セキュリティ1年生 専門家が非専門家向けの入門書を書くことについて
839 Views
November 26, 25
スライド概要
『セキュリティ1年生』は、セキュリティについて全く興味がない人を対象にした入門書です。本書では、専門家が初心者にもわかりやすく伝えることを重視しており、認知科学や教育工学に基づいた設計が施されています。具体的には、「行動→理由→原理」の順でセキュリティを説明し、心理的安全を確保するために会話形式での解説が行われています。また、セキュリティパスポートという資格を設け、従業員のセキュリティリテラシー向上を図る取り組みも紹介されています。
関連スライド
各ページのテキスト
『セキュリティ1年生』 専門家が非専門家向けの入門書を 書くことについて 技術書の話をしよう。~セキュリティを語る、昼のひととき~ 2025年11月26日 株式会社トライコーダ 代表取締役 上野 宣
Profile: 上野 宣 (Sen UENO) 株式会社トライコーダ 代表取締役 奈良先端科学技術大学院大学で情報セキュリティを専攻、2006年に株式会社トライコーダを創業 ハッキング技術を駆使して企業などに侵入を行うペネトレーションテストや各種サイバーセキュリティ実践トレーニングなどを提供 ● OWASP Japan 代表 ● GMO Flatt Security株式会社 社外取締役 ● グローバルセキュリティエキスパート株式会社 社外取締役 ● 株式会社ブロードバンドセキュリティ 社外取締役 ● 株式会社TRUSTDOCK 社外監査役 ● ScanNetSecurity 編集長 ● 一般社団法人セキュリティ・キャンプ協議会 理事/顧問 ● 情報処理安全確保支援士 カリキュラム検討委員会/実践講習講師 ● JNSA ISOG-J WG1 サブリーダー ● Hardening Project 実行委員 ● SECCON 実行委員 ● 日本ハッカー協会 理事 ● 情報経営イノベーション専門職大学 客員教員 主な受賞歴 ● 第11回 アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA)受賞 ● 第16回 情報セキュリティ文化賞 受賞 ● 2025年 総務省 サイバーセキュリティに関する総務大臣奨励賞 受賞(Hardening Project) 主な著書 ●『セキュリティ1年生』(2025年10月21日発売) ●『セキュリティエンジニアの知識地図』 (監修・共著) ●『Webセキュリティ担当者のための脆弱性診断スタートガイド – 上野宣が教える情報漏えいを防ぐ技術』 ●『HTTPの教科書』 ● 他多数 © Tricorder Co. Ltd. 2
書籍『セキュリティ1年生』 • 従業員教育に使える一冊にするために、 大企業やIT企業のCSIRT、セキュリティ 専門家、弁護士などがレビュアーを担当 – 内容の正確さ+実務に必要なことが満載 • フルカラー、図解たっぷりで読みやすい – 2025年10月21日 翔泳社から発売 – 2,420円(2,200円+税) – 192ページ – 上野 宣 著 © Tricorder Co. Ltd. 3
セキュリティ1年生 目次 第1章 セキュリティって何? 仕事と日常 を守る第一歩 第4章 事故は防げる! ふだんからできる セキュリティ習慣 サイバー攻撃、会社におけるセキュリティ の考え方、CIA、情報資産と脅威 基本的予防措置、脆弱性、ソフトウェア更 新、バックアップ、セキュリティ意識向上 第2章 気づかないうちに危険が!? 会社と 日常の守り方 第5章 もしも起きたら? セキュリティト ラブルの正しい対処法 機密情報、持ち出し、会話、パスワード管 理、クラウドサービス、Wi-Fi、SNS、生成 AI セキュリティインシデント、報告の重要性 と手順、初期対応、振り返りと再発防止 第3章 知れば防げる! セキュリティ脅威 のしくみと対策 第6章 知らなかったではすまされない! 情報と法律の基本ルール マルウェア、フィッシング詐欺、ランサム ウェア、標的型攻撃 © Tricorder Co. Ltd. 個人情報保護法、不正アクセス禁止法、著 作権法とデジタルコンテンツ、その他法律 4
