GSXと東京電機大学は産学連携によりホワイトハッカー育成講座を2025年春より開講。同大学がEC-Council「CEH(認定ホワイトハッカー)」を日本で初めて採用した理由とは？

本件に関するプレスリリース｜2024年11月28日配信｜GSX

＜左：東京電機大学 未来科学部情報メディア学科教授 国際化サイバーセキュリティ学特別コース責任者 寺田真敏氏＞
＜右：（インタビュワー）：GSX CCO/コーポレートエバンジェリスト 武藤耕也＞


　東京電機大学は、2015年に国際化サイバーセキュリティ学特別コース『CySec(サイセック)』を立ち上げる等、大学院生だけでなく、多くの社会人が最先端の国際的サイバーセキュリティ学を習得し、高度な情報セキュリティ能力を有する人材として国際的に活躍できるよう支援をしています。


2025年4月にはCySec専攻プログラム「CySec Expertサイバーオフェンスコース」の開講を予定。同校とグローバルセキュリティエキスパート（以下GSX）が連携し、攻撃者目線でのサイバー攻撃を理解したセキュリティ人材育成に取り組んでいきます。今回、同講座の責任・監修を務める寺田教授にお話を聞きました。

　2018年頃から、サプライチェーンを狙った攻撃が大きな被害を引き起こし、今では主要な脅威として顕在化しています。日本国内でも、団体や企業へのサイバー攻撃による被害が後を絶ちません。2021年米国石油パイプライン事案をきっかけに、米国ではサイバーセキュリティ強化の大統領令が公布されました。昨年には主要各国が、Secure by Design・Secure by Defult(※1)原則に関する国際共同文書に署名するなど、これまで以上に、サイバーセキュリティ対策の必要性が高まっています。


※1　Secure by Design・Secure by Defult
ソフトウェア作成業者に対して、顧客にもたらされるセキュリティの結果に責任を負うこと、徹底した透明性と説明責任を負うこと、これらをトップ主導で実施すること、という3つの原則に重点を置いた提言。2023年10月、米国サイバーセキュリティ・インフラストラクチャー安全保障庁（CISA）等が策定した「セキュアバイデザイン・セキュアバイデフォルトに関する文書」の改訂版に、日本政府を含め13カ国の機関が共同署名した。
出典：

　これは「モノづくり」全体の起点となる「サプライチェーン」それぞれを含めた、関係者、各所すべてにおいて、「どのようなリスクがあるのか？」「どのようにすれば悪用できるのか？」といったことを、 もっと防犯と同じように、犯人の目線で検証していく必要があることを意味します。


　私（寺田教授）が「モノづくり」に関わる方々に向けて、サイバーセキュリティに関する講義を実施する機会があり、セキュリティのルールや”べき論”だけでなく、孫子の兵法「彼を知り己を知れば百戦殆うからず」(※2)　に習い、犯人がどのようなことをして、犯行（攻撃）を行うか？という、攻撃者視点での、犯行手口についても説明しました。質疑応答で受講者のひとりから、「これまでは、どうやって防衛するかという話は、何度か聞いたことはありましたが、攻撃者視点でサイバー攻撃を説明されたのは、今回が初めてで、とても勉強なりました。」という感想を頂いたのです。この言葉が、「CySec Expertサイバーオフェンスコース」を進める際の後押しとなりました。

寺田　真敏氏
東京電機大学 未来科学部情報メディア学科教授
国際化サイバーセキュリティ学特別コース責任者


※2　孫子の兵法「彼を知り己を知れば百戦殆うからず」
敵と味方、両方についてよく知っていれば何度も戦っても負けないという意。
孫子の兵法書に記載された中国で古くから伝わることわざ。

　管理的な側面、技術的な側面の両方に精通し、経営層と実務者層を仲介する『橋渡し人材』、そんなバランス感覚を持った人材を育てていきたいと考えています。具体的には、経営層に対してサイバーセキュリティを解説することができ、実務者に対して経営的判断を理解させる役割を担います。そして、CySecは、将来のCSO(Chief Security Officer:セキュリティ最高責任者)やCISO(Chief Information Security Officer:情報セキュリティ最高責任者)を目指す方のキャリアパスになるべきと考えます。


