検索
Special

「世界基準」の実践型トレーニングで日本のサイバーセキュリティはどう変わるかグローバルで認められた「トレーニングとは思えないリアリティー」

サイバー攻撃の高度化を受けて、企業・組織の被害が拡大している。いかに現実に近い環境でスキルを磨き、セキュリティチーム全体の対応能力を底上げするか。「世界基準」の実践型トレーニングの中身を探る。

[PR/@IT] PC用表示
Share
Tweet
LINE
Hatena
PR

 ランサムウェア(身代金要求型マルウェア)やAPT(Advanced Persistent Threat)グループによる標的型攻撃、脆弱(ぜいじゃく)性を突いた不正アクセスといったサイバー攻撃による被害が増え続けている。攻撃を防ぎ、あるいは早期に検知や対処をして、被害を封じ込めるセキュリティ対応の重要性は高まる一方だ。世界中の攻撃者が攻撃しやすい企業や組織を標的にする中、日本も例外なく狙われており、「世界基準」の対応能力が求められている。

 攻撃側がエコシステムを構築し、グループによって攻撃ペースを速める一方、防御側は高度セキュリティ人材が不足する中、個人のスキルアップが急務になっている。だが、自社の防御力が「世界基準」でどのレベルにあるのかを客観的に評価する“すべ”を持たず、評価に基づいて組織としてのセキュリティ対応能力を向上させる視点が欠けているのが現状だ。現場ではメンバー間のスキル差が激しく、標準的な教育だけではチーム全体の底上げが困難で、実力の不足、不透明さ、それらを受けた対応スピードの遅れが、サイバーレジリエンス向上を停滞させている。

 いかに現実に近い環境で実践的なスキルを磨き、チーム全体の対応能力を底上げするか。そのためのセキュリティトレーニングを世界中で提供するHack The Boxが、インフォメーション・ディベロプメントとパートナーシップを結び、日本でもトレーニングの提供を開始する。Hack The Boxでアジア太平洋地域のVP of Revenueを務めるルイス・ハーディング氏に、サービスの概要や事例、日本進出の背景などを尋ねた。

photo
Hack The Boxのルイス・ハーディング氏(VP of Revenue, APJ)

レッドチームだけでなくブルー/パープルチームにもトレーニングを提供

 Hack The Boxはサイバーセキュリティに取り組む人たちのコミュニティーとして生まれた。現在、約400万人に上る世界各国のエンジニアがコミュニティーに参加している。Hack The Boxの有用性が徐々に認められるにつれ、企業のセキュリティ担当者やセキュリティサービスを提供する企業でも、自社独自の教育環境を求める声が高まってきた。これをきっかけに、Hack The Boxはセキュリティ研修や人材育成ソリューションの提供を開始。AIを活用したセキュリティ対策の準備やスキルアップソリューションによって大規模なサイバーレジリエンスの構築を支援し、Fortune 500(米Fortune誌の売上高上位500社)の各社、政府機関、マネージドセキュリティサービスプロバイダー(MSSP)の信頼を獲得している。

 Hack The Boxは創業当初、攻撃者の視点で脆弱性を見つけ出すペネトレーションテストなどに必要な、いわゆるレッドチーム向けのスキルやケイパビリティ向上に重点を置いたトレーニングを提供していた。そこで蓄積した知見をベースに、システムを攻撃から守ってインシデントに対応するブルーチーム、レッドとブルー双方の要素を兼ね備えたパープルチームにも対象を広げ、攻撃に関する深い知見から生まれる“コンテンツの深み”を特徴としている。

 「当社のプラットフォームは、学習・訓練・テスト(証明)のサイクルを通じて、“実戦”のプレッシャー下で能力を発揮できる状態、つまり『サイバーレディネス』を養うものです。これは進化する脅威に合わせて、常にアップデートし続けます。プラットフォームで測定した演習のデータは、現場のスキル向上から経営層への報告まで幅広く活用できます。現実の攻撃者はレッドとブルーの境界など配慮しません。だからこそ、当社もその垣根を取り払って全方位的な防御力を可視化するのです」

photo
レッドチーム、ブルーチーム、パープルチーム向けのトレーニングの概要(提供:Hack The Box)《クリックで拡大》

 Hack The Boxの主なサービスは以下の通りだ。

  • レッド、ブルー、パープル、AIセキュリティなどの各役割に対応したコースと認定資格を提供する「HTB Academy」
  • ハンズオンラボとサイバーレンジ(SOC〈Security Operation Center〉、DFIR〈Digital Forensics and Incident Response〉、脅威ハンティングなどの各役割に合わせて攻撃を再現した環境での実践訓練)
  • 技術チームとビジネスチームを連携させる卓上シミュレーションと危機管理シミュレーション
  • 対応力を数値化し、エンゲージメントを高めるキャプチャー・ザ・フラッグとチーム演習

 これらのプログラムは米国立標準技術研究所(NIST)の「NICE」(National Initiative for Cybersecurity Education)や、「MITRE ATT&CK」(Adversarial Tactics, Techniques, and Common Knowledge)などのフレームワークに基づいている。

 加えて、Hack The Box は2025年9月にブルーチーム向けトレーニングを提供するLetsDefendを買収。これにより既存の実践的な知見を基盤として、実世界に焦点を当てた運用重視のトレーニングをさらに強化している。

photo
脅威耐性指数の提示例(提供:Hack The Box)《クリックで拡大》

実践スキルを現実さながらの環境で習得

 セキュリティ人材にはセキュリティに関する最新の知識やツール類を使いこなすスキルが求められるのは言うまでもない。その上で、チーム内の役割に応じて実行能力を発揮し、脅威に対応できるサイバーレディネスの向上は欠かせない。そうしたチームや組織レベルでの取り組みを支援することもHack The Boxの特徴の一つだ。

 例えば、HTB Academyで受講者は役割ベースの学習後、ハンズオンラボや脅威レンジに進み、現実さながらのプレッシャー下で検出、調査、エスカレーションなどの対応を体験する。現場の技術者から経営層までを対象とした各プロセスでパフォーマンスに基づくデータが測定され、危機的状況下での組織的な意思決定能力を検証する。組織の強みやスキルの空白(ギャップ)を特定して、戦略的なセキュリティ投資をサポートする仕組みだ。

 SOCチームやフォレンジック担当者、脆弱性管理の担当者などセキュリティチームを構成する各メンバーの役割に応じたトレーニング計画を立案し、受講してもらうことで、「どれだけスキルが向上したか」を計測し、最新脅威に先んじた体制を整備できる。特定のAPTグループによる脅威に備えてトレーニングをしたり、日々公開される脆弱性情報を基に「どのように優先順位を付けるか」の意思決定プロセスを改善したりすることも可能だ。

photo
フレームワークへの適用範囲の報告例(提供:Hack The Box)《クリックで拡大》

 時には、ゲーミフィケーションの要素を盛り込んだCTFで個人の能力を計測することもあり、実践的なSOCシミュレーター「Threat Range」を用いて「現実のインシデントを模したシナリオを基に、チームとしてどのように協力して対応できるか」を試す。取締役会も含めた机上演習によって、組織全体の危機管理能力も確認できる。一連のプロセスをHack The Boxのカスタマーサクセスマネジャーがサポートし、企業の状況に合わせてアドバイスすることで能力改善を後押しする。

 「Hack The Boxは個人だけでなく、チームとしてのパフォーマンスも可視化します。ゲーミフィケーションによって個人が“楽しむ”ことは、おのずとチームや組織ヘのエンゲージメント醸成にもつながります」

 Hack The Boxはレジリエンスが求められる政府機関や防衛産業、各種法規制やガイドラインによってインシデント対応体制整備が必要な金融・製造業界の他、脅威検出時間や復旧時間の改善を迫られるマネージドセキュリティサービスプロバイダーなどに採用されてきた。一部の大学では、サイバーセキュリティ人材育成のカリキュラムとしても導入されている。

 Hack The Boxを、セキュリティ人材育成のために採用したトヨタ自動車の北米本社では、訓練内容の現実味が評価された。仕方なくやらされる形式的なトレーニングとは違い、リアリティーある訓練内容への深い没入感が得られたとして、トレーニングへの関与度が150%向上する効果が得られたという。

インフォメーション・ディベロプメントと共に日本企業のサイバーレディネス、サイバーレジリエンス向上を支援

 改めて強調するまでもなく、セキュリティ人材不足は日本に限らずグローバルでも共通の課題だ。

 「人材が不足している状況では、外部からの採用だけでは問題を解決できません。前進する唯一の方法は既存のチームメンバーのスキルアップを図ることです。鍵になるのは単に頭数をそろえるのではなく、“適切な人材”を採用、育成、確保することです」

 加えて日本では、経済産業省や金融庁などがサイバーセキュリティ関連のガイドラインを整備することで、企業に対して「重大なインシデントを経営問題として捉え、必要に応じて情報を開示する」よう求め始めた。2025年5月に成立した、いわゆる「能動的サイバー防御法」により、インシデントへのプロアクティブな対応体制も一層強く求められている。こうした背景から、Hack The Boxの日本市場への進出はまさに絶好のタイミングだという。

 Hack The Boxはインフォメーション・ディベロプメントとパートナーシップを結ぶことで、日本でもサイバーレディネスの向上を支援する構えだ。「Hack The Boxのグローバルな学習環境とプラットフォームを、インフォメーション・ディベロプメントが持つ日本市場への深い知見や顧客関係と組み合わせることで、強力なパートナーシップが生まれ、選ばれるサイバーレディネスプラットフォームになると考えています」

 インフォメーション・ディベロプメントの福居一彦氏(サイバーセキュリティ事業本部長)は、Hack The Boxについて「最新の脆弱性や攻撃手法を網羅した実践的なラボ環境を提供し、エンジニアが“実戦”を通じて高度な専門スキルを習得することを可能にします」と評価する。両社の力を合わせ、「世界基準」の演習環境で日本企業のサイバーレジリエンスを高め、「安全なデジタル社会を支える揺るぎない礎になること」を目指す。

photo

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社インフォメーション・ディベロプメント
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2026年4月30日

ページトップに戻る