サイバー攻撃の巧妙化や被害の深刻度が増している。脅威に対抗するセキュリティーソリューションは進化を続けているが、企業を守るには技術的な備えの強化だけでなく、人材育成や従業員の意識向上が欠かせない。「人への投資」をキーワードに最新の対策を探ると、攻撃を“再現”する手法が浸透していることが浮かび上がった。サービスを提供する事業者に狙いを聞いた。
（取材・文／春菜孝明）
 

サイバージムジャパン
スキルギャップを可視化　拠点ごとの実践訓練提供

　11万人ーー。ITセキュリティー団体の米ISC2が2023年に発表した、日本におけるセキュリティー人材の不足数の試算だ。需給ギャップは過去最大という。専門人材の育成が喫緊の課題となっている。

　セキュリティー教育プログラムを展開するサイバージムジャパンは7月、「セキュリティ人材アセスメントサービス」を始めた。セキュリティー人材の経験値について、「ネットワーク」「アクセス制御」といった項目ごとにレーダーチャートでまとめ、同社で定めた業務や役割別に必要なスキルとの差異を可視化する。単発のスキル評価にとどまらない育成サイクルの起点として位置づけ、評価後にはギャップを埋める育成プランの提示や、オプションでトレーニングを提供。効果測定テストとフィードバックを通じて成長を促し、アセスメント結果の精度を高めている。
 
　提供開始の背景について、取締役の北原昌樹・トレーニング事業本部長は「多くの企業が人材の育成に課題を感じている」と語る。セキュリティー人材の必要性を認識し、有資格者がいる企業でも「どのレベルまで、どう育成すればよいか」が分からないケースが多いという。

　インシデント対応の実績がなければ即戦力として活躍できるか未知数な上、「実際の現場でセキュリティーの経験を積むことは難しい」と、長谷部一泰・トレーニング事業部長は指摘する。実務を担当しても、サイバー攻撃を受けたことがなかったり、セキュリティーソリューションが自動で防御したりすると、対応力が乏しくなるといったジレンマがある。こうした状況を受け、育成方針や人材配置に役立つ客観的な判断材料を提供するためのサービスの開発に至った。
 
　同社が提供するトレーニングは、インシデントレスポンスの流れを疑似的に再現するもので、実務に生かせる人材育成を目指している。こうした実践型トレーニングの拠点が「トレーニングアリーナ」だ。リアルタイムのサイバー攻撃を体験し、攻撃手法と対応策を体系的に学び、現場感覚を身につける。ATMのデモ機を用いた金融機関向けのトレーニングなど、業種特化型のコンテンツも用意する。
 
　各地の地場企業などと共同で、全国に拠点を開設しているのも同社の特徴。サービスの開発元であるイスラエルのCyberGym Control（サイバージムコントロール）では直販だったが、日本の商慣習であるパートナーとの協業にフィットした格好だ。協業した企業はトレーニングをてこに集客できる、同社としてもセキュリティートレーニングの「裾野を広げる一環」（北原取締役）になり、相乗効果を見込めるという。

　サイバー脅威の多角化とセキュリティー概念の多様化が進む中、トレーニング内容にどう反映させるか。北原取締役はグループ企業としての強みを挙げる。同社はセキュリティーコンサルティング事業などを手掛けるバルクホールディングスの傘下で、ぜい弱性診断などの事業会社もあり、「セキュリティーのディフェンシブとオフェンシブを合わせて一気通貫で提供できる」と強調する。グループは10月6日に商号変更し、同社も「VLCセキュリティアリーナ」に社名が変わる。サイバージムはサービス名として存続する。

グローバルセキュリティエキスパート
全社員に届く教育　企業防衛の土台に

　サイバー攻撃は、いつ、どこから、誰を狙ってくるか分からない。専門人材の育成だけでなく、全従業員のセキュリティー意識を高めることが不可欠だ。

　グローバルセキュリティエキスパート（GSX）は企業向けのセキュリティー事業に従業員対象の訓練サービスを組み込む。コンサルティングやぜい弱性診断、セキュリティーソリューションの導入・運用などのワンストップ支援を手がける。
 
