情報セキュリティ技術者・実務者育成への提言

IT K での経験からIT Keysでの経験から

砂原秀樹

慶應義塾大学大学院慶應義塾大学大学院

メディアデザイン研究科

suna@kmd.keio.ac.jp

1

IT Keys プログラムIT Keys プログラム 文部科学省 平成19年度「先導的ITスペシャリスト育成推進プ

ログラムログラム」– 社会的ITリスク軽減のための情報セキュリティ技術者・管理者育成

– IT Keys (IT specialist program to promote Key Engineering as securitYIT Keys (IT specialist program to promote Key Engineering as securitY Specialist)

情報セキュリティ対策の立案遂行を主体的に実施しうる実務者の育成

2

IT Keysが目指す実践型人材の育成IT Keysが目指す実践型人材の育成

経験的知識総合的知識 経験的知識経験と実施実践能力

総合的知識状況分析・立案法律・政策・経営

組織連携 最新情報収集 危機対応訓練組織連携、最新情報収集

実践的セキ リ ジ実践的セキュリティエンジニア

体系化された基礎知識ネットワーク技術セキュリティ技術

情報理論3

3つの知識の獲得（科目群）3つの知識の獲得（科目群）

経験的知識

実践科目群総合的知識

先進科目群 実践科目群

情報セキュリティに関する最新知識と法律面 倫理面 経営面

繰り返しセキュリティインシデントを体験する とによる経験的

実践的セキ リ ジ

必修(2科目4単位)

知識と法律面・倫理面・経営面などの実務に必要な知識

(2科目4単位以上)

トを体験することによる経験的知識、現場での実践的知識

実践的セキュリティエンジニア

体系化された基礎知識

基礎科目群セキュリティ技術を体系立てて理解するためのネ ト基礎科目群 て理解するためのネットワークを中心としたコンピュータサイエンスの知識

2科目4単位以上

IT Keysにより期待される効果IT Keysにより期待される効果 実践的実習による経験と勘の習得

最新技術知識 獲得 最新技術知識の獲得

法律・経営・政策・倫理的知識の習得

プ グ プログラムの公開と評価– 社会(企業・官公庁・大学)の要請の吸収

プログラムの評価と改善– プログラムの評価と改善

– コース利用者の確保

– 人材の就職先の確保人材の就職先の確保

人的ネットワークの形成

5

情報セキュリティ運用リテラシー（座学）情報セキュリティ運用リテラシー（座学）

京都大学 北陸先端科学技術大学院大学 奈良先端科学技術大学院大学 大阪大学

6

京都大学、北陸先端科学技術大学院大学、奈良先端科学技術大学院大学、大阪大学中之島キャンパス(講義会場)を結んだオンライン講義を実施。技術的知識だけでなく、社会的背景を考慮した情報セキュリティリスクマネジメントについての理解を目指す

平成23年度

情報セキュリティ運用リテラシー情報セキュリティ運用リテラシー1. 猪俣敦夫 奈良先端科学技術大学院大学

– 情報セキュリティリスクマネジメント、ISMS、国際標準、暗号危殆化問題、 情報セキュリティと法について、IT Keysコースウェアプログラムを受講するにあたっての基礎知識の習得プログラムを受講するにあたっての基礎知識の習得

2. 永見健一 (株)インテック・ネットコア取締役CTO– インターネットの現状やその構造を振り返り、世界そして日本のネットワーク統計情報を交えながら現状のインターネットの在り

方と問題点についての把握と理解

3. 高木 浩光 産業技術総合研究所– インターネットで利用されている認証基盤のリスクを実例を取り上げて、その脆弱性と対策について学習する。現代の情報社

会において、リスクを考慮した本物のセキュリティの在り方を模索する

4 小山 覚 (株)NTTPCコミ ニケ ションズ 執行役員4. 小山 覚 (株)NTTPCコミュニケーションズ 執行役員- 企業を取り巻く情報セキュリティの現状と課題について知る

5. 高橋 竜平, 横山 恵一 エヌ・ティ・ティ・コミュニケーションズ株式会社 エンジニア- マルウェアに感染する悪性サイト情報の現状とスマートフォンにおける脆弱性について学ぶマルウェアに感染する悪性サイト情報の現状とスマ トフォンにおける脆弱性について学ぶ

