ビジネスを変革、創出するデジタルトランスフォーメーション（DX）の拡大により、ICTが社会や人々の生活に欠かせないものとして浸透しています。一方、ICTの利用によるマルウェアや標的型攻撃をはじめとしたサイバー攻撃は、巧妙かつ高度化しており、世界中で被害が拡大する傾向にあります。こうした環境の中、多くの企業においては、セキュリティリスクへの対策を的確に実施・運用できる人材の確保が課題であり、セキュリティ人材の育成が必要不可欠になっています。
このようなニーズにこたえるため、エヌ・エフ・ラボラトリーズ（NFLabs.）はNTTコミュニケーションズ（NTT Com）のCSIRT（Computer Security Incident Response Team）やセキュリティオペレーションセンタ （SOC）の運用・監視、ソリューションのノウハウと、株式会社FFRIセキュリティのサイバーセキュリティに関する高い研究開発・技術力を活用し、研究開発やビジネスを通じた高度セキュリティ人材育成を目的に、2019年1月に設立されました。
図1に示す企業としてのミッション、ビジョン、バリューを掲げ、中でも特に特徴的なものとしては、高度なセキュリティ技術は悪用されるとNTTグループの信用が失墜するだけでなく、社会的にも大きな影響を及ぼすので、「倫理観、誠実さ」を強調したものになっており、研究開発者約10人を含む74人（2023年3月）により、デジタル社会のセキュリティ対策に貢献できる人材を輩出しています。

事業は「教育研修事業」を中心に、「業務受託事業」、「研究開発事業」の3本柱で展開しています（図2）。
教育研修事業では、PC初心者でも研修終了後には即戦力として仕事ができるようなレベルへの成長をめざして、セキュリティ人材全般に必要なスキルを学習する、37日間の「BootUP研修」と、さらに高度なセキュリティ人材を意識した、マルウェア開発・解析、エシカルハッキング・ペネトレーションテストが可能なレベルをめざす89日間の「高度技術研修」で構成される研修プログラムが準備され、研修プラットフォームを活用しながら、現場における実践的研修も行われています。当初はNTT Comグループの社員を対象にスタートし、約130人が高度セキュリティ人材となり、2020年以降は特定のお客さま向けの教育研修を開始し、多くの高度セキュリティ人材を輩出しています。こうした社内外の高度セキュリティ人材でチームを組み、各種コンテストに参加し、657チームが参加した「Hack The Box Business CTF（Capture the flag） 2022」では世界10位、日本1位、世界最大級のCTFで470チーム参加の「DEFCON 2022」では28位、日本最大級のCTFである「SECCON 2019」では3位を獲得しており、CTFにチームで参加する取り組みをとおしてグローバルで通用する人材を育成しています。
業務受託事業では、企業等に向けてペネトレーションテスト、脅威情報の収集やマルウェア解析などのセキュリティオペレーション支援業務を通じて、お客さまが安心して事業を展開できる環境を提供し、必要に応じてお客さまのもとにもエンジニアを派遣しています。
研究開発事業では攻撃手法の研究開発などを通じた実践的スキル習得や、研究開発成果の収益事業への展開・事業支援、攻めのセキュリティを実現するサービス開発を実施しています。
こうした事業と並行して、長崎県立大学情報セキュリティ産学共同センターの共同ラボにおけるセキュリティ対策技術の共同研究をはじめ、長崎県立大学、東京電機大学等の9つの大学・高専からインターンとして研修生を受け入れ、愛媛大学、小山高専等の8つの大学・高専においてセキュリティに関する講義を行う等、産学連携でセキュリティに関する取り組みを行っています。

2017年ごろから、オリンピックの東京大会を見越してサイバーセキュリティへの関心が高まる中、それに対応できる人材が不足しているということが大きくクローズアップされてきました。同時に種々のサイバー攻撃を受ける事例が日本国内で多く発生するようになり、特にロシアのウクライナ侵攻が始まったころからその動きがさらに顕著なものとなってきました。
こうした動きを背景に、NTT Securityや株式会社FFRIセキュリティをはじめとした多くの会社が、サイバー攻撃への対策や対応を行う事業を展開しています。また、2022年12月に政府が、国家安全保障戦略の中で「新たにサイバー攻撃に対して先手を打って対抗措置を取る「能動的サイバー防御」を明記するとともに、サイバー防衛に従事する人員を2万人規模に拡充する」ことを盛り込む方針を発表しており、ますますセキュリティ人材に対する需要が高まってきています。
企業においても同様にセキュリティ人材のニーズが高まり、高度なセキュリティ人材の育成サービスを行う会社も出始めています。人材育成のためにはその講師も必要になる中、実践を取り入れたNFLabs.のプログラムは、高度セキュリティ人材の育成のみならず、自らの講師の育成も行っており、追い風に乗って大きく成長を始めています。もちろん、これらに興味のある人材の採用やお客さまから人材をお借りして育成してお返しするといった取り組みも実施しており、各種コンテストにおける入賞実績と合わせて、人材の質・量ともに充実した会社になってきています。

