サイバーセキュリティ月間

2016年2月12日(金)

情報セキュリティにおける人材育成 ~学生さん、情報セキュリティって知っていますか?~

 株式会社ラック アカウントコンサルティンググループ
 谷口 隼祐

 
 情報セキュリティの人材不足が叫ばれていますが、何か解決策はないのでしょうか?
 
 うーんたくさんのお給料がもらえれば一気に解決する気がします。しかし、いかにセキュリティで儲けようと思っても、情報セキュリティへの投資は守るべき資産より大きくなることは通常ありません。セキュリティを強化しても直接的には資産は増えません。そう考えると、いきなり給料が倍増することはなさそうです。
 
 ただ現在、ITの利活用は金融業界や自動車などにも広がりを見せており、世の中をより便利にすることが期待されています。その反面、悪用された場合の被害も懸念されています。情報セキュリティはITの利活用を安全に推進するために益々重要な要素となると考えます。
 
 横道にそれました。本題に移ります。
弊社では企業市民活動の一環としてセキュリティ人材の育成にも力を入れています。ここでは私が担当した学生向けのセキュリティ実習についてお話しします。
 
 2014年度は、情報セキュリティに興味のある学校へ出向き、各生徒がPCを使ってセキュリティを学ぶ実習を3回、延べ220名以上の学生に対して実施しました。今年度内にあと1回開催予定です。

 
図:実習環境のイメージ
 

 実習は、クイズ形式のCTF(Capture The Flag)を参考にしました。CTFとは、ざっくり言ってしまえば、情報システムに対する攻撃技術や解析能力、知識などを競うセキュリティ競技のイベントです。競技形式はいくつかありますが、クイズ形式の場合は、プログラムやネットワークパケット、画像に隠された答え(Flag)を前述したスキルを活用して探し出し、ポイントを競います。当初はCTFそのものを開催するつもりでしたが、後述する理由のために、最終的にはCTFを参考にしつつも、CTFとは別物の実習となりました。
 
 別物にした理由は、実習を受ける学生が情報セキュリティにさほど興味を持っていなかったためです。

 
 私は大きな誤解をしていました。情報セキュリティに興味を持っていたのは学生ではなく、先生方だったのです。先生方が興味を持つのは悪いことではありません。むしろ良いことです。しかし、対象はあくまで生徒たちです。情報セキュリティや CTFに興味がある学生は楽しんで取り組むでしょうが、実際には大多数の学生がそうではありませんでした。興味のないことを強制させるのは酷です。スキルレベルの確認やスキルのバラつき解消のために事前に学校訪問する機会があり、幸いにも気づくことができました(学生は露骨に態度に出るのですぐに異変に気づきました)。このまま気づかずに開催していれば、情報セキュリティに興味を持ってもらうどころか嫌いにさせてしまう可能性もありました。危ないところでした。
 
 対象が「情報セキュリティに興味のない学生」と明確になりました。そのため、実習目標も「スキルアップ」から「情報セキュリティに興味を持ってもらうこと」に変更し、工夫を随所に入れました。
 
工夫 実施例 狙い
身体を動かす ・ コピー用紙を高く積み上げるミニゲームを実施
・ 問題が書かれたUSBメモリを会場内で探す
・ パズル化したQRコードを組み合わせる
やる気のスイッチを入れるために、まずは身体に刺激を与える
ゲーム性の高い問題を入れる ・ 写真から撮影場所を特定する問題
・ バラバラのQRコードを元に戻す問題
楽しみながら実習に参加してもらう
ITスキルがなくても時間を掛ければ解ける問題を入れる ・ 計算問題を100問解く問題
・ 1万回アクセスすると答えが表示される問題
ITスキルがあれば、短時間で確実に答えを求められる点を伝える
ITスキルがなければ解けない問題を入れる ・ SQLインジェクション脆弱性を利用する問題
・ 偽装されたファイルを解読する問題
・ ネットワークパケットから答えを探す問題
本実習後も継続して情報セキュリティを学ぶ姿勢を持ってもらう(※)
先生が作成した問題を入れる ・ 授業を受けていれば解ける問題 授業の一環という認識を持ってもらう

