デジタル発展部資安署、高度サイバーセキュリティ人材を育成　クラウドとウェブ防護に焦点

デジタル発展部サイバーセキュリティ署（資安署）は5月30日から31日、6月6日から7日にかけて、4日間の「産業サイバーセキュリティエリートクラス」を開催し、金融、ソフトウェア、スマート製造、サイバーセキュリティなどの業界の現職セキュリティ担当者を招集した。資安署によると、受講者は実務経験を日常業務に活かすことができ、台湾全体のサイバーセキュリティ防御の強靭性を高めるのに役立つという。

資安署は、最近のサイバーセキュリティベンダーによるクラウド脅威展望レポートで、脆弱性攻撃がクラウド侵入の主な原因となっていると指摘。今回のコースは特に「クラウドセキュリティ」と「ウェブアプリケーション防護」に焦点を当て、攻防対照の思考を核として、受講者を攻撃側（レッドチーム）の視点から脅威を理解させ、その後、防御側（ブルーチーム）の実務を導入してクラウドセキュリティの体質を強化し、企業がより包括的な防御戦略を構築できるよう支援する。

資安署によると、この実戦トレーニングコースは2021年に初めて開催され、これまでに累計500人以上が修了した。受講者は新たなサイバー脅威に対応するための事前防護や事中対応などの専門的な実戦能力を習得している。

資安署はさらに、今回のコースは国際的なサイバーセキュリティ人材育成フレームワークを参考にし、セキュリティ対応エンジニアを対象に高度なハッカー攻防技術のトレーニングを行うと指摘した。

コース設計では、最初の2日間で受講者を攻防両側の視点から、全体のセキュリティアーキテクチャの特性を深く理解させる。初日は「レッドチーム攻撃」から出発し、クラウド環境の偵察、サービス認証情報の窃取、IAM（アイデンティティおよびアクセス管理）設定の脆弱性を利用した権限昇格などの侵入技術を解析する。2日目は「ブルーチーム防御」に切り替え、漏洩した認証情報の棚卸し、安全でない構成の監査、実際のクラウド環境でのインシデント調査と監視メカニズムの構築方法を教える。

3日目は最新版のOWASP Top 10 2025ウェブセキュリティ脆弱性に焦点を当て、大量の実践練習を通じて、受講者にウェブセキュリティ攻撃形態の変化を体感させる。4日目はグループ対抗戦や実際の課題解決操作を通じて、学んだ技術を核心的な知識として内面化させる。

資安署は、4日間のコースを通じて、受講者が攻撃、防御、実践、競技などの角度から全方位的な知識を習得し、急速なデジタル発展に伴う様々なサイバーセキュリティリスクに対応できるよう支援すると述べた。

過去の受講者の追跡調査と関連分析の結果によると、受講者は技術的な問題解決能力を向上させただけでなく、一部の受講者は昇進も果たしており、このトレーニングコースが企業のセキュリティ防護能力を強化するだけでなく、サイバーセキュリティ人材が専門職能とキャリアを発展させる重要なパイプラインとなっていることが示されている。