サイバーセキュリティ教育を多様なレイヤーの人に届けるプロジェクトが発足：Hack＋Academyで「Hackademy」、経営層向けの説明のコツも

　セキュリティ技術者の不足や、経営層のセキュリティに対する理解の低さなどが指摘される昨今、有志がサイバーセキュリティ教育に関するプロジェクトを立ち上げた。

　プロジェクトの名称は「Hackademyプロジェクト」だ。アスタリスク・リサーチの岡田良太郎氏と、「もしも社長がセキュリティ対策を聞いてきたら」などの著書がある蔵本雄一氏が2016年3月18日に立ち上げた。文字通り「Hack」と「Academy」を組み合わせた造語で、技術のみならず、マネジメントも含めた幅広いレイヤーの人々を対象にサイバーセキュリティに関する教育を展開することを目的に、インターネットでeラーニング形式のコンテンツを提供する他、ワークショップも開催していく。

　特徴の一つは、低価格でサイバーセキュリティに関する学習が可能なことだ。セキュリティ人材育成の機運が盛り上がっていることを背景に教育サービスが多数立ち上がっているが、その多くは拘束時間が長く、金額も数万〜十数万といったレンジだ。これに対しHackademyプロジェクトでは、1コンテンツ6000円という比較的低廉な価格でeラーニングコンテンツを提供する。「セキュリティの知識を手の届くところに持ってきたい」と岡田氏は述べる。

　第1弾として、Udemy上で「サイバーセキュリティ〜ハッキングと防御 ビギナー編」という動画コンテンツの提供を開始した。このコンテンツでは主に標的型攻撃の手口を紹介している。それも、最初の糸口となるメールからの感染だけでなく、IDとパスワードが盗み取られ、社内ネットワークで侵害が拡散し、最終的にActive Directoryサーバが侵入されるまでの一連の流れを解説している。

Hackademyプロジェクトが公開した「サイバーセキュリティ〜ハッキングと防御 ビギナー編」

　「どのようにやられてしまうかを知ることで、どうすれば守れるかの理解を深めることができる。『百聞は一見にしかず』というが、どのような手だてで侵入されるのかを実感し、その上で本質的に効果のある対策とない対策を知ってもらいたい」と蔵本氏は述べた。

　コンテンツではより深く理解したい技術者向けに、Kali Linuxのインストール手順やMetasploitの使い方など、自身で攻撃手法を再現し、検証するための環境構築手順も解説する。

経営層に伝わる言葉で説明するコツも伝授

　Hackademyプロジェクトのもう一つの特徴は、エンジニア向けの内容だけでなく、ビジネスの観点からセキュリティを取り上げるコンテンツも用意することだ。

　サイバーセキュリティの必要性が指摘される一方で、「経営の現場、ビジネスの現場にセキュリティが落ちてきていない」（岡田氏）、「セキュリティ担当者からはしばしば『自分が何度も危ないと言っているのに、経営層が分かってくれず、予算が落ちてこない』という声を聞く」（蔵本氏）というのが現状だ。そこでプロジェクトでは、経営層とのコミュニケーション方法やセキュリティマネジメントに関する学習コンテンツも用意するという。

　具体的には、セキュリティリスクを「数字」に落として見える化する方法や、相手に応じた言葉の選び方、使い分け方などを解説する予定だ。「IT担当者と経営層が、互いに通じるプロトコルを使って話していかなければならない。最近ではランサムウェアが怖い、怖いといわれるが、自社のビジネスにどのくらいのダメージがあるかを明らかにした上で、予算投資の優先順位度を付けられるよう支援していく」（蔵本氏）

　岡田氏は、「病気に対する衛生的なアドバイスのように、どんなきっかけでどのような被害が生じる恐れがあるかを解説し、対策とともに示していきたい。技術者側はビジネスのことをよく知らず、経営層から見ると技術はブラックボックス化している。今夜（一晩で）分かって、明日の役員会での提案に間に合うような内容を提供する」と述べた。将来的には経営者向けだけでなく、営業やマーケティング、出張者など、さまざまな「ロール」に合わせてセキュリティを翻訳し、伝えていきたいという。

Hackademyプロジェクトの岡田良太郎氏（左）と蔵本雄一氏（右）。大学で講義を行った経験なども反映する他、「守っていいとも（仮）」としてさまざまなゲストを招くことも検討している

　Hackademyプロジェクトは企業の枠を超えたオープンなプロジェクトとして展開していき、趣旨に賛同するセキュリティ研究者の参加も歓迎する。今後は、Webアプリケーションを取り巻く脆弱（ぜいじゃく）性と安全なWebアプリの作り方、スマートフォン向けアプリのセキュリティなど、さまざまなコンテンツを作成し、公開していく予定だ。