CEHオンライン受講インタビューマイクロソフトコーポレーション 様

マイクロソフトコーポレーション 垣内 由梨香 氏

マイクロソフトコーポレーション
セキュリティ レスポンス チーム セキュリティ プログラム マネージャー CISSP

垣内 由梨香 氏

マイクロソフト株式会社に入社以来、Active Directory, Network, 証明書および暗号化を専門としたWindows エンジニアを経て現職。マイクロソフトPSIRT/CSIRT、脆弱性報告窓口の運営、セキュリティの意識向上活動、インシデント対応に従事。CRYPTREC委員、情報処理技術者試験委員会・情報処理安全確保支援士試験委員、Software ISAC (Computer Software Association Japan) 日本ネットワークセキュリティ協会(JNSA),(ISC)2 JapanChapter などのセキュリティ団体での活動も行っており、保育園児2人の母でもある。


業務内容
・Microsoft 製品・サービスの脆弱性やセキュリティ インシデントハンドリング、セキュリティ情報およびガイダンス提供
・セキュリティ パートナーシップ プログラムの運営
・セキュリティ啓発活動(セキュリティ エバンジェリスト)
Twitter @JSECTEAM日本のセキュリティ チーム 公式ブログ
https://aka.ms/JPSECURITY
マイナビ IT Search+
AzureとOffice 365のセキュリティ、MS ゆりか先生が教えます
https://news.mynavi.jp/itsearch/article/security/1948
MS ゆりか先生が教えるWindows 10 セキュリティのアレコレ
https://news.mynavi.jp/itsearch/article/security/1396
業界での活動
情報処理技術者試験委員会・情報処理安全確保支援士試験委員
CRYPTREC 委員
情報システム等の脆弱性情報の取扱いに関する研究会 委員
Software ISAC (Computer Software Association Japan) セキュア開発ワーキンググループ リーダ
日本ネットワークセキュリティ協会 (JNSA) 幹事
(ISC)2 Japan Chapter ワーキンググループ リーダ

ーーCEH受講の背景をお聞かせください。

垣内 氏 セキュリティプロフェッショナルの先達がカリキュラムとして体系化して組み立てたものを受けてみたかったことが背景にあります。
マイクロソフトコーポレーション(以下、MS)にも似たトレーニングがありますが、自社製品の脆弱性の話が主軸ですので、外部トレーニングを受けないと他社プロダクトに触れられないので、視野を広げるために今回受講しました。結果的に、CEHを受講して業務の面から見ても知識の幅が広がりました。

マイクロソフトコーポレーション 垣内 由梨香 氏

ーー組織内のチームという観点で見たときに、CEH受講によってスキルアップやセキュリティの課題解決ができる側面はありますか?

垣内 氏 社内勉強会やトレーニングは似た考えの自社内のプロダクトがベースとなってしまうので、異なった視点や、他製品のプロダクトを扱ったトレーニングを自社だけで賄えないのは大きな問題だと思っています。
そこを補うために社外のものを活用していこうというのがMSの方針でもあります。

ーー資格の銘柄関係なく受講資格取得は会社から励行されているのですか?

垣内 氏 そうですね。私の所属するチームは極めて専門性が高いので、個人個人で自身のキャリアを見据えて、自分が取得したいスキルを探して、取得させていただく形をとっています。

ーー垣内氏の周囲ではEC-Council、CEH等の資格の認知度はどの程度でしょうか?

垣内 氏 欧米ではCEHの認知度はありますが、日本においては認知度が高くない印象があります。
社内の上司や同僚にCEH受講の旨を伝えた際、欧米系(イギリス、アメリカ、ロシア)の人たちは認識していましたし、中にはCEHを取得したいと思っていた方や資格の情報を持つ方もいたので、この資格のメリットを敢えて説明しなくても話が通るほどの認知度でした。ですから、グローバルでは一定以上の認知度はあると思います。

ーー垣内氏は、他に国際資格をお持ちですか?その中で今回受講のCEHはいかがでしたか?

垣内 氏 CISSPやMSベンダー資格(MCP)を所持しています。
私は時々外部トレーニングを受けていますが、資格取得よりも学びたい内容をメインに考えています。
CEHが良いと思った点は、CISSPなど多くの資格が「守る側の視点」ですが、「攻撃側の視点」でトレーニングを受けられる点です。独学で勉強はしてきましたが、体系的なものを受けたことがなかったので外部で受けてみたいと思っていました。
また、ラボ(iLabs)の演習ができる環境が用意され、講座終了後も一定期間利用できる点も良いと思っていました。それまで使ったことがなかったツールや講師による説明を聞いて学べることも多いですし、手を動かして実践的なことができるのが良いと思います。

ーー攻撃者視点のトレーニングはまだまだ市場に少ないのでしょうか?

垣内 氏 そうだと思います。 ペンテスト系も比較対象に入れていましたが、ラボ(iLabs)があることやオンラインで受講できるということで今回申込みました。

ーー今まで受講されてきたフィジカル受講と今回のオンライン受講の違いについてお聞かせください。

垣内 氏 私自身が不規則な時間の仕事(MSは社内環境がグローバルであり、夜中に会議をすることや、急な仕事が入ることがあります)ですので、オンライン受講は仕事やプライベートの時間を効率的に取りやすかったです。
オンラインだと、受講しているデバイスとは別のデバイスを用いて、先生の発言や参考文献など気になることを調べながら受けられることが良かったです。フィジカルの講義だと、後で調べようとメモしても調べ忘れてしまうことがありますが、それを防げました。

また、自分で受講環境を整えられるのは良かったです。
フィジカルの場合、講義はしっかり聞かないといけない、じっとしていないといけない、黒板とノートをずっと見ながら受けないといけない、という環境が個人的に辛く、集中しているつもりでもできないこともあります。
その点、オンラインだと自分が一番リラックスできるスタイルをフレキシブルに確立して受講できました。
また、音声が強制ミュートになっているので自分の思っていることを気兼ねなくつぶやいて考えを整理できることや、講義中の飲食も人目を気にしなくて良いので、講義の吸収効果に差が出ました。

オンラインでは、インタラクティブに講師とコミュニケーションができることや、質問の仕方が選べるのが良かったです。ほかの受講生の目を気にせず講師に1対1で気軽に質問できることや、簡単な質問ならチャット機能で受講生同士フォローしあうこともできます。
フィジカルだと全員で質問を共有しないといけない風潮があるので雰囲気にのまれることもあると思います。一方オンラインでは「飲み物取ってきます!」などちょっとしたことを先生だけに伝えることができるのは良かったですね。
オンラインは受講者が自分自身で心地良いと感じられる環境を自分の中でセットできることが強みだと思います。フィジカルの講義だと一見不真面目に捉えられるかもしれませんが、講義中、受講側はビデオオンではなかったため、自由に楽な気持ちで受講できました。

自分のペースを保ちながら受けられるのはオンライン受講の強みだと思います。
きっとクラスルーム(フィジカル)の講義で8時間ずっと受け続けるのは難しかったと思います。17時に講義が終わると保育園は延長になってしまいますし、ラボ(iLabs)はいつでも使えるので、私のように育児している人や時間がない人に優しい環境です。
産休/育休前後のような、比較的時間があるときのランクアップトレーニングにも活用しやすいと思います。このような勉強の時間は、仕事が最優先のときにはなかなか取れない時間ですし、オンラインだと講座の始まる前後の時間や休憩時間などが使えるので、色々な方々が受けやすいと思います。

また、オンライン環境では子供を見ながら、バランスボールに乗りながら、という聞き方でも講師の説明するエッセンスは聞けますし、全く新しい受講スタイルが確立できます。

マイクロソフトコーポレーション 垣内 由梨香 氏

ーーオンラインの改善ポイントはありますか?

垣内 氏 受講者同士で自己紹介をする時間がありましたが、先生との縦のつながりはあっても、受講者同士の横のコミュニケーションは希薄になりがちです。会ったことがない人とオンライン上でいきなりコミュニケーションを取ることは抵抗があります。
新しい受講の形としてオンラインは継続するとよいと思いますので、横同士のコミュニケーションをとれるとよりいいと思います。
フィジカルの良い面は、受講中に知り合った人とテスト勉強ができることや、意外な人と出会えることだと思っています。ですが、オンラインツールの進化で今後できることは増えていくでしょうし、COVID-19が収束しても新しい受講の形としてオンラインは継続すると良いと思います。

ーー5日間受講して気づいたことはありますか?

