パーソルプロセス＆テクノロジー株式会社様セキュリティ競技入門コース事例

メルマガ登録する

メルマガ登録する

セキュリティ人材育成のために、楽しく積極的に学んでもらう環境の提供を実現

日本の労働人口が減少を続ける中、総合人材サービスを提供するのがパーソルグループだ。パーソルプロセス＆テクノロジー（以下、パーソルP&T）は、BPO SBU（Strategic Business Unit）に所属するIT関連企業として、コンサルティング、システムソリューション、アウトソーシングの各事業を展開している。セキュリティアウトソーシング事業において、事業成長の鍵となるのは優秀な技術者であり、技術者育成のユニークな取り組みとして、セキュリティ競技を取り入れている。その狙いについて谷口氏と神永氏に聞いた。

ビジネスエンジニアリング事業部セキュリティ統括部セキュリティ2部部長谷口智哉氏 — ビジネスエンジニアリング事業部
セキュリティ統括部
セキュリティ2部部長
谷口智哉氏

パーソルP&Tとセキュリティの関係

パーソルグループは、「はたらいて、笑おう。」をグループビジョンに掲げ、人材派遣、人材紹介、アウトソーシング、設計開発など、人と組織にかかわる多様な事業を展開している。2030年には「人の可能性を広げることで、100万人のより良い"はたらく機会"を創出する」ことを目指している。

パーソルグループのIT関連企業であるパーソルP&Tは、人・プロセスデザイン・テクノロジーを強みとし、これらの強みを顧客のBPRやアウトソーシング、システム開発などのサービスとして提供しており、これらサービス軸のなかにセキュリティサービスがある。セキュリティサービスに従事する社員は400人に迫り、セキュリティ対策製品の導入から自社サービスの提供まで、幅広い顧客ニーズに対応している。

このセキュリティ事業において、部門を率いるのが谷口氏だ。もともと基盤系のエンジニアからキャリアをはじめ、セキュリティコンサルタントを経て現職に至っている。エンジニア時代から、スキルアップに関心を持っていた谷口氏は、スキルアップには業務やトレーニングだけではなく、自らの探求心が必要だと考え、管理職となった今でもその考えに変わりはないようだ。

そんな谷口氏の考えを体現するのが、脅威リサーチ部門のトップエンジニアである神永氏だ。神永氏はデータセンターの監視オペレータからキャリアをスタートし、インフラ構築・管理を経験した後にセキュリティ分野に携わるようになった。もともとインフラエンジニアの際、脆弱性管理を進める中でサイバー攻撃に関心を持ち、独学で技術を習得した。神永氏はセキュリティ技術の習得に関して「サイバーセキュリティで重視される守る技術を追求するには、攻撃する技術を理解する必要があります。この攻守両面の技術を学ぶことは本当に楽しい。」と語る。しかし、サイバーセキュリティを学ぶ上では、ネットワークやインフラなどの幅広い知識はもちろん、モラルやマナーといった倫理と道徳も重要だとした。

セキュリティエンジニア育成への挑戦

セキュリティ事業を推進するセキュリティ統括部は、パーソルグループ内へのセキュリティ支援も提供するが、外販比率が高いという。顧客のセキュリティ対策に向けて、セキュリティの専門家として情報システム部門をサポートする立場だが、パーソルグループらしく顧客環境に深く入り込み支援をするのが特長だ。しかし、システム開発とは異なり、少人数で顧客への対応をすることから、パーソルグループのセキュリティ統括部のスペシャリストの経験やスキルには高いものが求められる。

セキュリティ統括部では、セキュリティ人材の育成に向け、先に取り上げたITスキルに加えてセキュリティについてもトレーニングの機会を設けているが、セキュリティスペシャリストを志す人を作り出すのは簡単ではないという。

人材の育成に取り組む一方、社員のセキュリティ意識向上にも目を向けるパーソルP&Tだが、元エンジニアの谷口氏が目を付けたのが、セキュリティ競技型の研修だった。谷口氏は、「元技術者だから分かるのですが、実際に手を動かして答えを見つける楽しさはエンジニア共通だと思うのです。教育だからといって我慢して学ぶのではなく、楽しく達成感をもって学んでほしいですし、その経験が自分を高めるモチベーションになると思っています。」と振り返る。神永氏も、「私もセキュリティに関心を持ってから、様々なCTFイベントに片っ端から参加しました。問題を解くことで自分のセキュリティスキルが高まるのが手に取るように分かるのです。」という。