　これまでCySecでは、管理分野のグローバル資格であるCISSP(※3)を主体とした講座を開講してきましたが、技術分野のグローバル資格であるCEH(Certified Ethical Hacker：ホワイトハッキングに関する知識・攻撃手法などのスキルを習得する講座)を主体とした講座を開講することにより、『橋渡し人材』層を充実させること、できるならば、経営層自身、実務者層自身が、『橋渡し人材』層として活躍するための土台作りをしたいと考えています。


　今回、カタカナを使った「モノづくり」と表現した理由には、製品やサービスそのものだけではなく、その製品やサービスを作る中で新しい開発方法を考えること、より良くするサービスを取り入れることに加えて、製品開発に携わる人材の育成にも目を向けたいという思いがあります。


※3　CISSP
国家安全保障局がセキュリティ従事者への推奨資格としている、国際的な情報セキュリティ・プロフェッショナル認定資格

　製品開発における上級エンジニアやPSIRT（Product Security Incident Response Team：製品セキュリティインシデント対応チーム）の上級チームリーダーを目指す方には、将来的に管理面と技術面の両方に通じた「橋渡し人材」としての役割を担い、さらにこの能力を活かして経営層や実務者層でも活躍していただきたいと考えています。

武藤　耕也
グローバルセキュリティエキスパート株式会社
CCO／コーポレートエバンジェリスト

　Cysec-Expertは、「モノづくり」と「彼を知り己を知れば百戦殆うからず」を意識した開講科目です。「彼を知り」については、攻撃者が使うサイバー攻撃手法を体系的、かつ実践的に学ぶことで、手口を理解し、「攻める側の視点」を、「己を知る」については、製品開発プロセスにおけるセキュリティ対策の重要性と、その実践方法を「守る側の視点」から学ぶという両面から構成しています。受講者は、「攻める側の視点」とその攻撃手法を学ぶことで、サイバー攻撃のリアリティを感じるはずです。攻撃者の手法を先回りして防御する環境を構築するための見識を養います。


　安全な「モノづくり」を考えたとき、「手口を知り」、「攻撃者の目線」を持つことで、今まで分からなかった「悪用方法」や「攻撃手法」を見つけ出すことができるようになります。これは、今までモノづくりの文脈で語られていた「安全管理」や「品質管理」の話と同義です。異なるのは、この「安全」や「品質」は、サイバー空間においても存在し、その管理が必須となってきた、という点でしょう。この流れで、前提知識となるのは「サイバー攻撃に関する手法を体系的かつ俯瞰的に理解していること」です。
　安全管理と品質管理に攻撃手法の理解が欠かせないならば、モノづくりに関わる全ての企業や組織は、組織内に「そういう人材」（ホワイトハッカー）が必要になっている、ということでもあります。ホワイトハッカーは、今までは、必要な時に、セキュリティベンダーに頼む（外注する）人材であり、社内に必要な人材とは見なされていませんでした。


　Cysec-Expertサイバーオフェンスコースでは、まさにこの内容を学ぶことで、Secure by Design・ Secure by Defult を先導するために欠かせない「攻撃者の考え方」と「悪用方法を見つけ出すスキル」を習得することを目的としています。


またこの講座はCEHの公式トレーニングコースを基にしています。そのため、「モノづくり」だけでなく、広くIT企業やセキュリティベンダーでホワイトハッカーとして活躍したいと考えている若手のエンジニアにとっても、うってつけのコースになるでしょう。

　2018年頃からサプライチェーンセキュリティに関連するサイバー攻撃が脅威として顕在化し、対策への注目度が高まっています。しかし、サプライチェーンセキュリティの起点とも言える「モノづくり」への注目度はまだまだ低く、前提知識として必要なサイバー攻撃を適切に学べる場の整備もまだ十分とは言えません。


そのためには、サプライチェーンの起点とも言える「モノづくり」サイバーセキュリティを学び、国内でサイバー攻撃手法を適切かつ体系的に学べる場を整備することが必要不可欠です。これらをCySecは人材育成に関わる学術機関の一翼として取り組んでいます。


　また東京電機大学はCySecの運営母体であり、日本の高等教育機関として初めて大学院生および社会人向けに国際標準のサイバーセキュリティコースを開講したパイオニアです。これにより、日本におけるセキュリティ人材の育成に多大な貢献を果たしました。CySecがCISSP対応コースをいち早く開講したことで、CISSPの国内知名度向上にも大きく寄与しています。