日本におけるサイバー攻撃への対策・対応やセキュリティ人材の確保は社会的な課題になっていますが、NFLabs.は高度セキュリティ人材の育成をとおしてこの課題解決に取り組んでいきます。その先には、サイバー空間にかかわるすべての人がセキュリティに対する認識を持ち、安全な世界を築き上げることが、めざしていく方向であり、社会的使命でもあると考えています。とはいえ、そこに至るまでには相当なるリソースと時間を要しますので、まずはセキュリティの意識付けが進んでいる大企業を中心に高度セキュリティ人材の育成を進め、そこを基点としてそのグループ会社、サプライチェーン上の会社への啓発活動とともに、セキュリティ教育・人材育成を展開していくことを考えています。これを具体的に進めていくために、当面はNTTグループをメインターゲットとして現在の事業に着実に取り組んでいくことに注力していきます。

ソリューション事業部
教育ソリューション担当
武井　香織さん

NFLabs.には、NTTドコモグループ向けとそれ以外のお客さま向けの2系統の教育チームがありますが、その両チームのマネージャとして、将来的な教育の方向性を決めています。
NFLabs.の研修の特徴は、テクニカルスキルがほとんどない方であっても、講師の密なサポートによりメンタル・マインドとテクニカルの両面から37日間のBootUP研修と、89日間の高度技術研修の2段階の研修をとおして、最終的にはペネトレーションができるくらいのレベルまで引き上げていくことです。
会社設立準備段階のころ、7人の講師が外部の研修を受講し、その内容をディスカッションしながら机上でスキルマップとカリキュラムを作成しましたが、実際に研修を始めてみると足りない領域が見つかり、それをマップにフィードバックするとともに教材を作成する、といったことを繰り返しながら現在の体系を組み立ててきました。
また、研修における受講生の理解度の差が非常に大きく、さらに理解できない分野が人によって異なることが分かり、その要因分析と対応策の研究を進める中で、アクティブラーニングを強化し、インタラクティブな教育を行うことで、1人ひとりを伸ばしていくような仕組みとしました。

講師が張り付かなくても独学でスキルアップしていけるようなコンテンツ、環境をつくっていきたいと思います。そして、私たちがこの教育の中で習得してきた、受講生の理解できていない部分を把握するためのインタラクティブな問いかけを演習の中に取り入れて、1人で講師とやり取りをしているかのような演習環境を用いて、素人でも高度なセキュリティ人材へと育つ仕組みをつくり、それを世界中の人に使ってもらいたいと思っています。
さらに、セキュリティの仕事、技術は使い方によっては攻撃者にもなり得るものなので、受講生の方には、企業で求められるような高度セキュリティ人材の1人として、平和にその技術を活用していただきたいと思います。

ソリューション事業部
教育ソリューション担当
武　佑香さん

具体的な研修日程の調整やその担当となる講師陣の調整、コンテンツの整理を担当しています。また、NFLabs.の研修受講者を講師とするための育成を担当しています。特に、講師は誰でもなれるわけではないにもかかわらず、優秀な講師がいなければ研修が成り立たなくなるので、非常に重要な役割を負っています。
当初、研修コースをつくり上げてきたメンバはすべて異動しており、講師の増員や入れ替えが定常的に行われている状況です。人数が増えるに従い、全員が同じ方向を向いて研修生を育成していくことの難易度が上がってくるので、これをどのようにキープしていくかというところが、ポイントになります。幸いにも新しい講師もこのような考えを柔軟に受け入れてくれるので、講師全員が一体感を持った研修ができていると思います。
私自身はSOCから異動をしてきて、この研修を私自身も受講したので、実践に則したカリキュラム作成や講師とのディスカッションにおいてこれが役立っています。

セキュリティはニッチな分野といわれているとおり、なかなかそれにかかわる人が少ないというのが現状です。いつまでもニッチなままでは、セキュリティの重要性は認知されないので、皆が当たり前に説明できるような世の中になってくれたらいいと常々思っています。セキュリティの勉強をするにも相応の時間を必要とするので、社会人から始めるには多くの制約があります。そこで、学生を中心にセキュリティに興味を持ってくれる人を増やしていくことが大事だと思っており、そこに注力していくつもりです。
セキュリティを意識するのが当たり前という考えを、万人が共通で持つ世界を築いていくためにも、セキュリティを語ることのできる人材や講師を育成していくことが重要だと思っています。

社員の中でセキュリティに関する勉強会が同好会のように立ち上がっています。例えば、海外のセキュリティトレーニングプラットフォームを使って皆で黙々と勉強をする会、コンテストサイトでひたすらコーディングをしてそこのランクを上げていく会、ペネトレーションテストの資格を取得するために、研修用のサイトで攻撃方法を学ぶ会等、社員発の勉強会が毎週定期的に行われているそうです。こういった活動をとおして、メンバどうしがコミュニケーションを図っているという、まさに同好会なのです。これが高じて、例えばペネトレーションテストのマシン攻略をゲーム感覚で時間も忘れて取り組み、仲間内で攻略法を教え合うといった、半分趣味と化しているような人も大勢いるようです。

NFLabs.のビジョンにも入っている倫理観を持つエンジニアを育て、社員が大切にする価値観、バリューでも誠実であることが特長になっています。セキュリティ技術はいくらでも悪用ができ、犯罪に使えるようなものなので、それを正しく使うということを強く社員には伝えています。その先に、「Need-to-know」という、知らなくていい人に余計な情報を伝えない、知るべき人に正しく伝えるというところを強く意識しているそうです。一方で、「Need-to-know」に注意しながらも、社外に技術力の高さを発信してほしいというところもあり、多くの社員が外向けに技術ブログ（図3）を書いてアウトプットしているそうです。