修士1年生を振り返って

前回のコラムでは、私が現在「情報セキュリティ大学院大学」※1で学ぶ「社会人兼学生」であることをはじめ、主に学校の特色や入学動機を紹介しました。

今回は、修士課程１年目を振り返り、入学前後で感じた2つのイメージギャップ「セキュリティスキル領域」「講義スタイル」を中心に、率直に感じたことや考えていることを交えて紹介したいと思います。

あまりにも広く深いセキュリティ領域。

自らが初学者であること、セキュリティ領域の広大さを痛感した1年！

IT業界で働く方々であれば、セキュリティ領域が業界内の各分野や役割、業務内容に密接に関係し、かつ重要な領域であることは想像に難くないと思います。

では、実際にセキュリティ領域の全容はイメージできますか？

私自身は入社から業務で積んだ経験や習得した知識をもとに、セキュリティ領域の全容をイメージできているつもりで、この領域における入学時点のスキル習得度はそれなりのものだと自負し、学校生活に臨みました。

しかし、現実はイメージと大きく異なっていました！

業務を通じてだけでは到底気付けない「発見」と「体験」の連続、そしてセキュリティに特化し、体系だったカリキュラムだからこそ得た気づきによって、セキュリティ領域の広さ・深さを痛感した１年でした。（入学前は、氷山の一角が見えていたに過ぎませんでした。）

例えば、ある情報システムのセキュリティを考える場合、以下の例示のような、あらゆる場面、角度で考察や検討を重ねます。
・その情報システムを構成する技術的な側面（暗号や認証、オペレーティングシステムやネットワーク、ソフトウェアなど）での対策
・作り上げるまでの開発プロセスから本番稼働後の運用保守におけるリスク評価やマネジメント理論
・組織におけるガバナンスのあり方
・取り扱う情報の社会制度や法制度
・利用するユーザ視点でのプライバシー、情報モラル
このように1つの事例で考えても多岐にわたる知識が必要であり、全ての要素にセキュリティは密接に関係します。

また、セキュリティ領域でエキスパートを目指すには、「法制・倫理」「暗号・認証」「ソフトウェア」「マネジメント」「ネットワーク」「システム」といった広いカテゴリの全てに関する知識を網羅的に習得することが必要不可欠、かつ前提条件と考えます。言い換えるとセキュリティ領域の全容を正しく認識する土台作りが必要です。この土台作りとして、大学院大学は最高の環境、およびカリキュラムを提供してくれました。

講義スタイルのイメージギャップ

ここまでの説明で、幅広い知識が必要になることは理解できたとしても、知識の詰め込みで頭でっかちになってしまうのではないか、または実際に講義を聴講するだけで身に付いたと言えるのか、といった点を疑問に感じる方もいると思います。
そんな疑問に答えるべく、もう1つのイメージギャップ要素である「講義スタイル」について紹介します。

「大学で講義を受ける」と聞くと、特に日本国内の教育における一般的なイメージとしては、受動的なスタイルで、教員から生徒への一方向のコミュニケーションを想像される方が多いのではないでしょうか。
この点も入学前に持っていたイメージと異なり、殆どの講義は教員から生徒、または生徒同士による双方向のコミュニケーションを軸として、議論や実践（経験）、または考えさせることに重きを置くスタイルが基本でした。更に教員や生徒は産学官さまざまな組織に属する方々で年齢も立場も多岐に亘ることから、多様な考え方を学ぶことができ、活発な情報交換によって、非常に有意義で濃密な講義時間を過ごせました。（時には鮮度が高い貴重な情報や各業界特有の裏話などを聞くこともできました。）

まとめ

今回は1年間の学校生活を振り返り、入学前後でのイメージギャップを2つ紹介しました。
どんな分野・領域においても、まずは知らないことを自覚した後で、知ること（正しく現状を把握・理解すること）が極めて重要だと思います。それには必要となる知識の習得や実務での経験が欠かせません。加えて、セキュリティ領域においては広範囲な知識を網羅的かつ体系的に習得し、その上で実務経験だけでは手に入らない訓練に近い考察と議論の反復を繰り返すことで形成される「常に考え、備える意識」の獲得が他の分野と比較して、必要不可欠であることを学びました。
また、セキュリティにおいては、このアウェアネス（意識）が、何より重要だとの認識を得ることができました。情報やシステムを扱い、それを脅威から守る対策を施すのは人であり、いざという事態を常日頃から想定し準備を怠らない意識こそが、セキュリティの質を向上させることに繋がるとの考えに至ったからです。これからもさまざまな立場の人たちと活発に議論や考察を重ね、自分だけでなく、周囲や社内外の人の意識も高めることで、少しでも社会全体のセキュリティ意識向上に寄与できるよう、今後も活動を継続したいと思います。

最後に

最後に、少しだけ今（2020年春）の私の状況と思いについて話します。
2020年度に入り、修士課程の２年目が既に始まっていますが、新型コロナウイルス感染症（COVID-19）の影響で、講義は自宅からオンラインで聴講しています。
いまだ世界中で猛威を振るうCOVID-19の影響により、ニューノーマル（新しい生活様式）に向けた、多様な働き方が求められています。これを機に、テレワーク（在宅勤務）を推進する企業の増加や「はんこ文化」の見直し、各種書類の電子化など、これまで牛歩のようであった日本のIT化が急速に進むことで、大きな転換点になることは間違いありません。
こんな慌ただしい状況を利用するのがサイバー犯罪者です。倫理上の懸念など無いに等しく、むしろ荒稼ぎを狙う動きがあるという内容のレポートを公開するインテリジェンス機関もあります。現に諸外国では医療関係の企業や病院が、サイバー攻撃に見舞われるインシデントが発生しており、国内でも給付金などを目当てに特殊詐欺グループが暗躍していると警察が警鐘を鳴らしています。テレワークやオンライン会議ツールも攻撃に晒され、セキュリティへの懸念が急速に高まっています。
一方で、このような状況だからこそ、改めてセキュリティの重要性を認識する良い機会だと捉えることもできます。技術革新においてセキュリティが阻害要因とならないよう、近い将来における安全安心な社会を目指して、我々一人一人のエンジニアに何が出来るかを真剣に考えたいと思います。

上記のような思いもあり、現時点の私の研究テーマとしては以下の2点に着目して研究活動を進めています。
１、クラウドサービスを利用した安全安心なシステムの実装において、必要不可欠となるセキュリティのグランドデザイン、または独自フレームワークの考察
２、サービス開発に必要と考えるレジリエンスを高める組織体制

このあたりを次回では詳しく紹介したいと思います。

※1 情報セキュリティ大学院大学 ... セキュリティの「技術」と「社会システム」を統合的に学び、深い専門知識と実務者能力の獲得を目指す情報セキュリティ専門の大学院大学。
<https://www.iisec.ac.jp/>