　日本においては、CISSPや情報処理安全確保支援士など、「己を知る」ための教育は充実しつつあり、資格保持者も徐々に増えてはいるものの、攻撃手法や手口を体系的に理解し、悪用方法を見つけ出す「敵を知る」ための教育は、まだまだ途上にあると言わざるを得ません。


　この状況を打破するため、東京電機大学がCysecとして「敵を知る」ための EC-Council(※4)国際標準コースCEHを採用したことは、日本にとって極めて大きな意義があると考えます。


※4　EC-Council International社（電子商取引コンサルタント国際評議会、以下、ECC）は、2003年にアメリカに設立された情報セキュリティおよびe-ビジネスの個人スキルを認定する組織。

　グローバルなCSIRTの活動に関わる中で、各国における人材育成にも関心を持っています。特に、アジア各国の大学では、サイバーセキュリティ技術者の育成を目的に、CEHをベースとした講義が行われているとの情報をよく耳にします。このような状況から、CEH(※5)がグローバルな基準であると認識し、活用すべきであると判断しました。


CEHの強みは、攻撃者が使用するサイバー攻撃手法を体系的に学ぶことができる点と、演習環境を活用して実践的に学ぶことができる点にあります。特に、攻撃手法は年々進化しているため、グローバルな動向を踏まえた学びの場が求められます。その点CEHは、そのようなニーズに応える教材や演習環境を継続的に維持・改善していることです。

※5　CEHは、EC-Councilのコースウェアのひとつ。CEHのコースウェアでは、5日間を通してサイバー犯罪を引き起こす攻撃者の思考や手法を座学で学習するだけではなく、iLabs（アイラボ）という仮想環境で実際に手を動かすことによって、先回りして防御できる環境を構築する技術を身に着けることができるようになる。

　「モノづくり」サイバーセキュリティを進めて行くためには、その基盤となるサイバー攻撃手法を適切かつ体系的に学べる場の整備が不可欠です。立ち上げは学術機関が主導するとしても、普及と定着を進めるには、国内での産官学連携が欠かせません。そのためには、国内においてサイバー攻撃手法を学べる場が「当たり前」に存在することが重要です。最初は海外の知見を導入する形で始めたとしても、次のステップでは、日本の文化やニーズに合わせて進化させ、根付かせることが求められます。ECCジャパンアドバイザリーボードには、その取り組みの出発点となること役割が期待されています。


　GSXは、日本国内で最もサイバーセキュリティ教育をリードしている企業と認識しています。サイバーセキュリティ教育の重要性が増す中、GSXはその分野でリーダーシップを発揮しています。CySecの人材育成への取り組みをGSXがより広げてくれることを期待しています。

　「彼を知り己を知れば百戦殆うからず」という言葉には、防御の手法に重点を置いてきた従来のサイバーセキュリティ対応の枠を越え、攻撃者の視点や攻撃手法を学ぶ重要性も含まれます。これを学ぶことは、さながら「攻撃と防御を身に着けた武道家の視点」に通じるものといえます。


　一方で、武道を修める人たちは「礼にはじまり、礼に終わる」という言葉に象徴されるように、技術だけではなく礼儀や礼節も重んじます。ただ技術を磨くだけではなく、礼儀作法を通じて、技術を闇雲に使わない抑制も身につけていきます。同様に、高度なサイバーセキュリティ技術、とりわけ攻撃的な技術を学ぶということは、「サイバーセキュリティ道」とでも言うべき姿勢を求められるものです。それは、技術を社会の進歩と発展に活かすだけではなく、技術者倫理に基づいた自己抑制を備えることを意味しています。


　攻撃手法を理解することには、重大な責任が伴います。すなわち、その責任を果たす覚悟と能力がある者のみが攻撃手法を学ぶことが許されます。


　今後のサイバーセキュリティ教育においては、「サイバーセキュリティ道」の普及啓発を組み合わせながら進展できると良いと考えています。

　本講座は、「彼を知り己を知れば百戦殆うからず」の理念をもとにした「モノづくり」サイバーセキュリティ講座です。サイバーセキュリティスキルを身に付け、日本のセキュアな「モノづくり」を実現していきましょう。

CySec – 国際化サイバーセキュリティ学特別コース｜東京電機大学

CEH（認定ホワイトハッカー）｜EC-Council公式トレーニング｜GSX

学校法人東京電機大学

グローバルセキュリティエキスパート株式会社