※技術と倫理の両面において、先生が生徒をフォローする必要がある


  さて、この実習は「情報セキュリティに興味を持ってもらうこと」という目標を達成することができたのでしょうか?現状、定量評価ができていないため、ひとまず開催風景を見てご判断いただければ幸いです。
 
 

 さて、3回の実習から課題も見えてきました。
 
 この実習を先生たちだけで実施することが困難である点と、実習後の生徒へのフォローが十分ではない点です。特に後者は、技術面だけでなく倫理面でのフォローが不可欠です。実際に、興味を持たせるだけでは危険だと認識する出来事もありました。次回の開催を希望される学校もありますので、知見を蓄えつつ、この課題を解決していきたいと考えています。私の担当した学生向けのセキュリティ実習の結果については、情報共有も兼ねて弊社ブログで継続的に報告していきたいと思います。
  
 世の中には、すでにSECCONやセキュリティキャンプといった取り組みも存在していますし、手前味噌ながら弊社の「すごうで」と呼ばれる支援プログラムもあります。しかし、人材育成と一口に言っても、対象人物や求めるスキルセットなどによって、効果的なアプローチが異なると考えます。
 
 若いほど興味を持った後の成長速度は目を見張るものがありますので、早くに情報セキュリティに触れさせることも必要だと考えます。この取り組みにより、学生が情報セキュリティに興味を持ち、さらには就職先の選択肢が広がるきっかけとなれば嬉しいです。 

 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。

2016年2月12日(金)

金融のフレンドリーな情報共有活動

一般社団法人 金融ISAC
事務局長 谷合 通宏

   
 昨今各業界でサイバーセキュリティへの対応への気運が高まっていますが、金融に於いても不正送金に代表されるサイバー攻撃の発生を踏まえ、現場担当者が自発的に情報共有を行い全体の被害を極小化していく活動が行われています。金融ISAC20148月に設立、201512月末現在180金融機関、賛助会員のJPCERT/CC殿、アフィリエイト会員10社で構成されています。
 営業ではライバル関係にある同業種の集まりですが、対応の現場にいる担当者の仲間意識は強く、日々多くのサイバーセキュリティに関する赤裸々な情報が共有されています。投稿内容はインシデントや脆弱性といった脅威情報のみでなく、「対処方法が分からないので教えてほしい」といったHelpを問うものもあります。これら投稿に対しても必ず誰かがレスポンス(それもnice!な)しており、新しい会員も馴染みやすい環境にあると思います。
 日々のメールを通じた情報共有に加え、「対応マニュアル」「共同訓練」「研修」といった知見の共有活動にも力を入れています。これら活動には多くの人的リソースが必要となりますが、ISACメンバーの協調性と継続性は素晴らしく、本業で多忙の中会員それぞれがエネルギーを出し合い、様々な知見が積み上がるようになってきています。会員の多くはこれらエネルギーを業務時間外で捻出しやりくりしていますが、今後各社内でこれら活動が業務の1つである理解がより進んでいくと、活動は数段高度化していくと思います。
 サイバーセキュリティは経営の問題であると言われていますが、実務では広範囲で奥が深い問題を1つ1つ解決していかねばならず、ともすると現場にしわ寄せされている感があります。同じ問題意識を持った同質な人材が集まった組織の団結力は強く大きく、その歯車が回り始めれば、全体を動かす力となって個々の問題も解決していくと信じています。我々組織はニュートラル、フラット、フレンドリーをモットーに活動を進めており、懇親会も大いに賑わっています。今後も活動の輪を広げ、情報共有の定型化や分析といった機能を発展させ、重要インフラの金融を団結力で守っていきたいと考えています。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。







 

 

  

 
NISC SNS一覧 
セキュリティ情報
Twitter
 活動情報
Twitter
Facebook

LINE
※ SNS運用ポリシーはこちら

 

 
NISCサイバーセキュリティ意識啓発動画ポータルへ 
ご注意 上記リンクをクリックすると別サイトに移動します。