CND/CEHオンライン受講インタビュー第一生命ホールディングス株式会社 様 第一生命情報システム株式会社 様

第一生命ホールディングス株式会社様 第一生命情報システム株式会社様
第一生命保険株式会社 太田 俊規 氏

第一生命保険株式会社
ITビジネスプロセス企画部
フェロー/シニアエグゼクティブITスペシャリスト

太田 俊規 氏

第一生命保険株式会社 佐々木 理 氏

第一生命保険株式会社
ITビジネスプロセス企画部 サイバーセキュリティ対策室
サイバーセキュリティ対策室 ラインマネージャー

佐々木 理 氏

第一生命保険株式会社 白坂 理佳 氏

第一生命保険株式会社
ITビジネスプロセス企画部サイバーセキュリティ対策室
マネジャー/シニアITスペシャリスト

髙森 覚 氏

第一生命情報システム株式会社 小堺 秀一 氏

第一生命情報システム株式会社
基盤システム第一部 オープン技術第二グループ
担当リーダー

小堺 秀一 氏

第一生命情報システム株式会社 渡邉 寛明 氏

第一生命情報システム株式会社
基盤システム第一部 オープン技術第二グループ
チーフSE

渡邉 寛明 氏

ーー「ITビジネスプロセス企画部」についてご紹介をお願いいたします

DL太田 氏 ITビジネスプロセス企画部は、社内の情報システムと、ビジネスプロセスつまり事務インフラ(印刷や物流等)を横断的に見ていく部署です。
「第一生命保険」という会社が、生命保険業務を営む上で必要となるプラットフォームに関する企画や管理を行っています。
サイバーセキュリティ対策チームも当部内にあり、メンバー全員が第一生命ホールディングスも兼務しています。

第一生命ホールディングスや第一生命保険には、国内外に多数のグループ会社があります。国内生命保険事業もチャネル別に3社あります。 当チームメンバーは一部のグループ会社を兼務しています。
私たちはグループ全体のサイバーセキュリティ対策に関する方針などを策定し、グループ全体の態勢強化に取り組んでいます。

ーー第一生命情報システム(DLS)についてご紹介をお願いいたします

DL太田 氏 DLSは、第一生命グループ唯一のIT戦略会社です。
第一生命保険のみならず、グループ全体のIT戦略を支える主体であり、開発や運用を担っている不可欠な存在です。
過去には第一生命保険内にも開発・運用部門がありましたが、サイバーセキュリティ分野を含むIT業界は技術の変化が激しく、高い競争力を維持するため、グループ会社と本体のシステム部門を統合し、1999年に同社を設立しました。

ーーサイバーセキュリティ業務について具体的な話をお聞かせください

DL太田 氏 第一生命のIT戦略では、DX(デジタルトランスフォーメーション)とサイバーセキュリティは”両輪”であり、両方をバランス良く進めていくのが大切であると考えています。 DXは幅広い部門で取り組んでいますが、同時にもう一方の車輪であるサイバーセキュリティ対策もしっかり機能させ、お客さまへの安全なサービスを確実にお届けすることが重要です。
日々のセキュリティ・インシデントへの対応、脅威情報・脆弱性情報の収集や確認などの他、開発も支援しています。

例えば、お客さま向けのスマホ向けアプリ「健康第一」では、ルールベースアプローチとして、FISC安全対策基準やOWASP、セキュアコーディングガイドに対応しているか、
リスクベースアプローチとして、STRIDE脅威モデルや脆弱性診断結果に対応しているか、などの確認を行いました。

ーー「DL-CSIRT」についてご紹介をお願いいたします

DL佐々木 氏 サイバーセキュリティ対策室(DL-CSIRT)はCSIRT業務を担い、お客様により安全なシステムやサービスをご提供するための下支えをする部門です。

