[インタビュー]

「すぐ手を動かして対処できるスキルこそ重要だ」─実務重視のセキュリティ人材教育を手掛けるSANS Institute

2017年6月22日(木)川上 潤司(IT Leaders編集部)

デジタル変革に邁進する企業に、しばしば暗い影を落とすのが狡猾なサイバー攻撃。オリンピック/パラリンピックが開催される2020年に向けて、日本が標的になる機会も増えると目されている。こうした状況を睨み、高度なITセキュリティ人材の育成などを事業の柱とする米SANS Instituteは、日本での活動にこれまで以上に力を注ぐという。この6月にマネージングディレクタに就任した関取嘉浩氏に話を聞いた。

 マテリアル(教材)の中身の濃さにも自信を持ってます。1つのトレーニングコースあたり6日間を費やすのが最も多いパターンで、1日あたり250~300ページからなるテキストが配布されるんですよ。ページの上半分には講師が投影するスライドが、下半分には事細かな解説が記されているのが基本スタイル。それが6冊にもなるわけですから、ボリュームだけでも相当なものです。受講後も参考書として常に役立つとの声が寄せられています。知っての通り、セキュリティの分野は動きがとても速いので、常にアップデートすることにも神経を尖らせています。

 講師と教材、その双方のクオリティについて一切妥協しないというのがSANSのポリシー。どちらかが欠けた瞬間に今まで築いてきた信頼を失うことになりますからね。一連のトレーニングにおける情報の量と新鮮さは、他の追随を許さないものと自負しています。

専門性を究めるために70以上のトレーニングコースを用意

──コースのバリエーションはどのぐらいあるのでしょうか。

 ベーシックなものから、かなりエッジの効いたものまで、現在は70ほどを用意しています(図1)。コースごとに3桁の番号を振っており、ざっくり言えば100番台が難しさのレベルを表しているんです。セキュリティ分野で広く知られる認定資格として、CISSPがありますが、この水準に相当するのがSANSのコースで言えば「414」です。もっとも、我々の考えとしては、セキュリティの「プロ」を養成するのであれば、これはまだ基礎レベルで、さらに専門性を究めなければなりません。SANSのコースは、より高度な500番台が中心であり、さらに600番台、700番台もあります。

図1 SANS Instituteが提供するトレーニングコースの概要
拡大画像表示

 一口にセキュリティ人材といっても、求められる専門性が分化し深化する傾向が強まっていて、一人がマルチ対応できない時代を迎えています。防御のオペレーション、ホワイトハッキング、フォレンジック、制御系のセキュリティ…。どの領域を、どのレベルまで突き詰めなければならないのか。「プロ」としてのキャリアパスを描き、そこに必要となるカリキュラムを検討した結果が現在の姿です。

 米国では、国防総省(DoD)や陸海空軍などに活用されるケースも加速しています。多くの場合、セキュリティに関するオリジナルの教育プログラムを持っているのですが、最新動向や攻撃対策など“足の速いもの”については、外部の専門コースを組み入れて補うやり方が増えているんですね。そこにSANSが、うまくはまるという構図です。

──そうしたトレーニングコースに加え、資格の認定もしていますね

 セキュリティに関する知識やスキルを客観的に証明すために、「GIAC(Global Information AssuranceCertification)」という認定試験を1999年から始めました。2017年3月時点で、この資格を有する人は世界で9万2000人に達しています。認定の有効期間は4年で、継続には再受験が求められます。

 GIACはSANSが認定する資格の総称で、実際にはセキュリティ管理・運用、フォレンジック、マネジメント、監査など専門分野ごとの区分に沿って、30ほどの資格に細分化されています。いずれも“実社会で真に通用する”ことに主眼を置いています。

関連記事

「すぐ手を動かして対処できるスキルこそ重要だ」─実務重視のセキュリティ人材教育を手掛けるSANS Institute [ 2/3 ] デジタル変革に邁進する企業に、しばしば暗い影を落とすのが狡猾なサイバー攻撃。オリンピック/パラリンピックが開催される2020年に向けて、日本が標的になる機会も増えると目されている。こうした状況を睨み、高度なITセキュリティ人材の育成などを事業の柱とする米SANS Instituteは、日本での活動にこれまで以上に力を注ぐという。この6月にマネージングディレクタに就任した関取嘉浩氏に話を聞いた。

PAGE TOP