6. 高橋 郁夫 IT法律事務所 弁護士– 昨今のサイバー犯罪事例をもとに裁判の判例などを紹介し、法律という視点からセキュリティマネジメントについて学ぶ

7 歌代 和正 JPCERT/CC 代表幹事7. 歌代 和正 JPCERT/CC 代表幹事– 企業・組織で業務を適切に実行していく上で必要な知識とセキュリティ管理で必要なTipsを紹介し、体系化を目指す

8. 丸山 満彦 監査法人トーマツ– IT内部統制について理解するために、財務報告の信頼性評価とIT内部統制について学習する。さらにIT内部統制の枠組みで

ある「COBIT」について取り上げ、現状の問題点から議論する

9. 占部 浩一郎 内閣官房内閣審議官・情報セキュリティセンター副センター長– 大学院生に知っておいて欲しい日本の情報セキュリティ政策について学ぶ

最新情報セキュリティ特論（座学）最新情報セキュリティ特論（座学）

8

初等代数論から楕円曲線暗号など基礎から応用まで含めた暗号に関する理論的知識を習得する。また、ネットワークセキュリティとして基礎技術から運用者視点からのマネージメント技術など幅広い知識の習得をめざす

最新情報セキュリティ特論最新情報セキュリティ特論

1 宮地充子(北陸先端科学技術大学院大学）1.宮地充子(北陸先端科学技術大学院大学）– 代数論の基礎、公開鍵暗号、デジタル署名の理論的仕組み、楕円曲

線暗号の安全性について 主に暗号理論の習得を目指す さらに線暗号の安全性について、主に暗号理論の習得を目指す。さらに、Mathematicaを利用して、暗号プロトコルの実装を行い、その仕組みを理解する

2.岡部寿男（京都大学）、上原哲太郎(現 総務省)、高倉弘喜(現 名古屋大学)省)、高倉弘喜(現 名古屋大学)– IDS、ファイヤーウォールの仕組み等、ネットワークセキュリティ技術を

学ぶにあたり、必須となる基礎知識等を習得し、ネットワークにおける管理技術とセキ リテ 攻撃の振る舞いの基礎に いて学習し 運管理技術とセキュリティ、攻撃の振る舞いの基礎について学習し、運用者・管理者としてその障害対応や対策手法を体系的に習得することを目指す

9

実践科目群（演習）実践科目群（演習） 無線LANセキュリティ

日程: 2011/7/2-7/3日程: 2011/7/2 7/3

場所: 大阪大学：大阪府吹田市

担当： 大阪大学

リスクマネジメント演習 リスクマネジメント演習 日程: 2012/2/21-2/24

場所: 慶應義塾大学：神奈川県横浜市

担当：JPCERT/CC、NTTコミュニケーションズ、LAC

インシデント体験演習 日時: 2011/9/15-9/16(1日短縮:最新情報セキュリティ特論とセットでの実施）

場所: NICT北陸リサーチセンター:石川県能美市

担当：門林雄基、篠田陽一、NICT北陸リサーチセンター

IT危機管理演習 日程: 2011/9/28-9/30

場所: 京都大学：京都府京都市

担当：NPO法人 情報セキュリティ研究所、和歌山大学、京都大学

システム攻撃・防御演習 ／ システム侵入演習シ テ 攻撃 防御演習 シ テ 侵入演習 日程: 2011/7/23-24 ・ 2011/11/19-20

場所: 大阪大学：大阪府吹田市

担当： 大阪大学

インシデント体験演習＠北陸インシデント体験演習＠北陸 独立行政法人 情報通信研

究機構(NICT)北陸リサ チ究機構(NICT)北陸リサーチセンターの大規模汎用ネットワーク実証実験施設ワ ク実証実験施設StarBEDを用いたセキュリティテストベッド上で、現実的な規模と複雑さを持つサイトへの様々な攻撃と、それらに対する監視 分析 防御 回避する監視・分析・防御・回避・復旧等の技術を習得