平時は自社開発するシステムやアプリケーションのセキュアな設計・構築・実装、従業員向けの教育訓練を主導し、インシデント発生時等の有事の際は、インシデント対応に際して経営企画、広報、コンプライアンスなど他部門を全て巻き込んで指揮を執っています。また、ホールディングス業務においては、第一生命グループ全体のガバナンスを管理することや、第一生命グループ全体のサイバーセキュリティ体制の強化に向けて方針や戦略を立案し、それを実行するための管理をしていく、という側面がインシデント対応よりも比重が高くなっています。
第一生命情報システムのセキュリティ部門は、DL-CSIRTと共同で主には第一生命保険向けではありますが、グループ全体のセキュリティ運用の実務を担っています。

ーーEC-Council公式トレーニングをご採用いただいた背景をお聞かせください

DL佐々木 氏 弊社はSANS、CISSP、情報処理安全確保支援士の取得を推奨しており、現状で満足はしているものの、より上を目指すという意味でハンズオンを重視した実践的な研修あるいは資格は重要であると考えておりました。
CND/CEHのコース内容を確認して、守りと攻めの両面をカバーしている研修は目新しく感じ、事業会社側の第一生命、開発・運用側の第一生命情報システム、双方に有用と考えましたので、今回積極的に受講を推奨しました。

DL太田 氏 GSXはサイバーセキュリティの専業会社であり、業界の最新動向を取り込んだカリキュラムを持つことなどから、採用を決めました。
弊社はサイバーセキュリティ人財育成を重要視していますが、技術面だけでなく、法令や規制の情報、各国政府の動向など、求められる知識は幅広く、年々難しくなっています。
テクニカルな知識は体系化された研修を利用して、ベース知識を付けることが大切だと思いますので、CND/CEHを継続して受講していきたいと思います。

ーーEC-Council公式トレーニングのCND/CEHを受講したご感想をお聞かせください

DL高森 氏 セキュリティに関して網羅的な内容で非常に濃厚な研修でした。
日常の業務から知っていることもありましたが、講師の方から学ぶことも多くありました。
セキュリティに関しては幅広く知識を得る必要があるため、5日間では時間が足りないと思いました。
ただ、多くの場合、日常の業務もあり、5日間続けて日程を空けることは厳しいと感じますので、ハイブリッド(フィジカルとオンラインの組み合わせ)で研修と業務の時間をうまくやりくりできれば良いと感じました。
オンラインでも学習はできますが、フィジカルでないと講師に聞きにくいこともあるため、ハイブリッドで受講できるコース、例えば、月~木曜日まではナイトコース、金曜日は一日研修内容を講師対面でレビューできる、というスケジュールなら2週間のコースなどがあると良いと感じています。

海外が発信の研修教材は、英語の教材が多いので、苦手分野などは学習するのに苦労するのですが、CND/CEHの教材テキストは日本語化されているので、効率よく理解することができました。
iLabsのテキストは英語のものもありましたが、教材テキストの画面キャプチャ図版を確認しながら、実際の画面を操作することで、理解できるものに仕上がっていましたので、言葉の壁を越え、実践的に学びやすかったと思いました。

CEHは、セキュリティに関する分野を20個ほどのモジュールに細かく区切られているため、学習する際に頭の中を整理しやすかったです。他のセキュリティ資格は大きく7、8モジュールに分類されていることが多く、カテゴリーに違和感を覚えるモジュールもあるものと比べると、とても学習しやすかったです。

また、社内のCND受講生からは、ネットワークの知識が十分でなくても基本的なことから学ぶことができ、よかったとの声を聴いています。

DLS小堺 氏 研修を受講する前には、コースウェアのボリューム感を見て、5日間で習いきるイメージがつかなかったのですが、実際に受講して、講義はテキストの各セクション内容の学習が中心であるため、技術的な面は自分でiLabsの演習を重ねて補完していく必要のある研修なのだと理解しました。
個人的に暗号の分野があまり得意ではないのですが、講師の方に都度質問し、知識を整理しながら学習を進めることができた点が良かったと考えています。 iLabs(オンライン実習環境)の実践と、認定取得のための学習も含めて、一つのコースだと思いますので、研修の内容を継続して学習していこうと思います。

