マネージドサービス部 佐竹です。
AWS re:Inforce 2025 に現地参加してきましたので、そのログを順番に記述しています。
はじめに
2025年6月16日から18日にかけて、ペンシルベニア州フィラデルフィアで AWS のセキュリティに特化したカンファレンス「AWS re:Inforce 2025」が開催されました。
参加したセッションのまとめを「1日のまとめ」に書いていこうとしたらあまりにも文章量が増えすぎてしまったので小分けにしています。
本ブログは「【AWS re:Inforce 2025】現地参加レポート 1日目 6月16日(月) 佐竹版」より SEC222 Upskill your team with the AWS Security Champion Learning Plan の解説です。
私の感想やコメントは解説の邪魔になると感じたので「脚注」として記載しています。
SEC222 Upskill your team with the AWS Security Champion Learning Plan 解説
翻訳すると「AWS セキュリティチャンピオン学習プランでチームのスキルアップ」となります。
概要
このセッションでは、開発チームのセキュリティスキルを底上げする新しい学習プランが紹介されました。自社でトレーニングを準備する手間なく、開発者をセキュリティチャンピオンへと育成するための具体的な方法が示されています。
具体的には、AWS Skill Builder 上で新たに提供が開始された AWS Security Champion Learning Plan についての解説が主です。
深刻化するセキュリティ人材のスキルギャップと、それに伴うビジネスリスクを背景に、組織全体のセキュリティレベルを向上させるための実践的なトレーニングプログラムとなっているそうです。
なぜ今、セキュリティ人材の育成が重要なのか?(課題)
セッションの冒頭、なぜ全社的なセキュリティトレーニングが急務となっているのか、その背景の説明です。
本スライドに示されている通り、全世界におけるデータ侵害の平均コストは $4.45 M (約6億5千万円) にも上ります。
これは単なる技術的な問題ではなく、深刻なビジネスインパクトを与える経営課題であることを明確に示しています。
さらに、データ侵害の主な原因は依然としてヒューマンエラーにあると指摘されており、多くの組織で「自分たちはセキュリティ対策ができている」という認識と、実際の準備状況との間に大きなギャップが存在するとのことです*1。
クラウドセキュリティの領域では特に課題が顕著のようで、以下の通りの厳しい状況が報告されています。
- クラウドセキュリティのスキルギャップは2021年以降
56%も増加 - セキュリティ分野では未だに多くのポジションで人材が不足
- 多くの企業がセキュリティトレーニングの必要性を感じているものの、トレーニングプログラムを自社で開発するためのリソース(時間や専門知識)不足が大きな障壁となっている
これらの課題は、スピードが速く、環境が分散しがちな現代のクラウドネイティブな開発環境において、特に深刻な問題となります。
解決策としての AWS Security Champion Learning Plan
これらの課題に対するAWSからの回答が、AWS Security Champion Learning Plan です。セッションで、この学習パスの全体像が示されました。
スライドにまとめられている通り、本プランは以下の特徴を持っています。
- 18 の厳選されたコースで構成され、ガイド付きの学習時間は 25 時間
- ハンズオンラボ、現実世界のシナリオ、リーダーシップに関するコンテンツを含む
- 開発者、セキュリティ専門家、そして経営層向けに設計されている
- 技術的なスキルを構築し、セキュリティファーストの文化を育む
セキュリティチャンピオンとは?
本プランが育成を目指す「セキュリティチャンピオン」とは、単にセキュリティに詳しい開発者ではないとのこと。
セキュリティチャンピオンは以下のような活動を担うことができる人材です*2。
- 脅威モデリングの実施 (Conducting threat modeling)
- セキュリティレビューの主導 (Leading security reviews)
- 組織全体でのセキュリティプラクティスの推進 (Driving security practices across the organization)
- 統一されたセキュリティのマインドセットと文化の醸成 (Fostering a unified security mindset and culture)
技術的なスキルとリーダーシップの両方を兼ね備え、所属するチーム内でセキュリティのベストプラクティスを推進する「擁護者(advocate)」と言えるでしょう*3。
セキュリティチャンピオンがチームにいることで、開発サイクルの早期段階でセキュリティを組み込む「シフトレフト」が実現し、開発チームとセキュリティチームの間の橋渡し役となって、結果としてインシデントの削減とより安全な開発に繋がります。
学習プランの具体的な内容
学習プランには具体的にどのような内容が含まれているでしょうか。
このスライドにある通り、学習パスには以下の要素が含まれています。
- コアモジュール: IAM、データ保護、インシデント対応、コンプライアンスといった中核となる分野を学びます。
- ハンズオンとインタラクティブなコンテンツ: AWS のラボ環境を使った実践的な演習を通じて、知識をスキルとして定着させます。
- AWS Security Champion Knowledge badge: 学習を完了し、公式アセスメントに合格することで、専門知識を証明するデジタルバッジを獲得できます。
これらの内容をまとめたものが以下のテーブルです。
| 項目 | 内容 |
|---|---|
| 総学習時間 | 約 25 時間 |
| コース数 | 18 コース *4 |
