攻撃も防御も社長の説得術も伝授、セキュリティの有志が「Hackademy」創設(2/2 ページ)
攻撃の手口を知れば、対策が分かるし、経営層にも説明できる――そんな学びの場を提供しようと、セキュリティ業界の有志による教育プロジェクト「Hackademy」がスタートした。
4月にスタートした「ビギナー編」は受講対象を限定していないが、業務部門の担当者と技術部門の担当者それぞれに役立つ内容が盛り込まれている。
3時間半ほどのコンテンツのうち、前半は業務部門の担当者向けた内容だ。サイバー攻撃の仕組みと対策ポイント、セキュリティ対策をマネジメントするためのポイントなどついて分かりやすく解説する。
例えば、典型的なサイバー攻撃の場合、攻撃者はなりすましメールを送り付け、相手をマルウェアに感染させる。マルウェア感染先のコンピュータを遠隔操作して社員のシステム権限などを盗みながら、それを使って侵入先を広げつつ機密情報のありかを探し、機密情報を持ち出すという段階を踏む。
蔵本さんによれば、対策では攻撃の各段階に合わせて防御手段を多層的に講じ、ある段階の防御策が突破されても、別の段階の防御策で攻撃の進行を食い止めるようにする。100%の防御対策を無理に目指すより、攻略に手間がかかる防御構造の方が効果的だという。「もし翌朝の取締役会でセキュリティ対策を説明しなければならなくなっても、前半だけを見れば説明に必要なポイントが分かる内容にしています」(蔵本さん)
また、後半の内容ではサイバー攻撃を行うための環境や攻撃者が実際に使うツールやテクニックを紹介。攻撃者が遠隔操作ツールで乗っ取り先のコンピュータからIDやパスワードを盗む様子や、盗んだIDやパスワードを使って別のコンピュータへ侵入先を広げる様子などを見ることができる。受講者自身が攻撃の様子をデモンストレーションできる方法も紹介している。
岡田さんによると、攻撃方法を見せてしまうことで逆に悪用される懸念もあるが、eラーニングに登場するツールやテクニックは攻撃手法を学ぶ目的にしたもので、実際には悪用できないとのことだ。
この他にも、サイバー攻撃などの脅威が事業に与えるリスクを具体的に算出する方法や、セキュリティ対策状況を内外の関係者に分かりやすく説明する方法なども解説している。
Hackademyの受講料は6000円で、eラーニングに加えてワーキングショップにも参加できる。4月は下旬に2回のワーキングショップ開催を予定し、ディスカッションを通じてより実績的なセキュリティ対策の知識を受講者同士が共有できることを目指すという。今後はランサムウェア対策やWebアプリを安全に開発する方法など、テーマごとのコースも提供したい考えだ。
岡田さんも蔵本さんも普段は本業を抱え、Hackademyは個人的な活動として取り組む。本業では難しいアクションも個人の立場でなら起こしやすいことがあるためだ。岡田さんは、「Hackademyの主旨に賛同していただけるセキュリティエキスパートの皆さんの協力も募りたい」と話している。
関連記事
- 意外にあるぞ、無料で強力なセキュリティの教科書
こんなに分かりやすくセキュリティについて解説していて、無料でいいの!? 今回は、そんな驚くべきセキュリティコンテンツを紹介します。 - 世界に通用するセキュリティのプロを発掘せよ SECCON 2015が始動
セキュリティ競技会「SECCON」が今年も実施される。過去最高の参加者を見込むとともに、海外の実力者たちとの勝負も見どころになりそうだ。 - 専門家も思わず開封してしまったなりすましメールや迷惑メール
多くの人にとって身近なメールは、サイバー攻撃で最も使われる“道具”の1つ。実際に届いた「なりすましメール」や「迷惑メール」を紹介しつつ、思わず筆者も開封してしまったケースも交えて解説したい。 - 情報セキュリティ教育をおろそかにする弊害
さまざまな情報セキュリティ対策のアプローチの1つとなるセキュリティ教育。今回はその重要性と課題を洗い出し、課題を解決するための方策を考察していきます。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.