CTFをエンジニア育成に活用

CTFとは、Capture The Flagの略で、提供されるセキュリティに関する問題を解くことで得点を得て、同時に参加しているエンジニアとポイント勝負をする技術競技で、世界中で実施されている。実はパーソルP&Tは社内向けCTFを4年連続で実施しており、この企画を立ち上げたのが谷口氏だ。

社内向けCTFにはセキュリティエンジニアだけでなく、CSIRT（シーサート：コンピュータセキュリティ事故対応チーム）関係者、セキュリティ対策が主務ではないインフラエンジニアも参加する大規模なもので、開催期間は1か月程度としている。その理由を谷口氏は、「当社はお客様先で活動するエンジニアもいるので、業務都合で参加することが難しいケースがあります。そのため、多くのエンジニアにこの機会を有効に使ってほしくて、長めの1か月を会期としています。」と説明した。

2023年は過去4年の開催で最も多くのエンジニアが参加し、その割合は組織全体の半数を超えるというが、好評の理由は開催の工夫にあるようだ。企画推進にも携わる神永氏は「こうした競技は何かしらのきっかけがないと始まらないので、開催から1週間はファーストアップボーナスと言って、得点がより多く得られるようにしています。一度競技に入ると継続して挑戦してくれるので、実施するように背中を押すよりも遊び心を前面に出すよう発信を心掛けました。」と説明した。

こうした活動は、社内のコミュニケーションの活性化にも良い影響が出ているという。神永氏はセキュリティにおける豊富な経験から、CTFにおいても当たり前のように毎年トップスコアを叩き出している存在でもある。そんな神永氏が、実施後の答え合わせのセミナーを開き、技術をキーワードに社内のコミュニケーションの活性化に活用している。得点を競うという通常の業務にはない要素で、仲間だった同僚がライバルとなり技術を競い合う体験は新鮮だろう。また、このCTFの実施については、セキュリティ統括部のユニークな取り組みとしてパーソルP&Tの他の部門にも知られており、同部門の魅力となっていると同時に、エンジニアの採用活動においても技術志向な学生へのアピールに活用されているのだという。

ラックのセキュリティ競技入門コースを採用した理由

さて、社内向けのCTFを開催するにあたり、苦労するのはCTFのインフラ整備と、課題の作成だという。サイバー攻撃を模した通信が発生することから、社内回線で行うことはできない。また、社外で働く社員が安全なリモート環境から参加可能な状況にしなければならないなど、課題が多い。

そこでパーソルP&Tは、ラックが提供するセキュリティ競技入門コースを活用することになった。ラックセキュリティアカデミーが提供するこのコースは、CTFを開催するために必要なインフラと問題が、一定期間セットで利用できる。問題は、複数のカテゴリ（暗号、ネットワーク、プログラム、フォレンジックなど）と難易度（初級～上級）で構成され、CTF初心者でも段階的に取り組める構成だ。また、問題には解説も付いているので、解けなかった問題は競技期間終了後に提供される振り返り期間で復習できる。

2023年の開催においては、パーソルP&Tが独自に作問した問題も出題し、飽きが来ない常に新鮮なCTFの開催を心掛けている。

CTF参加者の反応

CTFへ参加したエンジニアの評価は上々で、CTFで問題を終わらせられなかったことから自分の苦手分野が把握でき、より学習意欲が出たという意見や、フォレンジックやバイナリ解析の実施イメージが分からなかったところが、実際に手を動かすことで実施内容がイメージできたという意見があった。さらには、解き方が分からないときにヒントを与えられ、一気に眼前が開けた感覚を味わったという意見など、総じてポジティブだった。神永氏は、「最近の若手は力をつけてきていて、終盤までトップスコアを維持していた人も出てきました。積極的に参加してくれるということは、楽しいと感じてくれているのでしょう。」と振り返る。

エンジニアの育成を楽しくゲーム感覚で行っていく考え方は、エンジニア自身の意識変革にも踏み込む取り組みだ。谷口氏は、この取り組みをセキュリティ統括部以外の部署で働くエンジニアにも広げ、セキュリティの楽しさを理解する人を増やしたいと語る。

パーソルP&Tの支援で、セキュリティ対策を推進する企業にもセキュリティ対策の重要さに加え、その楽しさも伝わるようになれば、日本のセキュリティ対策は大きく変化するかもしれない。