セキュリティの新しい風（2018年11月27日）

サイバーセキュリティにおける教育・訓練を考える

１.　教育・訓練とは：個人的には、教育・訓練は「グライダー」と同じ（「教育・訓練＝グライダー論」）と考えることがある。 最初は牽引して空に送りだすが、その後は、自分で操縦し、自由に空を飛びまわり、無事に戻ってくることが最良の教育・訓練だと考えている。
　(1) 教育： 日本語の語源はともかく、教育は「教える」と「育てる」という２つの言葉からなっている。 本来持っていないものを外部から教え授けるだけでなく、内部にあるものを育てることで始めて、教育であろう。
　(2) 訓練： 技能の訓練という意味で考えられてきており、技術的な知識の教育と考えられている。

２.　対象者：サイバーセキュリティでの教育・訓練対象者は、コンピュータ操作に適・不適（慣れ／不慣れ）があり、受講者に直接入力させることを避け、テキストファイル等を提供し、「コピー＆ペースト」等で入力処理を代替し、進行が遅れないようにする。
　(1) 初心者：初心者は各自持っているものが異なる。 全体のレベルを考えて教育・訓練を行うが、中位程度かやや下のレベルに合わせた教育・訓練を実施し、落ちこぼれをなくす。 但し、上位者が退屈／不満を持たない工夫も必要（上記、「コピー＆ペースト」もそのひとつ）。
　(2) 中級者：一方向的な教育・訓練だけでなく、参加者個人／グループで行う教育・訓練を行い、独り立ちや他者（初心者や部下）の指導ができることも教育・訓練の１つになる。
　(3) 上級者：課題を与え、個人／グループで課題解決できる工夫をし、一方向的な講義は可能な限り減らす。 教育・訓練内容により、個人／グループで環境を構築することも教育・訓練の一環として考える

３.　受講前提： セキュリティ教育・訓練では、受講者の持っている知識を考慮することがある。 受講者が事前に想定したレベル以下の場合、教育・訓練全体が成り立たなくなる可能性がある。
　(1) 前提知識あり： 前提知識がないのに「ある」と言う受講者もいる。キー操作等は、コピー＆ペースト」等で対応可能だが、コンピュータや業務の基礎知識が必要な場合、前提知識は具体的な項目を列挙する。
　(2) 前提知識なし： 中途半端な受入は、他の受講者の不評をかう可能性がある。 一人の受講者に講師が時間を取られ、予定通り進まないこともある。 また、教育・訓練を適切に進行させるため、教育・訓練補助者を付ける対応も考えること。　高価な教育・訓練費や時間を費やして参加する受講者を考え、また教育・訓練が不評であれば、企業全体の評価に影響することを、特に、マーケティング部門や経営層に理解を求める必要がある。

４.　教育・訓練方法：
　(1) 集合教育：教室などに集め、説明・解説を行うが、一方向的な説明・解説に終始せず、個人／グループで考える時間やグループであれば、各グループ発表／質問・コメントなどの時間を設け、各自が自分で考える機会を設ける。
　　① 定員: 満席になっても、空調等が機能しない環境に特に注意する。　特に、「クールビズ」等で業務遂行に適さない室温にならない配慮が必要
　　② 機器利用：色々な利用者がおり、講師のデータを受講者が壊さない配慮をし、万一、受講者が誤って講師のデータを壊しても簡単に復元できるようにする。 また、Cyber Rangeのような講義であれば、 攻撃側、防御側、プレゼンの３画面を考える。 セミナーなどで得意になって、１画面でやる講師がいるが、教育・訓練としては失格。攻撃側、防御側の区別だけでなく、文字（表示画面）が見えないものも数多くある。プレゼンの目的は、細かい画面を見せることではない。 攻撃・防御の仕組みを理解させることで、その理解がない講師が意外と多い。４K対応プロジェクタも安価になっており、今後更に価格が下がると思われる。
　もし、細かい画面を見せる場合でも、全体を表示するだけでなく、必要な部分は次の画面でみせるなりの工夫はスライドであれば可能。
　(2) オンライン教育（Webinar）： 集合教育では、物理的な場所が必要だが、テレコンファレンス機材があり、講師と機材を置く場所があれば対応できる。 但し、機材（ソフトウェア）も含め、受講者がそれらをどの程度利用できる能力を持っているかも確認する必要がある。
　　① 受講場所：受講者の場所で行う場合と、サテライトオフィスのような場所に集まって、受講する方法がある。オンライン教育（Webinar）受講者の人数や受講者の特性（遠隔地からの参加、夜間遅い時間帯の利用等）を考慮する必要がある。
　　② 利用機器：多数が受講でき、画像・音声の双方向やメッセージの質問が可能。　更に、自社所有でなく、時間貸（含無料試用：2週間程度）サービスもあり、使い勝手やテレコンファレンス等の利用も含め検討する。
　(3) 集合・オンライン教育： 集合教育とオンライン教育を兼ねたもの。 （参考： 最終ページ写真）
　(4) オンライン教育（E-Learning）：オンラインで個別学習を行う。「①集合教育」のビデオを作成し、視聴する方法もあるが、長時間（60分以上）の場合、20分程度に分割するか、途中視聴可能な仕組みも必要。 知識吸収型であり、いつでも視聴が可能なため使い勝手が良い。
　10分～20分程度に分割して、「講義＋クイズ」形式にし、正答率が一定以上であれば、次に進める方法もある。
更に、正答に対し、ポイントを与え、獲得ポイントにより、表彰やノベルティ等を与える方法、（「ゲーミフィケーション」）は、受講者の意欲も高く、高い教育効果もある。

