AIがコードを書く時代、セキュリティの“最終判断”は誰がする?
シスコシステムズ合同会社(以下、シスコ)はCSR活動の一環で、1997年からシスコ ネットワーキング アカデミーをグローバルに運営し、ネットワークやセキュリティの学習コンテンツを無償で提供している。全世界の受講者数は累計で2400万人を超え、日本では年間2万人以上が受講している。入門や基礎編では独習形式(セルフラーニング)で、中級編以降ではインストラクターがつくコースもある。
同アカデミーのインストラクターを務める森下寛信氏は、普段はセキュリティのカスタマーサクセススペシャリストとして顧客と接している。文系出身で事業会社のネットワークインテグレーターからキャリアをスタートしたエンジニアだ。最初はネットワークやセキュリティを学び、次にコンサルティング会社でビジネス視点でテクノロジーを見た後に、もう一度技術レベルを高めるべく5年前にシスコに転職した。現在はグロービス経営大学院で経営も学んでいる。転職先にシスコを選んだ理由として「セキュリティ製品を幅広く取りそろえており、最新鋭のセキュリティ技術をキャッチアップできる土壌や機会があるため」と話す。
自身もテクノロジーとビジネスでキャリアを磨くエンジニアとして、森下氏は「変化が激しい時代、組織内外からの期待値も高まっているので、キャリアを確立していくためには(アプリケーション開発が主たる業務だとしても)エンジニアがセキュリティを学ぶ必要はあると考えています」と話す。
そして直近の大きな変化となるのが生成AIの登場だ。エンジニアの業務だけでなく、学びにも影響を与えている。実際、森下氏もあらゆるAIサービスに課金して試しているという。「アイデアを磨き、まとめるのをAIが手伝ってくれるため、最終的に文章やプレゼンテーションにアウトプットできる量が圧倒的に増えています」と森下氏は語る。
AIコーディングによってアプリケーション開発の生産性が高まる一方、セキュリティの知識や勘どころはますます重要となる。森下氏は「AIが出す情報が本当に正しいかどうかの判断力が、これからAIを使う上で必須のスキルになると思います。例えばAIが出力したコードに脆弱性が含まれていないか、情報漏えいにつながっていないか、人間が見てチェックする工程は必要です。これからはAIで開発スピードを高めつつ、人間は安全を担保する役割を担っていくようになると私は見ています」と話す。
AIは便利ではあるものの、注意すべきポイントも数多くある。業務で使うなら、まずは会社のガイドラインに従う必要がある。次にAIがパブリックなクラウドサービスであるなら情報漏えいにつながらないか配慮する必要があるだろう。例えば議事録をAIで要約する時、情報源となる音声やテキストをクラウドにアップロードしていいか。組織により判断が分かれるところだが、AIを使うならこうしたリテラシーも重要になる。
海外のある企業では、開発中のソースコードをまるまる生成AIに入力したことが問題になった。AIに頼ってもいいところ、安易に頼るべきではないところ、何が禁忌となるのか、そうした判断力やリテラシーは常に磨いておく必要があるだろう。
無料で学べる! シスコ「サイバーセキュリティ入門」の魅力とは
アプリケーション開発では「シフトレフト」や「セキュリティ・バイ・デフォルト」という概念がある。開発ではつい新機能開発に注力してしまいがちだが、セキュリティ対策が後手に回ると後戻りが生じるなど非効率になってしまいがちだ。早い段階からセキュリティを考慮して設計、開発を進めていくべきだという考えだ。こうしたシフトレフトを実践していくうえでも、サイバーセキュリティの基礎を一通りわきまえていたほうがいい。
セキュリティ知識の整理に役に立つのが、シスコ ネットワーキング アカデミー「サイバーセキュリティ入門」だ。パソコンまたはスマートフォンのブラウザからサインアップするだけで無料で利用できる。
セキュリティを初めて学習する人向けの基本を押さえた講座として、セキュリティに関する幅広い分野を網羅している。インターネットにどのような脅威があるかといったサイバーセキュリティの概要から始まり、サイバー攻撃の種類や手法、侵入の手口、脆弱性とエクスプロイトなど、実際の攻撃を理解するうえで必要なことを学ぶ。
また、自分自身のデータやプライバシーを保護するための適切な行動の選択や、組織が脅威からどのように防御しているかについても学ぶ。例えばファイアウォールにはどのような種類があり、どこに配置するか、IPSやIDSがどのように機能するか、ポートスキャンはどのように行うかなど、現場で知っておくべきテクノロジーを整理できる。終盤にはキャリアを展望するうえで、セキュリティ関連の資格についても取り扱う。
独習形式なのでコンテンツを読み進めながら、節目ごとに簡単なクイズで理解度を確認していく。ペースに多少の個人差はあるかもしれないが、標準的には6時間のコースとなっている。実際に筆者も受講してみたところ、ほぼ6時間で学習を終えられた。
ある程度経験を積んだエンジニアに向けては、初級講座として、エッジ(端末)の保護する方法を学ぶ「Endpoint Security」、ネットワークの監視・保護やセキュリティアラートを評価する方法を学ぶ「Network Defense」、サイバーセキュリティガバナンスの理解と脅威を管理するスキルを身につける「Cyber Threat Management」がある。これらのコースも独習形式で、日本語に対応している。標準学習時間は27時間または16時間となる。