| 形式 | セルフペース(自分のペースで学習可能) |
| 対象者 | 開発チーム、クラウド実務者、セキュリティ専門家に加え、経営層も対象 |
AWS Skill Builder の画面
実際の画面では「Courses in the learning plan」においては「17 Digital training | 25h 15m average time」になっていました。
導入のメリットとエンゲージメントの維持
この学習プランを完了し、最終評価(アセスメント)に合格することで取得できる AWS Security Champion のデジタルバッジは、個人の専門知識を証明するだけでなく、企業が顧客やパートナーに対して、セキュリティへの卓越したコミットメントを客観的に示すための強力なツールとなり得るでしょう。
また、セッションではプログラム修了後の取り組みも重要だと述べられていました。
育成したセキュリティチャンピオンたちのエンゲージメントを維持するために、情報共有の場の設定 が推奨されています。セキュリティチャンピオン同士が経験や学んだこと、Tips などを共有するためのタッチポイント(定期的なミーティングやチャットチャネルなど)を設けるということです。
これにより、継続的なスキルアップと、組織内でのベストプラクティスの共有が促進されます*5。
利用料金
本プランは AWS Skill Builder のサブスクリプションを通じて利用できます。
- 個人向け:
$29 / 月 - チーム向け:
$449 / 年 - ボリュームディスカウントも利用可能
これについては参考まで。
最後に(アクセス用 QR コード)
本セッションで紹介された学習プランは、スライド左側の AWS Skill Builder を通じて提供されます。
関連情報
AWS Security Champion Learning Plan
改めてですが、学習プランは AWS Skill Builder から開始できます。全体ではかなり長いコースですが、一度覗いてみてください。
Introducing the AWS Security Champion Knowledge Path and digital badge
合わせて本コースのブログも公開されています。
セッション動画
まとめ
本 LT では、多くの企業が抱える「セキュリティ人材をどう育成するか」という課題に対し、実践的な解決策を提示するセッションでした。
AWS は AI/ML の人材が業界に不足しているとわかったときには、「そのための教育者自体が不足している」ことを明らかにし、学習者ではなく「教育者向け」に AWS Machine Learning University に AI/ML の新しいプログラムを追加したりと、業界全体でエンジニアの数自体を増やす活動にも積極的です。
実際問題、経済産業省が2025年5月14日に出した「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ」にもセキュリティ人材の不足状況が明確に示されています。
また DevOps という概念とも近いですが、最近では DevSecOps という言葉もあるように、運用を前提とし「セキュリティ運用の負荷を根本から引き下げるような実装」が求められるようになっています。
「セキュリティは専門チームだけの仕事」という時代が段々と終わり、開発の現場にセキュリティ意識を根付かせることが不可欠になっていくのでしょう。
そして、自社・自前で質の高いトレーニングを用意し、継続していくのは簡単なことではありません。このAWS Security Champion Learning Plan は、セキュリティ人材の確保が特に難しい日本の中小企業や、我々のような企業にとって、非常に興味深い内容と言えるでしょう。
弊社でもお客様にセキュリティの重要性を説く機会は多いですが、その中でも「人材育成」の具体的な「次の一手」として、この学習プランは非常に有力な選択肢になると感じました。
まずは、できるだけ早く自分自身で受講してみて、その効果を体感してみたいとは思っています。といっても…「約25時間の学習時間」をいかに捻出できるか、ですね。
では、またお会いしましょう。
イベントに登壇します
2025年6月24日(火)に開催される WafCharm Night vol.2 にサーバーワークス佐竹が登壇します。
10分の LT 枠で「セキュリティの民主化は何故必要なのか:AWS WAF 運用の 10 の苦悩から学ぶ」の題で発表します。本 LT の内容にも通じる点があるため紹介させて頂きました。
オフラインのみの開催ですが、よろしければお越しください。
*1:我々もよく「最も脆弱なのは人間である」という話をしています。システムや IT はアップデートによって強固になり続けていますが、人間はそうでないことが多い。よって、現在特に標的にされやすくなっているのです。機械から人間にターゲットが遷移しています
*2:このスライドは先のスライドと順番が前後していますが、解説の都合によるものです
*3:advocate は意見や立場、人などを強く支持し、いわばファンとなり、そのために行動する人を指します
*4:口頭では18と言ってましたが実際は17のように見えます。このテーブルの下で補足しています
*5:弊社であれば Slack のチャンネルを設けることはよくするのですが、結局過疎るので、どうやってチャンネルが過疎らないようにするかも重要だと感じます
佐竹 陽一 (Yoichi Satake) エンジニアブログの記事一覧はコチラ
マネージドサービス部所属。AWS資格全冠。2010年1月からAWSを業務利用してきています。主な表彰歴 2021-2022 AWS Ambassadors/2020-2025 Japan AWS Top Engineers/2020-2025 All Certifications Engineers。AWSのコスト削減やマルチアカウント管理と運用を得意としています。
