に把握できるようになっているので、競争心をあおることでチームの団結が促進されました。結果、先輩後輩のコミュニケーションが活発になり、CTFを終えた後のチームビルディングに良い影響がありました。」と語る。
CTF後に行われた課題の解説会では、チャレンジする楽しさを語る声があった反面、課題が解けないことへのストレスもあったようだ。白川氏も「業務内容や経験が異なる参加者に対して、どの程度の難易度の問題が適切か判断することが最も難しかった。」と語るように、CTFの事前説明会で3問ほどデモンストレーションを行い、CTFの特徴や解き方のイメージを事前に掴んでもらうことで、取り組みとして成功させた。
セキュリティ技術の競技を、セキュリティ教育とチーム力強化に活用したスカイマーク。サイバーセキュリティのインシデント発生に備え 、仕組み作りとエンジニアの育成に取り組みながら、ITのビジネス活用を強力に推進していく。
導入事例のダウンロードはこちらから
お客様プロフィール
スカイマーク株式会社様
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR