午前7時のしなもんぶろぐ

駆け出しのセキュリティエンジニア、しなもんのぶろぐ。

「セキュリティエンジニアのための English Reading」が公開されました

お久しぶりです。しなもんです。

ここ数ヶ月作成していた「セキュリティエンジニアのための English Reading」が無事 IPA のサイトで公開されましたのでここで紹介させていただきます。

 

日本のセキュリティエンジニア全員に是非!是非!ご覧いただきたい内容に仕上がっていると自負しておりますので (誇張あり)、どうか冷やかしでも一度ご覧いただけると幸いです。

www.ipa.go.jp

 

 

中核人材育成プログラムとは

私はこれまで 1年間、独立行政法人情報処理推進機構 (以下、IPA) が実施する「第5期中核人材育成プログラム」に参加して、全国から集結した 50人近い同期とともに様々な講義を受け、演習を実施し、IT/OT セキュリティについて知見を深めてきました。

 

中核人材育成プログラムは、IPA に設置された「産業サイバーセキュリティセンター」が実施する 1年間のトレーニングです。

www.ipa.go.jp

www.ipa.go.jp

 

IT/OT (Operational Technology、ICS = 産業制御システムとほぼ同義) セキュリティについて高度な知見を有し、現場と経営層をつなぐ「中核人材」を育てることを目的としています。

 

本プログラムでは、日本有数の有識者たちによる講義・演習が行われます。

その過程で、世界でも珍しいとされる実践的な施設・設備に触れることができます。

 

www.youtube.com

 

演習で使われる模擬プラントの多くは実際の制御システムに限りなく近い「本物」で、中には当該業界に属する受講生にしか触れることが許されない模擬プラントさえあります。

(私自身はそれらの業界に属していなかったので詳細は不明です)

これらに対する攻撃手法やそれに対する防御・分析手法を実機を通じて学べます。

 

また、大変「けしからん」サイバー技術研究室 (通称サイバー技研) のインフラ・機材も利用できます

www3.nhk.or.jp

 

↑の記事に登場するのがサイバー技研です。同期が数名写っています。

 

また、全国の様々な業界から集った大勢の同期と見聞を深められるのも魅力の一つです。

自社に閉じこもっていては得られない有形無形の知見が得られますし、互いに得意分野を発揮し不得意分野を補い合うことで、1人ではなし得ない成果も達成できます。

 

本プログラムでは「プライマリー」「ベーシック」「アドバンス」と 3段階にわたり多様な講義・演習が実施された後、最終段階として各自でテーマを設定して研究をおこなう「卒業プロジェクト (以下、卒プロ)」を推進します。

第5期では 20 あまりの卒プロが企画されました。

本記事で紹介する私の「セキュリティエンジニアのための English Reading」はそのひとつで、今期唯一の個人プロジェクトです。

 

プロジェクトの背景

サイバーセキュリティはとにかく変化の激しい領域です。

昨日の常識が今日はもう通用しないということは珍しくありません。

その最大の原因は「こちらを積極的に騙し、出し抜こうとする同じ「人間」との闘いだから」です。

守るべきシステム自体も早いスパンでどんどん変わっていきます。

もちろん、攻撃者に対抗する手法も日進月歩です。

私たち防御者にはこれらの動向に食らいついていくことが求められます。

 

また、サイバーセキュリティの世界には国境がありません。

インターネットは世界中つながっており (一部国家・地域は微妙ですが)、いつ世界のどこから攻撃を受けてもおかしくありません。

守りたい IT/OT システムの構成要素もほとんどは日本製でなく、海外で設計・製造されたものです。

したがって、セキュリティの実務では世界中の情報を的確に収集し活用できることが決定的に重要です。

 

しかしながら、世界のセキュリティ情報の多くは英語で出回っています。

そして、私たち日本のセキュリティエンジニアの多くは英語が得意ではありません

 

このことを以前から課題に感じていたのですが、本プログラムに参加して、これが私の会社に限らず、日本の多くの組織に共通する問題だと痛感しました。

本プログラムの受講生たちは、名だたる大企業で将来を期待された人材です (私以外は)。高額のお金と 1年間もの期間を投資して送り出すのだから当然です。各社で「できる」方の人なのです。

それにもかかわらず、多くの受講生が英語を苦手としており、結果としてその好奇心や向上心に見合った情報の恩恵を得られていない現実を私は目の当たりにしました。

 

「英語さえできれば、もっと強くなれるのに。」

 

その思いから、本プロジェクトはスタートしました。

 

「セキュリティエンジニアのための English Reading」紹介

本プロジェクト「セキュリティエンジニアのための English Reading」の目的は、日本のセキュリティエンジニアの英語リーディング能力・意欲向上を通じて、その情報収集力と成長力のレベルアップをはかることです。

 

主な対象は日本のセキュリティエンジニア全般。中でも「ユーザー企業や官公庁で働く実務担当者」をメインターゲットに据えています。

しなもんぶろぐをご覧の方の多くが該当するのではと思います。

もちろん、これらに該当しない方のご利用も歓迎しています。

対象が個人で、その組織の在り方や業種・業態を問わないことが本プロジェクトの一つの特徴です。

 

成果物 (IPA サイトで公開されているもの) は大きく分けて 2種類ありますが、そのうち片方が同名のプレゼンテーション資料 (以下、本資料) です。

本資料では、「Awareness ~英語情報の重要性を理解する~」「Practice ~より「楽に」「上手く」読む~」「Training ~リーディング力を鍛える~」の 3段階で、英語リーディングをサポートします。

 

Awareness ~英語情報の重要性を理解する~

Awareness では、セキュリティエンジニアとしての活動における英語情報利用の重要性に触れ、英語で利用できる情報源についてもいくつか紹介しています。

英語圏にとどまらず、英語を母国語としない国の情報も英語さえできれば得られる可能性があるのが嬉しいところです。

 

本パートでは、そのことを理解していただけるように工夫しています。

 

 

 

Practice ~より「楽に」「上手く」読む~

いくら英語情報の重要性を理解しても、実際の英文を前にして立ちすくんでしまう方は多いと思います。

一番よい解決策は英語力のレベルアップですが、残念ながら、英語力はすぐには向上しません。

私自身も、日々悪戦苦闘しながら英文と格闘している一人です。

 

こんなプロジェクトを主導しておいてなんですが、特に対策せず受験した私の TOEIC の点数は 675 (L295/R380)  点です。

 

すごくダメというわけではないにせよ、英語が得意とは言いがたい点数です。

日本の会社でも、エントリーシートの段階でアウトになってしまうところがあるレベルです。

でも、この程度の実力でも、セキュリティの実務ではそこそこ戦うことができます。

本パートでは、私が実践を通じて身に着けた様々な、良く言えばノウハウ、悪く言えばインチキ・テクニックの数々を伝授します。

 

 

 

 

Training ~リーディング力を鍛える~

種々のノウハウ (もしくはインチキ・テクニック) を駆使してどうにかすることはできますが、最終的には英語リーディング力の抜本的なレベルアップが必要です。

幸い英語の教材は優れたものが豊富に出回っているので、学ぶための材料に困ることはありません。

 

どちらかというと学ぶ側のマインドのほうが大切です。

「やる気がない」とかそういうのも問題なのですが、それ以上に落とし穴になりがちなのが、「やたらと完璧を求めたがる」「短期で結果を出したがる」ということです。

語学の学習において「完璧」はまず到達できないので、何かを完璧にしてから先に進もうとするといつまでたっても何もできません。

また、基本的に短期間で目に見えるほどの成果が得られることはないので、短期での成果を求めるほど失望することになってしまいます。

どのみち長い道のりになるので、気楽に構えましょう。継続していれば「あれ、昔に比べてずいぶん読めるようになってるな?」と感じる瞬間もあるでしょう。

 

 

 

 

セキュリティ英単語集

英語力アップのためには語彙 (単語・熟語) の強化が不可欠です。

しかし、市販の単語集などの教材は、優秀・有用ではあるものの、多くが資格試験や入試向けで、「セキュリティの実務」に特化したものではありません

 

調査してわかったことですが、セキュリティの実務で触れる英単語は、普通のビジネスや入試で出てくるものとは少し違いますし、セキュリティ特有の意味・用法がある場合もあります。

 

「なければ、自分で作ってしまえばいい。」

 

ということで、作りました。「セキュリティ英単語集」

 

 

「BleepingComputer」「Infosecurity Magazine」の 2誌から約 2年分の記事をスクレイピングによって取得し*1、頻度解析を実施しました。

 

attack とか ransomware とか治安の悪い単語が上位にいますね?

 

頻度解析は国産の「KH Coder」というテキストマイニングツールによって実施しました。

品詞別かつ活用などを吸収して分析してくれる大変な優れものです。

khcoder.net

 

その後どの単語を収録するか選んだり、関連語を紐づけたり、訳語を割り当てたり (辞書さえ完全には当てにならず、最後は人の目で判定しました)、使用例を作文したり、というプロセスで作成しました。

 

こういうのをちまちまと作りました

 

口で言うと簡単だったようですが、実際には手戻りが発生しまくり、また「あらゆる作業が収録語の数 (300 以上) だけ必要になる」「訳語の割り当てや使用例の作成を人間の目で (それぞれ何十~何百もある文をもとに) 判定して行わなければならない」「一人プロジェクトなので、全部私ひとりで行わなければならない」というもろもろの事情により、作業はかなり苦しいものとなりました……

 

例えば、動詞の「pay」には、「~を支払う」のほかに、「割に合う」という有名な意味がありますが、実際のセキュリティ記事での使用例を見る限り、その意味ではほとんど使用されていないことがわかりましたので、英単語集には「割に合う」を収録していません。

こうした判定を、330 あまりあるすべての収録語に対して行いました (見出し語ほど綿密ではありませんが、300 ほどある関連語に対しても行いました)。

1個なら大したことないんですが、数百倍のオーダーで効いてくるので……

 

 

こうした目に見えない苦労のすえに完成した、日本初?*2のセキュリティ英単語集には、2つの大きな特長があります。

 

特長①: セキュリティニュースで「実際に使われている」単語を厳選

市販の英単語集とは一味違う治安の悪いチョイスとなっています。

 

特長②: セキュリティならではの意味・使用例を掲載

セキュリティニュースで「実際に使われている」意味・使用例にとことんこだわりました!

実務での情報収集にそのままご利用いただけます。

 

「セキュリティ英単語集」は PDF ファイルで提供していますが、おまけとして CSV ファイルも用意しています。

暗記支援アプリケーションの中には CSV ファイルをインポートできるものがあるようなので、もしよろしければご利用ください (動作確認・動作保証はしていません。自己責任でお願いします)。

 

本「セキュリティ英単語集」は、見出し語・関連語を合わせて、分析対象記事の出現単語 (冠詞・前置詞を除く) の約 2割をカバーします

2割というと少なく感じるかも知れませんが、「固有名詞」「読めばわかるはずの単語 (malware、incident など)」「中学校までで学習する単語」のように、多くの方がもともと読めるはずの単語が 6割ありますので、本英単語集をマスターすれば合わせて約 8割をカバーできることになります。

 

 

是非「セキュリティ英単語集」をリーディング力アップの一助としてください!

 

他プロジェクトの紹介

第5期中核人材育成プログラムでは、ほかにも多種多様な卒プロを実施しました。

その一部が IPA サイトで公開されています。

(私が直接参加していないプロジェクトの方が多いです)

 

www.ipa.go.jp

 

すべてが公開されるわけではないのですが、今期はこれまでの期と比べても「成果物を広く公開して役立ててもらおう」というマインドが強かったのか、多数のプロジェクトが成果物を一般公開・公開予定としています。

(もちろん過去の期での成果を踏まえてそういうマインドが生まれたという側面があるので、1~4期の方の貢献も大きいです。中には過去期の成果物を直接参考にしたものもあるようです)

 