コンテンツはモジュール(単元)ごとに分かれているため、通勤や隙間時間でコツコツと学ぶこともできる。どこまで学習したかが一目でわかるようになっており、もし急にブラウザを閉じでしまった場合でも、パソコンやスマートフォンを開けば、続きから再開されるようになっている。
さらに中級になると「Ethical Hacker」も独習形式で開放されている。また、シスコ ネットワーキング アカデミーには、セキュリティだけではなく、ネットワーキング、AIとデータサイエンス、プログラミング、情報テクノロジー、果てはエンジニア向け英語学習プログラムなど幅広い分野のコンテンツが揃っている。もちろんすべて無料で受講することができる。ぜひサイトから確認していただきたい。
森下氏は「いまはインターネットに情報があふれているので、セキュリティを学びたくても『どこから始めたらいいか』迷うと思います。いろんな資格や講習もありますが、シスコ ネットワーキング アカデミーは体系立てて学べるフレームワークとなっているのがポイントです」と話す。多くのセキュリティ製品を有するシスコが提供しているコンテンツなので信頼して学ぶことができる。
実際に一通りコンテンツに目を通した森下氏から見ると「個人的には攻撃者視点の解説がよかった。視野が広がりますし、視座も高くなります」と話す。通常は攻撃される側、つまり防御側の立場でセキュリティを考えてしまいがちだ。しかし、攻撃者がどのような目的を持ち、どのような手法を駆使しているかを知ると、「自分の書いたコードのどこが狙われやすいか」「どうすればより堅牢な設計ができるか」といった、実践的な防御策に意識が向くようになるだろう。
学びを資格とキャリアに!無料でCCST試験対策までできる学習ロードマップ
学習していくうえのポイントとして森下氏が指摘するのがネットワークの知識だ。サイバーセキュリティ入門は入門編ゆえに、ネットワーク以前のリテラシーなども扱うものの、学びを進めていきたいならネットワークの知識があると有利だ。
森下氏は「あらゆるサイバー攻撃は基本的にネットワークを通して行われます。どう防御するか、どう監視するか。ネットワークを学んでおいたほうが、セキュリティを学びやすくなると思います」と話す。これは森下氏自身がネットワークを学んでからセキュリティに進んだという経験からも確かだ。
アプリケーションに関わるエンジニアであれば、自分のアプリケーションにどのようなセキュリティ強化が可能か考えながら学ぶのも実践的でいいだろう。アプリケーション開発に専念しているとネットワークやインフラ周辺には関心が薄れがちだ。セキュリティを学ぶことで、例えば「ここが攻撃されたら、こういう影響がありそうだ」「ここを強化すれば、より確実に防御できそうだ」など、セキュリティ強化策のヒントが見つかるかもしれない。アプリケーションを知り尽くしているエンジニアがセキュリティの知識を持てば、セキュリティ専門家には気づかない強化策に気づくこともあるだろう。
森下氏は「今後IoT化が進んで社会インフラがデジタル管理されると、セキュリティは人命を守るうえでも重要になります。直近では病院がランサムウェア被害を受けて電子カルテや各種システムが使えなくなり、手書きや手作業を強いられてしまいました。こうしたことが起きると助けられる人を助けられなくなるというリスクにもつながります。今後セキュリティはますます重要になるため、安全性の確保をしていかなくてはなりません」と話す。
「サイバーセキュリティ入門」の先には、先述した初級編の3講座「Endpoint Security」「Network Defense」「Cyber Threat Management」に進むのがおすすめだ。これらの3本はシスコが新しく設けたエントリー向け技術認定資格CCST(Cisco Certified Support Technician)Cybersecurityの試験範囲となっている。無料のシスコ ネットワーキング アカデミーでCCSTの試験対策ができてしまうのだ。CCSTを足がかりにして、より上位のCCNAに挑戦するのもいいだろう。
なお初級編の3講座は、パケットトレーサーというネットワーク機器をソフトウェア上で操作できるシミュレーターツールを使うコースであり、手を動かしながら学べる内容になっている。通常は有償の場合も多い資格試験対策を、体系的な学習からシミュレーターでの実践まで無料で準備できるのは、シスコ ネットワーキング アカデミーならではの大きなメリットだ。
独学のモチベーションを維持するコツとして森下氏は「大学院に行くときもそうでしたが、覚悟を決めたら決意を誰かに宣言するといいと思います。あと1人でやらない。仲間と一緒にやるとか、巻き込むのもいい方法です」とアドバイスする。
「毎日1%ずつ成長を続けたとしたら、3ヶ月で2.5倍、半年で6.1倍、1年後には37.8倍になります。毎日積み重ねれば、1年後には全く違う自分がいると想像してみてください。学ぶことが楽しくなるのではないでしょうか」
いますぐサイバーセキュリティを学び始めよう!
シスコ ネットワーキング アカデミーの大人気コース 「サイバーセキュリティ入門」 を無料で受講できます。下のリンクからアクセスし、緑の【Get Started】または【始めよう】をクリック → アカウント登録すれば、 わずか1分で学習スタート!
