海外の研修生に、セキュリティを楽しく学んでもらう「APT研修」を実施しました！

コーポレートコミュニケーション室の高橋です。
普段は、公式SNS運用を中心とした広報の業務に携わっています。

ラックでは、情報セキュリティ教育サービスを展開する「ラックセキュリティアカデミー」が主体となり、国際貢献活動の一環として海外の研修生を継続して受け入れています。研修の内容もバラエティーに富んでおり、実践的な座学からラックの監視センター「JSOC」の見学、チーム戦でのボードゲームなど、セキュリティについて楽しみながら理解を深められます。

今年度も2024年1月24～25日の2日間に渡って研修が開催されました。参加した2日間の取材レポートをお送りします。

開催の目的

APT^※研修は、公益法人KDDI財団が、国際貢献の一環として長年実施している研修です。研修全体のうち、2日分のセキュリティ講座についてラックが担当しています。

※ Asia-Pacific Telecommunity：アジア・太平洋電気通信共同体の略称。1979年、アジア・太平洋地域における電気通信専門の国際機関として設立され、研修やセミナーを通じた人材育成、標準化や無線通信などの地域的政策調整などを実施する組織。

APT加盟国のうち、カンボジア、インドネシア、キリバス、ラオス、モンゴル、ネパール、パラオ、フィリピン、サモア、モルディブ、スリランカの11カ国から12名の研修生が参加しました。全ての研修生が政府関係者や事業運営等に関わる、次世代を担う方々です。

また、研修の目的は、人材育成（英語によるOJT）、人材交流（海外セキュリティ人材との交流）、国際貢献（現地のサイバーセキュリティレベルの向上、及び日本政府・企業連携に貢献）の3つです。これらの目的を果たす、実りのある研修となったのでしょうか。

セキュリティについて学べる、盛りだくさんの研修内容

ラックで実施した1日目の研修は、インシデントレスポンスに関する講義、JSOC見学、サイバーセキュリティを学ぶボードゲームの3つです。2日目は、攻撃手法解説コースが行われました。

双方向のやりとりが多い座学研修

朝一からの座学研修は、講師を担当するJoeyの話に対して笑いが起きる場面もあり、和気あいあいとした雰囲気で始まりました。

座学ではインシデントの具体的な状況の例や、事故を防ぐための方法、インシデント対応をする上での重要なポイントについて学んでもらいました。また、インシデントが起きたときにどう対処するかを自分で考えてもらう時間も設けました。

講義中は講師の話を一方的に聞いているだけでなく、参加者からの積極的な発言や質問が飛び交い、講師と参加者が会話をしながら進めていく印象でした。

緊急対応の最前線を感じるJSOC見学

ランチ後はJSOC見学に参加しました。

JSOC（Japan Security Operation Center）は、24時間365日体制で契約企業を見守る、国内最大級のセキュリティ監視センターです。お客様の監視対象機器のログを分析、重要度の判定を行い判定結果に応じてお客様へ連絡します。

オリジナルのボードゲームでセキュリティ対策を学ぶ

午後の研修では、セキュリティ対策の方法や重要性を楽しみながら学ぶ、ラックのオリジナルゲーム「サイバーセキュリティボードゲーム」を行いました。

今回は3名を1チームとして、4チームに分かれました。ゲームではベンチャー企業の経営陣になりきり、1ターンごとに「会社成長カード」を出しつつ、セキュリティ対策をシートの中から選択します。

インシデントが起きた際に、最低限のリスクヘッジができていないと減点され、リスクヘッジをうまくしながらビジネスでお金儲けをすると加点されます。終わりまでに一番上手くセキュリティ対策ができてポイントが高かったチームが勝ちです。

このゲーム、実は私も入社当初の研修の際に一度やったことがあります。チームに分かれてコミュニケーションしながら学べるので、研修で実施するのにぴったりだと思いました。

ゲームが始まると、どのカードを出そうかチームで話し合う......のですが、思惑通りにいかず「oh my God！」が出たり、思いのほか順調に利益を出せてにっこりしたり。わいわいがやがやと、非常に楽しそうに盛り上がっていました。

優勝は、ラオス出身の研修生がリーダーのチームでした。おめでとうございます！

どのチームも、今までに体験したことないセキュリティのゲームをやってみて、セキュリティ対策とは何なのか、セキュリティの仕事とはどんなものなのかを実感できたのではないでしょうか。

最新の攻撃傾向や基本的なセキュリティへの考え方が理解できる「攻撃手法解説コース」

2日目は、実際にセキュリティアカデミーで集合研修として実施しているコースを1日で完結するよう短縮した「攻撃手法解説コース」が行われました。

このコースはセキュリティアカデミーの中でも、セキュリティ教育の入口として受講される方が多い人気コースです。

座学では、攻撃の種類や攻撃者の動機などの基本的な部分、脆弱性や取るべき対策について説明しました。また、ハンズオンで、Metasploitを用いた攻撃を体験してもらいました。

皆さん、攻撃が簡単に行えてしまうことが分かる体験をし、非常に驚いた様子をしていました。セキュリティ対策の重要性を実感してもらえたのではないかと思います。

研修を体験した研修生の感想は？

今回の研修を経て研修生は何を感じ、どんなことを学んだのでしょうか。4名の研修生に、それぞれインタビューをしてみました。

カンボジア出身の研修生

パラオ出身の研修生

ラオス出身の研修生

また、JSOCには約200人のオペレーターがいると聞きました。その方たちが、膨大な数のログの解析をしていると聞き、それだけのスキルがあるというのも素晴らしいと思いました。

フィリピン出身の研修生

さらにJSOC見学をして、新しいセキュリティの環境がどういうものかを実際に自分の目で確認できました。フィリピンのSOCで、これからどのようなものを取り入れていくことが必要なのかもよく分かりました。

さいごに

この研修の前に、開催者の三木から「社員として、自分の役割だけに特化した知識を持っていて、自分の仕事だけをしておけばよいというのでありません。会社全体を意識して、セキュリティのことも考慮しなくてはいけないということを学んでほしい」と、研修に対する想いを聞いていました。

参加者からのインタビューの中に、「ボードゲームからは、セキュリティをどのようにビジネスの中で活用していくのか、またインシデントからどのような防御対策をとればよいのかを学べてとても有意義でした」という言葉がありましたが、三木の想いが伝わっていると実感でき嬉しいです。

さらに、インタビューの中にJSOCを見学して、自国のセキュリティオペレーティングシステムの中にもスキルなどを取り入れていきたいという言葉がありました。今回の研修の目的の1つ、国際貢献（現地国のサイバーセキュリティレベルの向上）に繋がる大きな一歩となったのではないかと感じました。

ラックでは、国際貢献活動としてセキュリティへの理解を深める研修を、引き続き開催していきたいと思います。

おまけ

長時間にわたる研修なので、参加者向けに飲み物とお菓子を用意しました。

プロフィール