現時点で公開されているプロジェクトを簡単に紹介します。

 

でぃふぇんす!!セキュリティ塾

www.ipa.go.jp

 

通称「社内教育」プロジェクトで、エンジニア向けの実践的なインシデント体験・対応訓練キット (非公開) と、「エンジニアではない一般従業員向け」の教育資料の 2本立てからなります。

 

公開されているのは「IoT」「サプライチェーン」「AI」と、あまり従業員向けセキュリティ教材で扱われてこなかったテーマの啓発資料です。

それらをテーマとして扱うプロジェクトとそれぞれ協力し、丁寧に作り上げていたのが印象的でした。

 

従業員への教育資料として作成されたものですが、もちろん個人での学習用にもどうぞ。

 

 

ドルマネジメントのためのDX戦略・組織論

www.ipa.go.jp

 

DX (デジタルトランスフォーメーション) の推進のためには、ドルマネジメントが「何をやれば良いか分からない」のを解決しなければならない、との信念のもと「経営」の観点で要点をまとめたハンドブックです。

 

文献調査のほか、具体的な名前は伏せられていますが、複数の先進的な企業 (必ずしも小規模スタートアップというわけではなく、大企業も含まれているようです) へのヒアリングから得られた知見も盛り込まれています。

 

成果発表会での大トリがこのプロジェクトだったのですが*3、リーダー気質のメンバーが集結したプロジェクトだけあり、締めにふさわしい堂々としたプレゼンだったことをよく覚えています。

 

 

IoT Sec for Users

www.ipa.go.jp

 

IoT (Internet of Things) の発展は著しく、基盤としての「クラウド」、ロジックとしての「AI」などの進展とも相互作用しながら産業の場でも活用が広がってきています。

しかし、安価かつ簡単に設置できるだけに、後先考えずに利用すると思わぬセキュリティリスクのもととなることもあります。

 

それを考慮したガイドラインの類が国内外で各種発行されていますが、その多くが開発者向けで、ユーザー向けのものはあまりないのが現状です。

また、網羅的・本格的なのは良いのですが、IT やセキュリティを専門としないユーザーには難しすぎるという問題もありました。

 

これらの課題の解決のため、簡潔かつ見やすい「5分でIoTのセキュリティリスクがわかる本」として一冊にまとめたのが本プロジェクトです。

組織での IoT の利用をお考えの方が最初に手にするのに最適な、親しみやすい仕上がりになっています。

 

単なる人の受け売りではなく、実際に IoT 機器の脆弱性を突く攻撃を試し*4、その成果も反映されているようです。

 

 

未来のKidsサイバーセキュリティ教室 ~No SEC No Life~

www.ipa.go.jp

 

少人数にもかかわらず、信じられないバイタリティと団結力で多くのことを成し遂げたのがこのプロジェクトです。

産業サイバーセキュリティセンターの先生方、職員の方、民間の会社の方などを巻き込んで、自分たち自身の力以上の広がりを実現していました。

この点で、「自分にできることしかやらない」と割り切ってひたすら一人で作業した私のプロジェクトと正反対で、見ていて学ぶことが多かったです。

 

サイトで公開されているのは「啓発動画 (YoutubeIPA 公式チャンネルで公開中)」「体験型アドベンチャーゲーム」です。

www.youtube.com

 

アドベンチャーゲームは私もテストプレイに参加したのですが、あまりの私の実力不足作り込みのため、学校を襲う最終インシデントから一度も守り切れず……

公開版でリベンジします!!!

