JCOM株式会社
技術運用本部 NOC セキュリティオペレーションセンター
マネージャー/公認情報システム監査人(CISA),CISSP,GCIH 白井 雅夫様
情報処理安全確保支援士 水野 貴文様
SERVICE
教育
セキュリティ教育
「J:COM」ブランドで知られるケーブルテレビ事業を主軸に、電話やインターネット、ガス、電力、モバイルなど幅広いサービスを展開するJCOM株式会社。17,000名近い従業員を抱えるこの会社のセキュリティ監視業務を担うセキュリティオペレーションセンターでは、EGセキュアソリューションズ株式会社(以下、EGセキュアソリューションズ)の「脆弱性診断内製化トレーニング」を採用。計8回にわたるオンライン講義を受講されたセキュリティオペレーションセンターの白井様と水野様に、サービス導入の目的や成果、トレーニングの感想について語っていただきました。
知識やスキルの統一化を図るべく「脆弱性診断内製化トレーニング」を導入
水野様 私たちの所属するセキュリティオペレーションセンター(以下、SOC)はセキュリティの監視業務がメインであり、脆弱性診断の業務は今までは一部機器のプラットフォーム脆弱性診断だけを実施していましたが、SOCの業務を拡大する計画もあり、さまざまなベンダーへ依頼していたWebアプリケーション脆弱性診断を内製化することで、レベルの統一化を図ろうと考えました。 解決策を模索した末、到達したのが、EGセキュアソリューションズさんが手がける「脆弱性診断内製化トレーニング」サービスの導入です。
白井様 EGセキュアソリューションズさんとは、弊社のサイバーセキュリティ推進室がセキュリティ全般に関する顧問契約を結んでいて、日頃から専門的なアドバイスをいただいていたので、同業他社のサービスと比較する必要もありませんでした。
水野様 あの『徳丸本』(徳丸浩著『体系的に学ぶ 安全なWebアプリケーションの作り方』/SBクリエイティブ刊)の著者である徳丸先生の会社なら間違いないと。他の選択肢は挙がりませんでしたね。
無理なく学べる実践形式のカリキュラムと 充実の講義内容でセキュリティの知識が高まった
水野様 「脆弱性診断内製化トレーニング」は、2020年10月から2021年1月末の間に計8回、SOCのスタッフ7人がオンラインで受講させていただきました。一度の講義は4時間と長丁場でしたが、興味のある分野だったので、楽しく学ぶことができました。
EGセキュアソリューションズさんは、トレーニングの導入が決まった時点で、スキルマップシートを活用して私たちのWebアプリケーションに関する知識やスキルのレベルを把握し、無理なく学べるカリキュラムをゼロから構築してくださったので、受講前に抱いていた「講義自体についていけるのか」という不安はすぐに消えました。
白井様 座学よりも演習が多めで、わからないところがあれば質問もできます。スタート前は、4時間は長いなと思いましたが、実際はあっという間でした。脱落者もいなかったので、カリキュラムにも内容にも満足しています。私たちのために作成していただいたテキストもわかりやすく、非常に役立ちましたね。
トレーニング内容には全幅の信頼。数年に一度のペースで受講したい
水野様 「脆弱性診断内製化トレーニング」を終えて7ヶ月。脆弱性診断が出来るようになったことに加えて、社内のセキュリティ監視、例えばマルウェアがHTTPやHTTPSを使って不審なサーバへアクセスするような事象の分析をより深く理解し、一定の品質を保ちながら行うことができるようになったと思います。
個人的には、4時間ずつ計8回の講習でWebセキュリティに関する理解が深まったと実感していますが、688ページもある『徳丸本』の完全理解に至ったわけではありません。今回身につけた基本的な知識をもとに、引き続き学んでいきたいですね。
白井様 技術のブラッシュアップは必要ですし、メンバーの入れ替えもあるはずですから、何年かに一度のペースで繰り返しトレーニングを行いたいと考えています。知識が温かいうちに詰め込みたいので、次は4か月という期間をもう少し凝縮してもいいかなと感じています。トレーニング内容には全幅の信頼を置いていますので、次回もよろしくお願いいたします。