書籍は入門書なので、内容紹介はさておき、 入門書を書くに当たって気をつけた点
本書で目指したところ • 従業員のセキュリティレベルを上げたい! • 経営者や情報システム部門が従業員に知っておいてもらいたいセ キュリティの知識などがつまった一冊を目指した • しかし、従業員はセキュリティに興味がない、技術者でもない • 90年代から専門書を数多く執筆してきたが、ほとんどが特定技術 の専門書(プロトコル、脆弱性診断など)なので、セキュリティ に興味がある人に向けた本しか書いていない
セキュリティに興味がない人の感覚 • 危険を「自分ごと」と思っていない • 専門用語を聞いた瞬間にシャットダウン • 「面倒くさい」「よくわからない」が先に来る • 失敗するまで危険性を感じづらい • “サイバー攻撃”より“目の前の仕事”が優先 • つまり、合理性では動かない • 行動経済学のシステム1(直感的、感情的)で判断している
セキュリティ専門家の世界は逆 • 脆弱性、ゼロデイ、攻撃手法 → 高度な抽象思考 • 常に“最悪の事態”を想定 • 再現実験・因果分析が癖 • 技術用語が前提 • 予防こそ最重要 • 行動経済学のシステム2(論理的、理性的)で見るのが専門家 • 非専門家との間には認知の断絶がある
専門家は「初心者がつまずく理由」を知らない • 当たり前と思っている地点が、初心者には学習の後半ステージ • 説明でいきなり抽象化してしまう • 原理を先に語りがち • 専門用語を削れない • 「興味のない人」の動機付け方法を知らない
入門書を書くために必要な専門性 1. 認知科学・教育工学 – 初心者の認知負荷を下げる設計 – 図解、段階的導入、会話形式 2. 行動デザイン – 「どう行動を変えるか」を重視 3. セキュリティ実務 – 基礎の“本質”を見極める力 – 暗記ではなく理由づけ
セキュリティ1年生の狙い 興味のない層に、興味がないまま理解してもらう設計 1. 「日常の問題」に転換してからセキュリティを語る – “あなたの生活のリアルな危険” → “だからセキュリティ” という順番で提示 2. 「行動→理由→原理」の順番 – 人間はまず“行動”の意味を知りたい。原理は最後でいい 3. 会話形式で“心理的安全”をつくる – 登場人物は先生(専門家)、生徒(興味あるか微妙な子) – 生徒の疑問は読者の疑問、先生の説明は専門家の翻訳 – “わからなくても安心して進める”構造にした • ストレスが高いと人は学習しない
セキュリティ1年生の狙い 興味のない層に、興味がないまま理解してもらう設計 4. セキュリティは難しい話ではなく「人間の行動の話」 – ヒューマンエラーこそ最大の原因 – 文化としてのセキュリティ – 見られる・忘れる・話す・油断する – 法律も“やってはいけない行動”の話として説明 5. 「専門家が入門書を書く価値」を本に織り込む – 初心者が誤解しやすいポイントを先回り – 攻撃者の視点で“本当に危ない行動”に絞る – 背景の理由を誤解なく説明
そうは言っても、 ちゃんと読んでもらえないので 資格も作りました
セキュリティパスポート • 社会人に求められるセキュリティリテラシーを測る資格 – 「従業員として必要なセキュリティを理解している証明」 – 『セキュリティ1年生』と連動したセキュリティパスポート講座を受講後 に試験を受験 • 資格は従業員のモチベーション向上につながる – 資格を取るために自ら学ぶ – 資格保持者として振る舞うため、セキュリティ意識が向上する – 社員の必須資格にする、資格取得すれば一時金などのモチベーション施 策を実施しやすくなる • https://www.security-passport.jp/ © Tricorder Co. Ltd. 14
ご清聴ありがとうございました セキュリティパスポート講座はこちら https://www.security-passport.jp