「2020年代の日本を見据えて」ヤフーが教えるセキュリティ

https://iwiz-blog-cms.c.yimg.jp/c/blog-cms/about/blog/images/inline/BA8A9928_kako.jpg

九州大学では、1年生を対象にセキュリティの講義があり、その一部の授業を2016年秋からヤフーの社員が担当しています。「学生のうちからセキュリティ教育を受けておく必要がある」という、九州大学サイバーセキュリティセンター長の岡村教授の思いからこの授業がはじまりました。

2020年以降、小学生からプログラミングの授業が必修に。そして、東京五輪が開催されます。
「日本が大きく変わっていくこのタイミングに向けて、セキュリティの意識を高めておく必要がある」と語るのは、ヤフーでセキュリティ教育啓発を担当している日野と秋田。
企業がセキュリティ教育を行う意義や、学生たちに理解してもらうためにどのような工夫をしているのか、そして2020年以降、日本はどう変わると予想するかなどを聞きました。

  • 初回授業は学生4人、そこから約400人が受講を希望する人気講義に
  • 講義を「デザイン」する
  • 2020年代の日本の変化を見据えて

初回授業は学生4人、そこから約400人が受講を希望する人気講義に

- 九州大学で講義をはじめたきっかけを教えてください

日野:
2015年に前CISO(Chief Information Security Officer)の工藤が、海外の友人から「九州大学に日本の国立大学で初めてサイバーセキュリティセンターができる」と聞いたことがきっかけです。九州大学の岡村教授を訪ね「(九州大学とヤフーで)一緒に何かやりましょう」という話になりました。
大学側が、セキュリティの授業に現場の実践的な内容も取り入れたいと考えていたこともあり、セキュリティ対応に力を入れているヤフーと一緒に講義をやりたいと思っていただけたようです。
私たちも、学生から講義のフィードバックをもらえることはとても貴重な体験になると考えました。

2015年にヤフー社員が1回のみの特別講義を行った後、2016年の後期授業からヤフー社員によるセキュリティの講義(全8回)がはじまりましたが、初回の出席人数は4人という結果に。
ですが、「(どんなに出席人数が少なくても)講義をやろう」と明確に方針を示したのが、工藤でした。学生が4人という結果も「最初はこんなものだろう」と笑い飛ばしてくれたので、かなり救われました。

工藤:
学生が4人でもいたということは、何パーセントかは反応してくれたということ。研究室の掲示板に授業告知の紙を1枚貼っただけだった上に、(初回の)授業当日はすごい台風。もっと大々的にマーケティングをやれば集まると思っていましたね。
学生が1人でもいたら続けようと言うつもりでした。もし、3回授業をやっても学生が集まらなかったら考えようと。集まらない理由を知るためには3回は試さないとわからないと思ったのです。

日野:
学生を集めるために短期間で何ができるか考えたときに、私は元営業マンなので「よし、ビラを配ろう」と思い作成。大学構内で2日間配りました。「東京からわざわざきて、大変ですね」「頑張ってください」と励ましてくれる学生さんもいて、うれしかったですね。

このビラを配った結果、2回目の講義では、4人だった出席者が50人になりました。
次の期は100人以上、その次の期は210人くらいまで増え、今期(2018年夏季)の講義は定員250人のところに、約400人の受講希望がありました。 大学全体でも一二を争う人気講義になったとうかがっています。

画像
(CISO室の日野)

講義を「デザイン」する

日野:
学生たちに教える時間だけが「講義」ではなく、講義に興味をもってもらい、フィードバックをもらい改善していくことも含めて講義だと私たちは考えています。その流れをつくっていくことを、「講義をデザインする」と呼んでいます。具体的には「デザイン思考」という課題解決の思考法を取り入れ講義全体を設計していきます。
また、内容は講義の直前まで世の中の動きにあわせて変えています。
2018年夏季講義では、世の中で話題になった仮想通貨とブロックチェーンの話などを入れました。

講義のフィードバックをもとに改善する際は、内容はもちろんですが、たとえば教室の温度管理といった環境面も含めトータルで改善していきます。
また、講義の資料は毎回、80~100ページ程度とかなりの枚数になりますが、最後まで飽きさせないための工夫もしています。途中でクイズを出したり、手を動かしてもらったりなどの方法を取り入れた結果「100ページ近い枚数の資料なのに飽きなかった」という感想もいただいています。

秋田:
学生さんたちは講義について情報交換をしているそうなのですが、この講義をすでに受けた学生さんが薦めてくれたり、この講義の内容を共有してくれたりしたようです。実際「先輩に薦められて受講した」という声を多く聞きます。

講義内容については、男女や文系・理系を問わず、「面白い」「わかりやすい」というフィードバックをいただくことが多いです。また、この講義をきっかけに、将来の仕事としてセキュリティエンジニアを目指したいと考えてくれる学生が出てきたことも、とてもうれしく思っています。

画像
(CISO室の秋田)

工藤:
この講義のなかでは、セキュリティに関する実体験をさせることがとても大事だと考えています。たとえば、仮想環境をつくって、壇上にパソコン2台を置き、片方のパソコンからもう片方のパソコンをハッキングしている様子を見せたこともあります。そして、これと同じことをスマホでもできます、と言うと、学生さんたちは自分のスマホについても心配になり、一気にセキュリティの重要さを自分ごととして実感できるようです。

2018年度学部向けコース(夏季)

  • 事例から紐解くセキュリティの脅威
  • 企業のセキュリティ事例とその対策
  • ネットワークとサイバー攻撃
  • インターネット通信とセキュリティ
  • 企業におけるデータとセキュリティ
  • 決済・金融とセキュリティ
  • 企業でセキュリティ事故が起こったら
  • 事例から紐解くプライバシーと情報倫理

画像
(資料の伝え方も工夫されています)

2020年代の日本を見据えて

- 2020年以降、日本はどう変わるのでしょうか?

