セキュリティの脆弱性の当たり年に「コンピュータ上の安全」と向き合うために学びを決意。

東京電機大学の国際化サイバーセキュリティ学特別コース（CySec）を受講したのは2015年度です。大学からの説明では最短1年、最長4年とありましたが、当初は受けられるだけ受けてみようと思って1年計画で履修しました。当時は6科目で、火曜日、金曜日、土曜日が授業でした。

受講したそもそものきっかけは、受講した前年の2014年がセキュリティの脆弱性の当たり年だったというのがあります。私たちがホームページを見るときにhttps://など暗号化通信で守られていて、それで盗聴を防いでいますが、その暗号化のしくみそのものに脆弱性がありました。それと「Shellshock」というコンピュータの根幹にかかわる技術にバグが見つかった。いずれも安全だと思って信頼していたものに脆弱性が見つかり、得体のしれない気味悪さを感じました。ただ、怖い怖いと不安だから使わないようにしてしまうとかえって恐怖心が増してしまうと思い、だったらいったん向き合って、「セキュリティ」「脆弱性」、ざっくり言うと「コンピュータ上の安全」って何だろうということに一度向き合ったほうがいいのではないかと思うようになりました。
そんなときに、東京電機大学の卒業生である弊社の社長の紹介でCySecが開講されることを知りました。

調べてみるとCySecは、情報セキュリティの技術そのものだけではなくて、制度とか法律とかそういうものが学べそうだということが魅力でした。技術だけでしたらインターネット上で必要な情報を自分自身で収集して学んでいけると思っていたんですけれども、「サイバーセキュリティの技術領域の教育のみではなく、法律・外交・心理・倫理等の分野等」と、人と人との関係にも着目した分野も教えてくれるという点が僕の強く興味を引いたところです。セキュリティの分野を学ぶにあたって、どういう分野があって何をどう調べたらよいのか全く見当がつきませんでした。それらを体系的に両面教えてくれるというのが非常にいいなと思い受講を決めました。

コミュニティのつながりができたことが講座を受け続けるのにプラスに働いた。

プログラムは非常に期待以上でした。当時、セキュリティを専門にした仕事はしておらず、セキュリティのことを学ぼうと思ったときに、周りにセキュリティのことを志したり学んでいる仲間がいたわけではなかったので、まずは学びの場としてCySecを選びました。ふたを開けてみると受講生の人数が多くて驚きました。院生30名、社会人50名くらいの規模感だったかな。年代も50代半ばから20代の院生まで幅広くいました。

講師陣も幅広く非常に多くの方がいらっしゃって、1科目でも、企業の第一線で活躍されている方が３～４人くらい交代で講師を受け持ちます。受講当初は、セキュリティの業界にどのような方が働いているかということは全く知りませんでした。でも、CySecで学んだあとに、都内のセミナーに行ってみると「教えてくれたあの先生が登壇している！」ということで有名な方だったんだということが後になって分かったことがあります。

講座は技術的なものが半分、マネジメントやガバナンス、法律などの技術以外のものが半分ありました。特に社会人で技術とマネジメントの両方をカバーして働いている人はまずいないと思います。僕は技術を専門にしていたので、マネジメントをやっている人にいろいろ教えてもらったりしました。授業の先生に教えていただく以外にも社会人同士で教え合うという形ができているというのは、これも学校に通って良かったと思う部分です。 先生が教えてくれることをテーマに生徒同士で自分の会社はこうしていると教えあえるという、その座組みが話しやすくていいですよね。

働きながら通う大変さ、上司の理解で乗り越える。

社会人なので働きながら通うというところはなかなか大変でした。まず最初に働きながら１年間通いますよということを会社に理解をしてもらうというところですね。
当時自分が上司にどう言ったかというと、「自分たちの会社で作り上げたシステムが悪意ある攻撃に対して安全ですと自分自身で言えるようになりたいんです、と。そのためにはセキュリティ業界とはどういうもので、どういう攻撃が来て、どういう守り方をして、といったことが説明できるようになりたい。」と説得した感じです。

働いていると残業とかありますよね。「残業が実質１年間はできなくなります、できなくなっても成立するような形で仕事をやっていきたい。」ということを上司に伝え、うまく調整していただいたというところがあります。「学びたい」という熱意が上司に伝わったのではないかと思います。

なお、会社からの金銭的な補助は、当初は無かったです。しかし、一年通い終わって修了しましたと社長に報告したら、では学費くらいは出そうということで、支援してもらいました。

セキュリティ専門家として社内から相談を受けるように。

自ら働きながら専門性のあるコースを１年間修了したということで社内で表彰され、セキュリティの専門家だと認知されるようになりました

情報システムを作る際に新しい技術をいろいろ取り入れてシステム開発をしよう、新技術に取り組んでいこうというプロジェクトが会社の中で色々と動いたりするんですけれども、その際にもセキュリティの側面でどういうリスクがあるのかという検討ができるようになったというのがあります。

他部署から「自分たちが新しいサービスを立ち上げるんだけれども、どういう面を気を付けなければいけないのか、どういう対策をとっていけばいいか。」という相談に乗る機会がずっと増えましたね。 また、社内講師としてセキュリティのレクチャをしたり、システム開発をする上でセキュアコーディング（安全なプログラムのコードの書き方）というレクチャをするということがありました。

難関資格のCISSPを取得し、活躍の場は社外にも広がる。

CySecを受けるまではCISSPという資格を知らなかったのですが、実際CySecを受講してその重要性が分かったのでCySecを修了した翌年、資格試験の勉強をして合格しました。短期間で合格できたのはCySecでCISSPの知識分野をベースにしたカリキュラムが組まれているからで、CySecで学んだことが、多少表現は違ってもCISSPのトレーニングテキストに書かれていることがよくあり、非常にありがたかったです。

合格後はCISSPの資格保有者のコミュニティに参加して、資格保有者同士で勉強会を開催して、そこでさらにさまざまな人と知り合うことができました。コミュニティではセキュリティの用語集を纏めようという取り組みを一緒にやったり、海外のセキュリティのカンファレンスに参加して最新の知見を持ち帰って皆さんに共有するということをやっています。

講座を受けて、自分自身の変化として感じているひとつとして、視野が広くなったということが挙げられます。 技術革新や国際情勢にあわせるようにセキュリティの脅威はどんどん形を変えていて正体が掴めない領域は益々増える。 そんな中でも、暗闇の中を進んでいく際に、CySecの講師陣やCISSP資格保有者のような様々な分野の専門家があちこちで闇を照らしているというイメージ、ひとりじゃない心強さを得ることができるようになりました。 本当だったら、自分が照らす側として光り輝いていれば理想的なんだろうなと思うのですが、なかなかそこは一歩ずつという感じで、いずれ世の中を照らしていきます。

東京電機大学 国際化サイバーセキュリティ学特別コース はこちら