 

このほか、実際に小学校を訪れて特別授業を実施し、新聞やニュース番組でも紹介されたそうです。

豊富な伝手とノウハウを持つ IPA のバックアップを受けられる本プログラムだからこそ実現したプロジェクトだったと思います。

 

 

このほかにも複数のプロジェクトが成果物の公開に向け調整中です。

いずれも気合の入った出来になっているはずです。

私自身、それらが公開されて自分で活用できるのを楽しみに待っています。

 

第6期以降の受講生へ

中核人材育成プログラムは第5期で終わりではなく、第6期が間もなく始まります。

おせっかいながら、これから受講される方へのちょっとしたアドバイスをお送りします。

なお、プログラム自体が毎回フィードバックを得て変化しているそうなので、まったく当てはまらなくなることもあり得ます。ご了承ください。

 

充実した 1年間になりますように。

 

同期を早く覚えよう

1年間一緒に演習を行う同期を早く覚えましょう。

第5期では初期に有志がレクリエーション会を企画してくれ、交流の促進剤となりました。

 

様々なグループワークなどが実施されますが、何十人もいると、最後まで一度も一緒にならない人というのも出てきます。

なるべく「この人誰だったっけ?」で終わらないようにしたいところです。

 

なお、同業界の人は何かと一緒に行動することが多いのでそれだけ重要ではありますが、見方を変えると「放っておいても演習で組むことが多い」ともいえるので、仲良くなるために努力するなら別の業界の人の方が実りが多いかもしれません。

 

名刺をたくさん持っていこう

初期に配りまくることになる (たぶん) ので、会社の名刺はたくさん持っていきましょう。

遠方から出てきて、容易に帰社できない方は特に。

 

得意分野を見極めよう

全国の様々な企業・業界から人材が集まるので、その背景や得意分野も多岐にわたります。

たとえば OT 技術に詳しい人、電気・電子工作に強い人、プログラミングが得意な人、情報収集に長けた人、プレゼンや資料作成に強みを持つ人……などなど。

自分が苦手な分野も他の得意な方にカバーしてもらえることがありますので、そうした方を見つけましょう。

(いつも頼ってばかりだと成長できませんので努力も必要ですが)

 

一方で、特に何とも思ってなかったが俺ってこれできる方だったんだなあ、ということもあり得ると思います。それはあなたの得意分野です。

ぜひ同期のために活用してください。

 

食わず嫌いは良くない

1年間にわたり多様なテーマを学ぶので、中にはあまり興味のない分野もあります。個人的には最初の「プライマリー」期に顕著だと思います。

だからといってそっぽを向くのではなく、多少はかじってみることをおすすめします。

特定の知識・技術に偏らず、いろいろ学べる (学ばされるとも言うが) のが本プログラムの特色です。

何だかんだ言って、「こんなの何の役に立つんだ~」と思っていたことが後で意外な時に効いてくることもあります。

 

積極的に挑戦しよう

正規のカリキュラムのほか、有志参加の追加プログラムが教職員の方から紹介されることがあります。

それ以外にも自分で、あるいは仲間と一緒にイベントに参加したり、勉強会などを企画することが可能です。

ものによっては正規カリキュラムとトレードオフになるものもありますし、あえて見送って通常演習や卒プロなどに注力する方がよいこともありますが、基本的にはいろいろ挑戦してみることをおすすめします。

 

何か始めるなら早めにしよう

勉強会や課外活動など、何かやりたいことがある場合は、もったいをつけず早期に始めることをおすすめします。

1年間というと長いようですが、意外とあっという間です。

 

また、プライマリー期が終わると、同期全員が1ヶ所に集まる機会が劇的に減少し、新たに動きだすのが困難になります。

プライマリーのうちにある程度道筋をつけておいたほうがいいです。

 

先生方をうまく使おう

先生方は日本有数の有識者です。正規カリキュラムに含まれている以外にも莫大な知識・見識を蓄えています。

通常の講義・演習以外にもいろいろ話 (雑談や武勇伝) を聞いて見聞を深めましょう。

 

先生方はそれぞれ豊富な知見を持っていますが、そのうち何が「あなたの求めていること、知りたいこと、興味のあること」なのかは基本的にわかりません。

逆に「こういうことが聞きたい、知りたい」というサインを見せれば泉のように引き出せることもあります。そういう状況に持っていくこと自体も、ある種中核人材としてのスキルです。

 

個人差はありますが、各グループのボス以外の先生や補助の方からも貴重な知見が得られる場合があります。うまく得意分野を見極めましょう。

 