特徴 特徴– 本物のコンピュータウィルスの

検体を用いたサイバー攻撃の

11

仕組みを実践的に体験することが出来る

インシデント体験演習＠北陸インシデント体験演習＠北陸

12

IT危機管理演習＠京都大学IT危機管理演習＠京都大学

実際に起きうるインシデントとその事後処理について、情報シム管理者 立場 プ イ グ 式 演習をステム管理者の立場でのロールプレイング形式での演習を

行うグル プごとに仮想組織のネットワ ク部署担当者として 各種障害– グループごとに仮想組織のネットワーク部署担当者として、各種障害などの技術対応だけでなく想定外の危機管理への対応など幅広い実践的な業務を体験し、運用者として様々なリスクへ対応できるようにすることを目指することを目指す

13

IT危機管理演習＠京都大学IT危機管理演習＠京都大学

14受講生によるインシデント対応の場面

実習オペレーションセンターby 情報セキュリティ研究所、和歌山大学

リスクマネジメント演習＠東京リスクマネジメント演習＠東京 本年度は震災の影響により2012

年2月に実施予定年2月に実施予定

不正攻撃やボット等の悪意のあるプログラムの振る舞いを、機械語レベルで仕組みを理解し、稼働中のシステムから問題を早期に発見するためのテクニックについて見するためのテクニックについて、その経験的手法を学ぶ

15

リスクマネジメント演習＠東京リスクマネジメント演習＠東京

外部機関で演習を行うために、受講生自身にNDA（秘密保持契約）を理解させ、誓約書を記載してもらった上での実施

リスクマネジメント演習＠東京リスクマネジメント演習＠東京 企業見学会の実施

– 平成22年度実施企業 NTTコミュニケーションズ（株） セキュリティオペレーションセンタ

NTT武蔵野研究所 NTT武蔵野研究所

LAC株式会社 JSOC

– 各所において活発な質疑応答等 受講生の関心の高さ各所において活発な質疑応答等、受講生の関心の高さ

学生と業界関係者との交流会

17

3つの演習＠大阪大学3つの演習＠大阪大学 無線LANセキュリティ演習

システム攻撃 防御演習 システム攻撃・防御演習

システム侵入演習インタ ネ ト上に潜む様々な攻撃を体験し 実際に自らがネ トワ– インターネット上に潜む様々な攻撃を体験し、実際に自らがネットワークを構築する上での脆弱性を発見し、今後の対策を検討する

18

受講生の選抜受講生の選抜 平成20年度奈良先端大 希望者8名 決定者5名 倍率1.60

大阪大学 希望者7名 決定者6名 倍率1.16

京都大学 希望者7名 決定者6名 倍率1.16

北陸先端大 希望者6名 決定者5名 倍率1.20

合計 希望者28名 決定者22名 倍率1.27

各大学にて、希望者の選抜を実施各年度4月の講義開始直前に行われるガイダンスにて案内を行い 希望者に対して 動機などを

平成21年度奈良先端大 希望者10名 決定者6名 倍率1.67

大阪大学 希望者9名 決定者6名 倍率1.50

スにて案内を行い、希望者に対して、動機などを記載してもらうアンケートおよび面談を実施（数学の試験などのスクリーニングを実施している大学もある）大阪大学 希 者 名 決定者 名 倍率

京都大学 希望者9名 決定者6名 倍率1.50

北陸先端大 希望者20名 決定者6名 倍率3.33

合計 希望者48名 決定者24名 倍率2.00

平成22年度 平成22年度毎年、修了生による評価、および本プログラムの成果により、受講

奈良先端大 希望者16名 決定者6名 倍率2.67

大阪大学 希望者10名 決定者6名 倍率1.67京都大学 希望者15名 決定者6名 倍率2.50 北陸先端大 希望者 名 決定者 名 倍率

平成23年度

生の希望者が

大幅に増加

北陸先端大 希望者16名 決定者6名 倍率2.00 合計 希望者53名 決定者24名 倍率2.21

奈良先端大 希望者7名 決定者6名 倍率1 17

19

奈良先端大 希望者7名 決定者6名 倍率1.17

大阪大学 希望者16名 決定者6名 倍率2.27京都大学 希望者10名 決定者6名 倍率1.67 北陸先端大 希望者12名 決定者6名 倍率2.00 合計 希望者45名 決定者24名 倍率1.88