垣内 氏 オンライントレーニングがトラブルなしで終わったのは講義環境の盤石性を感じました。
セキュリティコミュニティは時事ネタが多いですが、基礎的なインシデントの解釈の話は話題に出にくいものなので、講義でそのような話を聞いて改めて自身の理解を見返すきっかけになりました。
講義で得たものを改めて会社で自分の考えとして整理するために講師の話とすり合わせると思いますが、質問することは大事ですし、そのような環境があったのは良かったです。

MSの社内トレーニングの場合、掲示板ができていて、講座の授業以外の会話もしながら交流しています。授業中も、特に英語圏では、他の方が話しているときにもチャットウィンドウにリンクを貼ったりコメントを書き込んだりする文化があるのですが、日本の文化ではまだあまり見られないので、今後は同じように盛り上がることができれば良いなと思います。

ーー5日連続受講する、あるいは日程を分けて受講する、どちらが良いと思われますか?

垣内 氏 会社に5日間連続で出社できなくなるのは困る人もいると思いますが、オンラインなら昼の一時間でテレカン、隙間時間に仕事や育児などできました。また、5日間連続の日程だと動かせない用事があるときは大変ですけど、CEH講義では20モジュールもあって盛りだくさんだったので5日間ないと吸収しきれないな、とは思いました。

マイクロソフトコーポレーション 垣内 由梨香 氏

ーー講師について感じたことをお聞かせください。

垣内 氏 資格は認知度や取得する意義、所持しているとどのくらい稼げるようになる、という観点でよく語られますが、私は資格を取得する過程でいろんなことを学び、結果として修了証のような意味合いで資格が取得できればいいなと思っています。
トレーニングでは、自分が組み立てたものではない、専門家が組み立てたカリキュラムを受けることで、自身に足りない知識を吸収することに価値を置いています。
今回の講座では、講師の方から、教科書に載っていない自身の経験や補足情報(ガイダンス、ガイドライン、参考になる人の教えなど)を付け足して、資格を取ることがゴールではないことをお話ししてくださることで、自分の知識を増やせることに魅力を感じました。

一定のクオリティを出すために教材があると思うのですが、教科書以外でホワイトボードに描いた図などを見せていただき、パワーポイントを見るだけの講義ではなかったことで、講師の準備がしっかりなされているなと感じました。前述の補足がどれだけあるかが先生の価値であり、その差であると思います。
ホワイトハッカーの中でも独学でやっている人こそ、体系的なものをわざわざ講義として受ける機会が少ない傾向があります。
ですが、教育の専門家が組み立てたプログラムで講師の方が実際に役に立った経験を聞けることは、独学ではカバーできていなかった領域に触れることもでき、きちんとした知識として有用であると思いました。講師の方が経験してきたからこそ言える「このサイトが良いよ!」という情報や、読んでおいたほうが良いガイドライン、ガイドラインの読み方、どう解釈しているか、などのお話はなかなか聞けない話であり、自身が事前に知っていたとしてもより理解を深めるために有用だとこの度改めて深く認識しました。
講義は網羅性が高くて、ネットワークやセキュリティの基礎くらいは知らないと辛いかなと客観的に感じていましたが、講師の方がついていけない人が出ないように補足されているのが感銘的でした。これは講師の力そのものですね。

ーーテキスト(教材)の内容はいかがでしたか?

垣内 氏 英語版のテキストがないのは個人的に残念でした。
教科書は英語版から日本語訳したものなので日本語に違和感が有ったり、わかりにくかったりする表現がありました。ですが、スライドやテキストをただ読んでいるだけの講師がいなかったので、そこは良かったです。

ーー最語に、一言お聞かせください。

垣内 氏 CEHのような資格は自分の専門性と関係ないからと敬遠するのではなく、意外と敷居が低いので色々な人に受講してほしいですね。セキュリティ営業の方はもちろん、管理部所属の方などが受けても良いのではと思います。
MSでは自分で計画を立てて継続的に資格等を取得することで、学び目標をもって自分を育てることが求められています。
私はセキュア開発ライフサイクル、エクスプロイト技術はMS内の話ばかり頭に入っているので、今後は、他者の目線を見て気づきを得るためにもセキュア開発(CASE Java)や脅威インテリジェンス(CTIA ※日本国内未ローンチ)をGSXで受けてみたいなと思いました。最後に、安心安全な環境はまず脆弱性をなくすことから大事だと思います。ぜひ皆様にはセキュリティパッチ(Microsoft Update/Windows Update)を確実に実行してもらえればと思います!

他の導入事例

導入事例一覧を見る