DLS渡邉 氏 私はCEHが18モジュールの時(Ver.9)に受講しました。
セキュリティ分野は年々学ぶべき範囲が細分化されてきますが、CEHの研修ではセキュリティ知識を幅広くカバーしていて、一つ一つ細かくテキストに記載されていることもあり、広く深く学習できたことが受講意義として大きいです。
また、ここまで幅広くカバーできているセキュリティの研修はなかなか見当たらない印象があります。
特定分野を深く学ぶことができても、セキュリティは幅広い知識を必要としますので、CEHの研修ではその知識を付けたいという悩みをお持ちの方々にも有効であることがメリットなのではと感じています。

講義のスピードは速く感じましたが、講師の方から「ここは実際に攻撃で使うことがあります」等のお話を聞くことでメリハリをつけて受講できました。 また、最前線で活躍された講師自身の経験談はためになり、興味深く楽しく受講できました。

iLabsのような環境を自作するには時間がかかりますが、講義内容にパッケージとして提供いただいたので、環境構築の時間を短縮でき、勉強に集中する時間を作ることができたのが良かったです。

DL佐々木 氏 私はCND/CEH研修は受講しておりませんが、事業会社である当社の事業所ではiLabsのようなハンズオン環境を常備しておらず、その環境があらかじめ準備されているCND/CHE研修は大きなメリットと感じていました。
テキストを用いた当日の研修だけではなく、ハンズオン環境を活用して体系的・網羅的な知識が習得できるところが魅力であり、コース内容と照らし合わせるとコストメリットがあると感じました。

ただ、研修で5日間、メンバーが不在になることはチーム運営において非常につらいため、研修を受ける側の視点に立った日程をご用意していただけると嬉しいです。

私は「研修を研修で終わらせてはいけない」という想いがあり、研修で学んだ内容をいかに実務にフィードバックするかを重要視しています。 今回のコースウェアではiLabsの環境を半年継続して使用することができるため、研修で得た知識をさび付かせずに各自の業務に活かせるように意識付けをしています。

ーー第一生命のサイバーセキュリティ人材育成についてお聞かせください

DL高森 氏 弊社は海外展開している観点からも、インシデントが起きた際に一定の能力を持っている人材が相談に乗れる状態を確保しておくことで、グローバルなレベルでも信頼してもらえる立場になれるだろうと思っています。

ーーCSIRTの観点から、今回の受講内容は業務にどのようなシナジーがあるかお聞かせください

DL佐々木 氏 CSIRTは守る側の業務がメインかと思いますが、さらに守りを有効化するためにはセキュリティの守る側と攻める側の視点があることが重要と思っています。
CEHの研修を経て、「こういった点を突いてくるから、ここを補強しよう」「技術で補強できないなら、こういうことを考えよう」と、攻める側の視点に立ち、先回りできるようになることがCSIRT業務の充実につながって良かったと考えています。

DLS小堺 氏 第一生命情報システムはセキュリティ運用を担っていることもあり、インシデント発生時への備えとして、自ら手を動かすことができるようになるという点を重要と考えています。しかしながら、日常の業務と両立する形で個人が環境を構築し、維持するというのは難しい部分がありました。iLabsを活用することで手間を省くことができ、モジュールの学習に専念できるという点や、必要に応じて初期状態から再度利用できるという点は大変助かりました。

iLabs単独で延長の利用メニューも用意されているとのことなので、活用を検討したいと思います。

ーー最後にメッセージをお聞かせください

DL太田 氏 当社がこれまで118年もの長い間、生命保険事業を継続できたのは、お客さまから信頼を頂いたお陰です。
これからもお客さまに信頼に応え続けていただくためにも、サイバーセキュリティの強化は非常に重要だと考えています。
今後も日々緊張感を持って業務に取り組み、グループ一丸となって、大切なお客さまの情報資産を守っていきます。

お問い合わせはこちら

お問い合わせ

セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。