　(5) オンライン教育（技術者向け教育・訓練）：基礎的なものは、じっくり受講でき、センター側の構築次第で、受講者の効率（主催者側の効率も）は、かなり高くなる。

５.　講師及びその関連について
　(1) 講師とは：はじめに述べた「教育・訓練＝グライダー論」で考えれば、受講者がうまく空に飛び出し、自由に滑空できるようにすることが、その役割と考えることができる。
　話し方やプレゼンテーション、機器の操作時の対応など非常に参考になる講師もいるが、全ての講師が尊敬に値するとも限らない。
　　① 自信がない： 自信がなさそうで、受講者を見ないでプロジェクタに表示された内容を見て説明（当然、受講者には背中しか見えない）している講師がいる。
　キーボード作業を講師がやる必要があるが、可能な限り受講者を見て、進捗状態を確認しながら講座を進める。 時々、受講者が操作に迷う、ＰＣがフリーズすることもある。 教育・訓練支援者がいても、追いつかないこともあり、適切な連携を行う。
　　② 自信過剰： 自信過剰でなく、自信がないかも知れない。 「自分は教える立場だから偉い」との態度や言葉遣いが悪い講師もいる。 丁寧すぎる言葉を使う必要はないが、「教えてやる」との考えは捨てる。 実際、教育・訓練により、新たな発見も数多くある。
更に、質問をすると怒った態度を取り、終了後等での名刺交換にも応じない講師もいた。 最悪は某有名大学の教員で、受講者をバカにし、多くの情報収集をしているだったが、質問も受け付けず、内容自体もいくつかの嘘があり、引用元も明確にしなかった。
　即答できない質問にも、「Good question」と言って、受講者を喜ばせ、回答する講師だと参考にしたいと思うことがある。
　　③ ポインター： パワーポイントなどのスライドを手元で操作できるポインター（プレゼンターとも）があるが、説明では必ず使う。リモート操作が可能であり、受講者をみてスライドの内容の説明が可能になる。
　　④ スライドファイル： パワーポイントの利用方法が悪いケースが多い。パワーポイントではプレゼンテーション形式（pptx）とスライド形式（ppsx）がある。スライド形式（ppsx）でファイルを作成し、ショートカットをクリックし、直ちに説明を始める。 特に、マウスを利用しない場合、説明を開始するまで受講者はダメ講師だとみていることを忘れないこと。
　また、動画もパワーポイントに組み込み、スライド内で、動かすことで迅速に対応できる。
　国内のプレゼンテーションは全体的に非常にレベルが低く、未だに、スライドを部下などに送ることをやっているICT業界人もいる。　YoutubeやTEDのプレゼン等も参考にし、低レベルのプレゼンに合わせる必要はない。

まだ、色々あるが、セキュリティの教育・訓練では、他の教育・訓練より遙かに多くの推進、高度化が可能と思われる。 教育・訓練を多方面から検討し、優秀なセキュリティ専門家を育成ことが重要であると思っている。