日野:
2020年に改訂される次期学習指導要領では,小学生からプログラミング的思考の学習が本格化します。「情報」科目も刷新され、中学校は2021年度、高校は2022年度と順次拡充・必修化される予定となっています。

また、2020年の最大の変化は東京で五輪が開催されることです。
これまで五輪が開催された他国でもそうでしたが、五輪のサイトはもちろん、有名な企業サイトやシステムが攻撃されることは、歴史的にも避けられません。そのため、企業だけでなく一般の人もセキュリティへの意識を高める必要があります。
いつもは競合している企業同士であっても、日本を一緒に守るという気持ちで企業同士が協力して2020年に向かっていくべきだと考えています。

秋田:
セキュリティというと、どうしてもインターネットに対するものとしてとらえられがちですが、たとえば交通などのインフラを攻撃される可能性もあります。
攻撃から守るための対策をするのは企業や国、公共機関ですが、誰もが攻撃の影響を受ける可能性があること、自分の大事な情報を守るためにパスワードの管理をしっかりすることなどを心がけていただければと思います。

画像

- この講義について、今後の展望を教えてください

日野:
最初の講義はセキュリティの内容だけでしたが、最近では、ヤフーの各サービスの担当者と一緒に講義を行っています。
セキュリティを守ることが第一の目的ではなく、ヤフーのサービスを安全・安心に使っていただくためにセキュリティを守ることが必要であることを伝えていきたいと考えています。

講義の内容は、ヤフーのデータや決済金融、ネットワークなど、さまざまなサービスとのコラボ形式に変化しています。セキュリティはどんなものにでも関係するので、ヤフーの各サービス担当者と協力して講義をつくることで、社内のセキュリティへの意識もさらに高まると考えています。この講義は社会人向けの展開が今年度から始まっており、さらに今後は若い世代のセキュリティ教育についてもヤフーの各サービスと連携して貢献できればと考えています。



最後に、ヤフーが担当している講義についての学生さんからの反応、企業との取り組みについて期待することなどを、九州大学サイバーセキュリティセンター長の岡村教授にうかがいました。

画像
(九州大学サイバーセキュリティセンター長 岡村耕二教授)

- ヤフー社員による講義の反応はいかがですか?

この講義は1年生が対象です。まだセキュリティへの意識があまり高くない学生に向けてあえて教える目的でこの授業をはじめました。実際、入学直後の春学期に私がセキュリティについて話しても、まだピンとこない学生が多いようです。
ですが、企業でネットワークの業務を経験されている方からのケーススタディなどは、より現実味をもって聞いているようです。現在は、九州大学で人気の講義となっています。

最近は、メディアでもセキュリティの問題が取り上げられるようになったことで、学生も以前より興味を持つようになっていると感じています。ニュースなどを通じて聞くことがある、セキュリティについての内容がある程度理解できるようになることもこの授業の目的です。

画像
(左から、2018年夏季講義の「企業におけるデータとセキュリティ」を担当したヤフーの原、九州大学の岡村教授)

- 九州大学がセキュリティに力を入れている理由を教えてください

やはり、セキュリティ関連の事件が多いことが大きな理由です。1年生が インシデント(事件・ミス)を起こしてしまうことはほとんどありませんが、2年生からは大事なデータを自分で扱う機会も出てきます。
たとえば医学系の学生であれば、研究目的で実際のデータを取り出して使うこともあるのですが、そのときにデータを落としたりなくしたり、ということもありえます。
それは、セキュリティに対する知識や意識がまだないためなので、まだ直接データに触れることが少ない大学1年生のうちに教えておけば、研究をするときのデータや名簿などを適切に扱えるようになるのではないかという期待があります。
また、データを扱う機会があまりない文系の学生でも、パソコンやスマホは使うので、セキュリティについては全員が知識として知っておくべきだと思っています。

- 今回のような企業との取り組みに期待しているものは何ですか?

まず持続性です。一時的ではなく、継続的にやっていければと思っています。
たとえば、学生に会社での体験をさせていただくなど、大学の講義の範囲だけではなかなかできないような、学生のためになることを一緒に企画させていただけるとうれしいですね。

画像
(2018年夏季講義を受けた九州大学の学生さんがヤフーの見学に来てくれました)

【ヤフーのIT教育の推進について】

ヤフーは産学連携で、IT教育の推進・人財育成を進めています。これまでは主に大学・大学院にむけてネットメディア、セキュリティ、検索技術、ビッグデータ分析などの講座・講義をサービス担当者やエンジニア、研究所員などが実施しました。
また、連続講義として2016年は、同志社大学で、「最前線のインターネットテクノロジーとそれを支えるセキュリティ技術」と題し、データの利活用とセキュリティ技術について講義しました。その他、九州大学などとも連携し通年の連続単位講座を実施しました。出張講義を通じて多くの学生に大学で学んだことや研究をどのように企業で生かせるのか、データの持つ力と面白さをお伝えしています。

【関連リンク】