効果的なセキュリティ研修のあり方を模索～情報科教員向け研修を実施して

こんにちは。サイバー・グリッド研究所のチーフリサーチャー、谷口 隼祐です。

6月7日に名古屋市内で、高校の情報科教員を対象とする情報セキュリティ研修「ハンズオンで学ぶ情報通信ネットワークと情報セキュリティ」を実施しました。生活を豊かにしてくれるITを安全に使いこなすにはどんな知識やスキルが必要か、それを高校生に学ばせるにはどんなアプローチがよいか──。この記事では研修の内容を紹介しつつ、情報セキュリティ教育を行う上で先生に意識していただきたいことを併せてお伝えします。

ITの恩恵を受けるために必要なものが情報セキュリティ

今回の研修は名古屋市教育センターの主催で、同市内の高校の情報科担当教員など計15人が参加しました。座学にハンズオン（実際に操作して体験すること）形式の実習とセキュリティボードゲーム体験を組み合わせた計2時間の内容です。

座学では、情報セキュリティ教育の必要性が高まっている社会背景について説明しました。時と場所を選ばすに調べものや買い物、情報発信ができることはもはや特別なことではなくなり、エンジニアでなくてもITツールを使って生活に必要な情報を収集したり、定型的な業務を自動化したりすることができるようになりました。さらに政府は、あらゆる産業や社会生活にAI（人工知能）などの先端技術を組み込み、経済発展と社会的課題の解決を目指すSociety 5.0を提唱しており、ITを使いこなせる人材の育成が急務とされています。

その一方で、利用者の安全という観点では、現実の社会は法令などで守られているのに対してサイバー空間は制度が追いついておらず、利用者の自衛に委ねられる部分が多いのが現状です。交通安全を社会で実現するためには、自動車を運転する人だけでなく歩行者も交通ルールを身に付けて行動しているように、ITの恩恵を最大限享受するためには、大人も子供もITを安全に使いこなすための知識、つまりITリテラシーや情報セキュリティの知識を身に付ける必要があります。

実習とゲームで理解を深める

続く実習では、ウェブサイトを見る際に使われるHTTP通信に対し、ツールを使って盗み見（盗聴）した後、その通信内容を書き換え（改ざん）てもらいました。暗号化されていない通信の危険性を具体的にイメージしてもらうことが狙いで、少々難易度が高いかと不安に思っていましたが、全員が難なくこなしていたところはさすが情報科の先生です。それでも、実習などで通信内容を書き換えた経験がある先生はほとんどいなかったようで、成功したときは会場のそこかしこでどよめきが起きていました。

最後はラックが開発した学習教材「サイバーセキュリティボードゲーム」を用いて、ビジネスの成長とセキュリティ投資をバランスよく行い、利益をチームで競い合っていただきました。ゲームを使った学習は、技術的な内容に関心がない人にも興味を持って取り組んでもらいやすいというメリットがある上に、今回のように参加者が学校関係者の場合はセキュリティ業界の仕事を知ってもらうことができ、進路指導などに役立ててもらうことができます。時間的な制約などから序盤だけ（各チームの利益に差がつき始める頃）の体験となりましたが、大変な盛り上がりとなりました。

集合研修の有効性を再確認

わずか2時間でしたが、講師を務めた私にとっても学ぶところの多い研修でした。情報セキュリティ人材の育成は社会的な要請ですが、情報セキュリティの範囲は幅広く、その知識は一朝一夕には身に付きません。そのため、情報科の先生がまず情報セキュリティへの理解を深めた後、それぞれの学校に戻って生徒のレベル・特性に応じて指導を継続的に行うことが望ましく、今回のような集合研修は大変有効だと再確認しました。実際にアンケートでも、今回の研修の内容をもとに生徒に教えたいという回答が多く寄せられました。

基礎知識と倫理観の両方を備えた情報科教員向けだからこそできる実習もあります。今回実施したHTTP通信の盗聴や改ざんの体験はITの怖い面を実感してもらうのに適していますが、悪用の恐れがあるため、生徒を対象とした研修では慎重にならざるを得ません。そのため先生がITの危険性を身をもって学び、その怖さを利便性とともに授業で生徒に伝えていくことは大変意味があると考えています。ITの利便性と怖さは表裏一体の関係にあり、どちらかだけでは不十分だからです。

段階的な学習が大切

最後に、情報セキュリティの教育を効果的に進めるためにぜひ意識したい点についてお伝えします。

それは、生徒のIT利活用レベルを見極め、どのような能力を身に付けさせたいかを先生が明確にイメージすることです。生徒の実際のレベルと、先生が生徒に学習させたいと思っている知識・スキルの水準とが乖離しているケースがままあるのですが、段階的な学習が大事なことは他の教科同様、情報セキュリティ教育にも当てはまります。

学校教育で生徒に身に付けてほしい能力について、私はITの利用形態別に3段階に分けています。

第1段階：受動的にITを使う場合

⇒ 情報モラル、ITリテラシー

第2段階：能動的にITを使うことを目指す場合

⇒ IT基礎知識、情報セキュリティ基礎知識

第3段階：ITのプロフェッショナルを目指す場合

⇒ コンピュータの動作原理の理解
IT実装力、情報セキュリティ実装力

高校生のほとんどは第2段階までで十分でしょう。しかし、一足飛びに情報セキュリティの学習に取り掛かっても効果は得られません。情報セキュリティを学習するにはITの基礎知識が必要であり、さらにその基礎知識を身に付ける前に情報モラルとITリテラシーの習得が欠かせません。繰り返しになりますが、順を追って継続的に学習することが大切です。

なお、情報モラルとITリテラシーの指導に関しては、ラックが作成した『情報リテラシー啓発のための羅針盤（コンパス）』が参考になります。

集合研修を通じ、今後も情報セキュリティ教育を支援

現代の子供たちは生まれながらにしてデジタル機器に囲まれ「デジタルネイティブ」とも呼ばれますが、スマートフォンの扱いには長けていても、パソコンのキーボード操作は不慣れという生徒は少なくありません。ITの知識も興味の度合いもまちまちな生徒に対して何をどう指導するか、多くの学校関係者が手探り状態を続けています。

ラックは今後も、今回のような情報科教員向け集合研修に協力し、学習コンテンツを提供することによって、各校での情報セキュリティ教育が円滑に進むようフォローしていきたいと考えています。