本人の知見のほか、ほかの有識者や企業の方とつないでくれることもあります。やりたいことがある方は相談してみましょう。

 

卒プロのテーマは早めに考え始めよう

カリキュラム中で自然に考えることを促されますし、そこまで焦る必要はないのですが、早めに考え始めた方が何かと有利です。

「自分は○○に興味がある」ということを表示するだけでも、先生方や同期から情報が集まりやすくなりますし、自分自身も積極的に情報を集められるようになります。

 

テーマを考えるにあたっては、私たち過去の期の成果物や、修了生の講演 (おそらく何かしらあると思います) を参考にしてください。

もちろん過去の例に縛られる必要はまったくありません。修了生の取り組んでいないことにこそチャレンジすべき価値があるともいえます。

 

なお、会社から特命でももらっていない限り、自ら企画してリーダーになる必要は必ずしもありません。

他の受講生が立てた企画にメンバーとして参加するのも立派な貢献です。

リーダーにはリーダーなりの心配事や困難があるので、あえてリーダーにならない人もいるようです。

一方で、自分の感じる課題の解決に向けてプロジェクトを推進できるメリットを取って、自らリーダーになるというのももちろん「アリ」です。

 

なお、リーダーとして人を集めるに際しては、ある程度解決すべき課題や着地点のイメージを作って提示しておくことをおすすめします。

クラウド」「IoT」「サプライチェーン」「教育」など、誰もがそれなりに興味あって、かつどうとでもとれるふわっとした言葉で人を集めてしまうと、人多すぎ&同床異夢で、認識や方向性を合わせるだけでも一苦労になります。

まあそうした過程の議論が血肉になることも多いのですが、ゴールにたどり着く難易度はどうしても上がってしまいます。

思い返すと、小規模でもリーダーが明確なビジョンを打ち出していたプロジェクトは、成果に向かってかなりのパフォーマンスを発揮できていたような気がします。

 

もちろん、最初からあまりに具体的だと、広がりがないうえ人も集まりません。加減が大事です。

 

OT の予習をしておこう

大雑把に言って受講生には「IT に強くて OT に弱い (新たに学ぶ) 人」「OT に強くて IT に弱い (新たに学ぶ) 人」がいますが、しなもんぶろぐをご覧になる方の多くは前者だと思います。

 

プライマリー期に嫌でも教わるわけですが、まったくもって初めて見聞きすることばかりというのは辛いので、なるべく開始前に予習しておくとよいと思います。

6期の方はもう間に合いませんけども……

 

例えば次のような本を読むとか。

 

 

 

OT システムでは IT システム以上に「安全 (Safety)」が重視されます。例えば次のようなノンフィクションでイメージを膨らませておくといいかもしれません。

 

 

もしかしたら、5期の卒プロで予習に適した成果物ができるかもしれませんので、7期以降の受講をお考えの方は要チェックです。

もしかしたら、ですけど。

 

最後に

産業サイバーセキュリティセンターの教職員の皆様、同期の受講生の皆様。

おかげさまでどうにかこうにか修了して卒プロも公開できました。

大変お世話になりました。

 

これからが私の本当の勝負だと思っています。

ここで培った知識・技術・人脈を手に、微力ながら日本のサイバーセキュリティの向上に貢献してまいりたいと考えています。

引き続きよろしくお願いいたします。

 

おまけ

産業サイバーセキュリティセンターの最新情報をキャッチできるように、RSS フィードを作成しました*5

各種 RSS リーダーで読み込めます。

もしよろしければご利用ください。

node2.feed43.com

*1:robots.txt などを参照し、サイトやその利用者の迷惑にならないよう配慮して行いました。

*2:厳密な調査は行っていないので本当に初かはわかりませんが

*3:ちなみに最初は私の「English Reading」でした。他の発表を見てそのクオリティに驚き、最初で助かったと思いました

*4:もちろん自分たちで入手・管理している機器に対してです

*5:このフィードは Feed43 を用いて生成していますが、Feed43 の運営元はどうもロシアの会社のようです。だからどうというわけではないのですが、ご利用の際にはこの点をご了承ください。