攻撃も防御も社長の説得術も伝授、セキュリティの有志が「Hackademy」創設（2/2 ページ）

[國谷武史，ITmedia]

　4月にスタートした「ビギナー編」は受講対象を限定していないが、業務部門の担当者と技術部門の担当者それぞれに役立つ内容が盛り込まれている。

　3時間半ほどのコンテンツのうち、前半は業務部門の担当者向けた内容だ。サイバー攻撃の仕組みと対策ポイント、セキュリティ対策をマネジメントするためのポイントなどついて分かりやすく解説する。

サイバー攻撃の流れの例。攻撃者は段階的に侵入してくる

　例えば、典型的なサイバー攻撃の場合、攻撃者はなりすましメールを送り付け、相手をマルウェアに感染させる。マルウェア感染先のコンピュータを遠隔操作して社員のシステム権限などを盗みながら、それを使って侵入先を広げつつ機密情報のありかを探し、機密情報を持ち出すという段階を踏む。

　蔵本さんによれば、対策では攻撃の各段階に合わせて防御手段を多層的に講じ、ある段階の防御策が突破されても、別の段階の防御策で攻撃の進行を食い止めるようにする。100％の防御対策を無理に目指すより、攻略に手間がかかる防御構造の方が効果的だという。「もし翌朝の取締役会でセキュリティ対策を説明しなければならなくなっても、前半だけを見れば説明に必要なポイントが分かる内容にしています」（蔵本さん）

　また、後半の内容ではサイバー攻撃を行うための環境や攻撃者が実際に使うツールやテクニックを紹介。攻撃者が遠隔操作ツールで乗っ取り先のコンピュータからIDやパスワードを盗む様子や、盗んだIDやパスワードを使って別のコンピュータへ侵入先を広げる様子などを見ることができる。受講者自身が攻撃の様子をデモンストレーションできる方法も紹介している。

「Pass-the-hash攻撃」を実行しているところ。実際の攻撃手法を見ることで、被害につながる流れや防御ポイントを理解しやすい

　岡田さんによると、攻撃方法を見せてしまうことで逆に悪用される懸念もあるが、eラーニングに登場するツールやテクニックは攻撃手法を学ぶ目的にしたもので、実際には悪用できないとのことだ。

　この他にも、サイバー攻撃などの脅威が事業に与えるリスクを具体的に算出する方法や、セキュリティ対策状況を内外の関係者に分かりやすく説明する方法なども解説している。

　Hackademyの受講料は6000円で、eラーニングに加えてワーキングショップにも参加できる。4月は下旬に2回のワーキングショップ開催を予定し、ディスカッションを通じてより実績的なセキュリティ対策の知識を受講者同士が共有できることを目指すという。今後はランサムウェア対策やWebアプリを安全に開発する方法など、テーマごとのコースも提供したい考えだ。

　岡田さんも蔵本さんも普段は本業を抱え、Hackademyは個人的な活動として取り組む。本業では難しいアクションも個人の立場でなら起こしやすいことがあるためだ。岡田さんは、「Hackademyの主旨に賛同していただけるセキュリティエキスパートの皆さんの協力も募りたい」と話している。

eラーニングの動画はリハーサルなしの本番勝負で収録。岡田さんと蔵本さんの軽快なトークはセキュリティの初心者にとっても分かりやすい