　需要が高いトピックは、情報の管理方法だという。日常的に取り扱うファイルは外部からの攻撃対象になり得るため、慎重な管理が必要だと認識しながらも、やりとりの中で生まれる途中経過の未完成品やコピーについて、正規のフォルダーとは別の場所に置かれることが多い。成果物の取り扱いのルールが甘かったり、ルールはあっても徹底されていない。こうしたケースについて、執行役員でサイバーセキュリティ事業本部コンサルティング統括部の藏谷なほみ・統括部長は「ルールの周知という気づきを踏まえて訓練を組み立てていく」と説明する。

　教育プログラムは単なる知識提供ではなく、企業ごとの社内ルールに応じた柔軟なカスタマイズを重視している。さらに、全従業員へのアプローチは階層や役職別に行う。例えば、経営層には組織全体の情報資産管理や意思決定、部門長には自部門のデータの取り扱いや部下の教育責任、情報システム部門には技術的なぜい弱性への対応や緊急時の対応手順など、それぞれの立場に応じたリスクが存在する。

　同社はこうした役割ごとの責任とリスクに対応した教育内容を設計。普段はPCで業務を行わない従業員や、パート、高齢者らにも「仕事上のリスクというよりも、自分自身や家族が被害に遭う可能性があることを伝える」（同統括部の出本圭介・第一コンサルティング部マネージャー）ことで、セキュリティー意識向上の波及に努めている。

　全従業員へのアプローチの柱が、標的型メール訓練の「トラップメール」だ。実際の攻撃で使われる構成をまねた訓練メールをユーザー企業の従業員に送信。URLや添付ファイルへのアクセスなどの行動を記録し、従業員のセキュリティー意識の現状を把握する。

　実在する企業や団体を装ってクレジットカード情報や個人情報を窃取するメール攻撃は国内で増えている。生成AIによって日本語の文面を作りやすくなったという指摘もある。容易に攻撃できる環境が整ったことにより、対策が急務になっている。

　導入企業の運用状況について、同統括部の岩谷典美・第二コンサルティング部SATマネージャーは「（訓練を）イベント化している企業はうまくいっている」と説明する。開封率を部署ごとに「見える化」すると、競争意識が生まれるという。訓練後にはアンケートを実施し、開封理由や対応行動を分析。属性別の集計を通じて教育効果を表し、次回の施策に反映する。単なる結果の通知だけでなく、行動の背景にある認識のずれを見ることで、教育の質を担保している。

　サプライチェーン上の弱い部分を狙った被害が後を絶たない中、グループ企業向けにメール訓練などを実施する案件が増えているという。取引先に勉強会を案内し、意識向上を促す事例もある。

　同社でもITやセキュリティー人材向けの教育サービスを提供する。専門人材の育成から一般従業員の意識改革、サプライチェーン全体のリスク低減まで、企業のセキュリティー体制の総合的な底上げを支援している。

外部人材の活用もIPAが実証事業

　専門人材の育成も全社的な意識改革も理想的な取り組みだが、現実にはコストの問題や、適切なセキュリティーツールの選定など、人的投資の前に直面する課題が少なくない。情報処理推進機構（IPA）セキュリティセンター普及啓発・振興部普及啓発グループの芳賀政伸氏は「中小企業はセキュリティーに無関心ではない。ただ、人がおらず、お金がなく、取り組めていない場合が多い」と実情を明かす。

　制約がある状況の打開には、IPAが24年から25年にかけて実施した、中小企業とセキュリティー人材をマッチングする実証事業がヒントになりそうだ。相談会で課題を聞き取り、情報処理安全確保支援士が企業を訪問。情報資産の洗い出しやリスク分析、クラウド利用の安全性の周知など五つのテーマに沿って指導した。

　企業側の反応として「現状の整理ができ、今後やるべきことが明確になった」「規定（マニュアル）が整備できた」などの成果があったという。芳賀氏は「何を一番に守らないといけないか、対策の優先順位付けに専門家の助言が有効だった」と振り返る。同グループの小野塚直人・グループリーダーは「人が少ないながらも担当者を決めたり、ルールをつくったりといった取り組みが第一歩になる」と話す。

　このような現場の声は、セキュリティーベンダーやパートナーにとっても現実的な対策を提案する手掛かりになる可能性がある。