課題演習の実施平成23年度

課題演習の実施課題：A市では、今後、新たに市のサービスとしてス ト ン用のアプリケ シ ンを提供し 市てスマートフォン用のアプリケーションを提供し、市民にとって便利なサービスを提供したいと考えている。各自、本サービス提供のための主担当に任命されたと想定し 次ページに指示された内容を

課題キーワード個人情報管理 住民命されたと想定し、次ペ ジに指示された内容を

もとに新たな情報セキュリティ方針（各種基準）を策定し、様々なセキュリティインシデントを考慮し、想定されるリスクとその対策について自由に論じ

欲

個人情報管理、住民基本台帳、情報公開、情報開示、条例、ISO27001/ISMS セて欲しい

A市が目指したいこと・クラウドを利用したコスト省力化・大幅な節電対策

ISO27001/ISMS、セキュリティポリシ、情報セキュリティ対策基準、情報セキュリティ実施・大幅な節電対策

・ペーパーレス化・全職員へのAndroid端末の提供・市民へのAndroidアプリの提供

情報セキュリティ実施手順、情報セキュリティ管理基準、リスク評価 情報セキュリ市民 提供

・税金の申告あるいは支払いのオンライン化・それ以外にも自由に考えてみて欲しい

課題演習の期間 約2ヶ月

評価、情報セキュリティ監査

20

課題演習の期間：約2ヶ月

PBL教材作成と活用PBL教材作成と活用

PBL教材作成 PBL教材作成– 講義ごとにビデオ映像を収録

し、NAIST電子図書館にて提供中の授業アーカイブシステムへ随時登録

授業ア カイブの活用 授業アーカイブの活用– 受講生は好きな時間に好き

な形態で講義を復習することが出来る

– 講義を見直すことで受講生自身での問題解決能力の育成身での問題解決能力の育成

Flash版によるコンテンツ

21

Flash版によるコンテンツ（最新情報セキュリティ特論のコンテンツ一例）

修了認定証修了認定証 IT Keys修了要件

基礎科目群 2科目４単位以上– 基礎科目群：2科目４単位以上

– 先進科目群：全科目（2科目4単位）

– 実践科目群：2科目4単位以上実践科目群 科目 単位以

– 各大学院において実践的な情報セキュリティ問題に関連した課題研究もしくは修士研究を習得すること

修 証授与式 定 修了証授与式 2012/3/15予定

22

公開と成果公開と成果 公開

奈良先端科学技術大学院大学総合情報基盤センタ 電子図書館「 奈良先端科学技術大学院大学総合情報基盤センター電子図書館「授業アーカイブシステム」による公開

国立情報学研究所「いつでもどこでも学べるポータルサイト（次期edubase cloud)」による授業アーカイブの公開

成果– 社会(企業・官公庁・大学)の要請の吸収：各演習実施による機関毎の密

接な連携体制の確立

– プログラムの評価と改善：文部科学省による中間評価により4段階中最プログラムの評価と改善：文部科学省による中間評価により4段階中最高の評価

– コース利用者の確保：4大学全体の平均競争倍率（例年増加）の実績

就 確保 実 演 経験を 修 就 実– 人材の就職先の確保：実地演習による経験を活かし、修了生の就職実績（進路確定率）95%(就職65%:進学30%)

– 人的ネットワークの形成：ISSスクエアとの連携（演習の共同実施や遠隔人的ネットワ クの形成：ISSスク アとの連携（演習の共同実施や遠隔講義）や学生主体のセキュリティコミュニティの形成

これからの情報セキュリティ教育これからの情報セキュリティ教育

サーティフィケートとブランディング

– 学位、免許、資格等

人的ネットワークの構成と活用

– 教育側: 日本でのインターネット構築に携わった人的ネットワークの成果 (IT Keys, ISS Square)

– 学生側: プログラム修了後のネットワーク

自己学習、関係コミュニティでの勉強会等

一つの考え方

– 大学連合での教育

スタートレベルをそろえる スタ トレベルをそろえる

深い教育

繰り返しによる実践演習

プ グ 修 後– プログラム修了後のネットワークと自己研鑽

学会等でのフォローアップ

認定制度、更新等

27