コロナ禍の中問われるサイバーセキュリティ課題、エンジニア向け学習サービスに注目が集まる
AI.
コロナ禍のテレワーク拡大により、オフィス勤務を前提として構築されていた企業のセキュリティ対策が問い直されている。
内閣府が6月21日に発表した「新型コロナウイルス感染症の影響下における 生活意識・行動の変化に関する調査」によると、コロナ禍でテレワークを経験した人の割合は日本全国で34.6%。23区に絞ると、55.5%にのぼる。
テレワークが浸透したことにより生産性の向上などの恩恵を受けた企業もある一方で、セキュリティ課題も浮き彫りになっている。8月には国内企業38社が修正プログラムを適用しないままVPNを使用し続け、不正接続の被害に遭うという事件が報道された。
さらに企業のセキュリティ対策だけでなく、個人のリテラシーも問われている。一般社団法人JPCERTコーディネーションセンター(マルウェア Emotet の感染拡大および新たな攻撃手法について)によると、7月以降、コンピュータウイルス「Emotet」への感染を狙う攻撃の件数が大幅に増加した。Emotetは取引先や友人を装うなど感染への工夫を凝らしており、JPCERTコーディネーションセンターは注意を呼びかけている。
この背景にはテレワークにより一元的なシステムの管理が難しくなったことが原因のひとつとして存在すると考えられ、コロナ禍ではより一層、企業・個人ともにセキュリティのリテラシーが求められる。
ところで、セキュリティリテラシーというと前述のようなコンピューターウイルスやフィッシングサイトへの対策を思い浮かべる方も多いかもしれない。しかし、昨今注目されているのがウェブエンジニアのような開発者に求められるセキュリティリテラシーだ。
ウォーターフォールの開発体制においては開発完了後に第三者機関による脆弱性診断を行い、その結果に基づき脆弱性の修正を行うというサイクルが成立していた。もちろん、設計レベルでの脆弱性が存在した場合は多大な手戻りが発生してしまうので、成立とはいえないこともある。
しかし、この「事後に大規模な脆弱性診断を行う」という形式が、細分化されたリリースを繰り返すアジャイル開発の体制にはフィットしないことは明らかである。
すなわち、現代においては設計・コーディングの段階で脆弱性を生まないようにすることの重要性が増してきているといえる。開発工程のより上流でセキュリティを担保しようとする「シフトレフト」(Shift Left)のひとつの形だろう。これを実現するためにはもちろん自動検査ツールの導入といった選択肢もあるが、現場で動く開発者、つまり「人」も重要なファクターになってくる。
そこで今注目されているのが、開発者のセキュリティリテラシーの底上げを図る高度な教育サービス。時代背景にも合わせて特にeラーニングのサービスが脚光を浴びている。セキュリティの中の教育というニッチな領域になるが、今回は複数のサービスを取り上げてみる。
Udemy ― 初級から上級まで181のセキュリティコースを用意
ベネッセコーポレーションが約56億円を出資して米ベンチャー企業が展開するオンライン動画学習サービス「Udemy」では、サイバーセキュリティコースを座学や演習などさまざまな形態で受講することができる。
2020年11月現在181ものコースが用意されており、レベルは社会人として必要なセキュリティリテラシーを学べる初級編からサイバー攻撃の手法を学べる上級編まで幅広くカバー。価格は無料のコースから2万円前後のものまで。ほぼすべてのコースに学習期間の制限がないだけでなく、30日間の返金保障がついている。
Flatt Security ― 東京大学発ウェブエンジニア向けSaaS型eラーニングサービス
サイバーセキュリティ事業を展開するFlatt Securityは11月4日、ウェブエンジニアのセキュアコーディング習得を支援するSaaS型eラーニングサービス「Flatt Security Learning Platform」β版の提供を開始した。
資料に目を通して三択問題のテストを受ける、というような受動的なeラーニングとは異なり、攻撃者が用いる攻撃手法を体験したり実際に脆弱なコードを修正したりなど、演習形式を軸としてより実践的なトレーニングを一元的に受講できる。
同サービスは法人向けに展開しており、サイバーエージェントやXTechなどがβ版以前のトライアル版を利用している。価格は1名あたり数万円から。
SANS ― 大学の助教授やCISO(最高情報セキュリティ責任者)が講師に参画
情報セキュリティ分野に特化した教育専門機関SANSは、情報セキュリティの分野において必要な知識やスキルを有していることを証明する認定試験GIACとその学習カリキュラムを運営。GIACは米国政府・企業を中心に、個人のスキルレベルを客観的に計測する基準として高く評価されている。
特徴は優秀な講師陣。大学の助教授や企業のCISO(最高情報セキュリティ責任者)など最先端の技術・知識を有するセキュリティのプロフェッショナルがレクチャーしている。また、教材は年4回程の改訂を行っており、最新トピックが反映されている。金額は内容によって大きく異なるが、5~6日で受講するコースを80万円前後から受けられる。
Rangeforce ― 1600万ドルを調達した、トレーニングサービスを提供する米企業
アメリカのサイバーセキュリティスタートアップRangeforceでは、サイバーセキュリティのトレーニングサービスを提供。顧客企業のセキュリティスキルを向上させ、サイバー犯罪を減らすことを目的としている。同社は2020年7月に1600万ドル(約16億6000万円)を調達しており、注目を集めている。
同サービスでは最新の脅威やシステムの脆弱性についてどのように検知、改善するかをハンズオン形式で学ぶことが可能。さらに同社は、より実践的に攻撃・防御の演習が行えるクラウド上の演習環境も提供している。同環境を用いることで、チームの対応力やスキルレベルの分析が可能だ。2020年11月時点で日本語版は提供されていない。
関連記事
・飲食店の空席を有効活用、コロナ禍を乗り越えるための新たなワークスペースサービスとは?
・「初めて生理が楽しみになった」女性150名の声から生まれた生理用品D2C「Nagi」
・「どう生きたいか?」と徹底的に寄り添う、ポジウィルがキャリアのパーソナル・トレーニングへ舵を切った理由
・女性の悩みを解決するパーソナルカラー診断やオリジナルマスクでwithコロナの新事業に挑戦するStyle Works
・キャリアスクールのSHEがいまミレニアル女性に届けたいこと、コロナ禍で体験申し込みは2倍に
・きっかけは原因不明の体調不良、40代女性起業家が更年期夫婦向けサービスに込める想い
・オンラインヨガ、セルフヘアカラー、荷物管理、リモートワークを快適に過ごすサービスの需要増
・三密によるクラスターを回避、withコロナ時代のコールセンターとは
・安定志向だった私が共同創業者に、ヘルスケア×フードテックの可能性
・11年の受付業務経験を経て開発、2500社が導入する無人受付システム「RECEPTIONIST」
カテゴリー: セキュリティ
タグ: エンジニア(用語)、データ漏洩(用語)、ハッカー / ハッキング(用語)
引用先はこちら:コロナ禍の中問われるサイバーセキュリティ課題、エンジニア向け学習サービスに注目が集まる