古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

高専初「サイバーレンジ」も、都立産技高専のセキュリティ人材育成が目指すもの

ザテレビジョン のロゴ ザテレビジョン 2017/05/28
高専初「サイバーレンジ」も、都立産技高専のセキュリティ人材育成が目指すもの © KADOKAWA CORPORATION 提供 高専初「サイバーレンジ」も、都立産技高専のセキュリティ人材育成が目指すもの

 4月4日、東京都立産業技術高等専門学校の品川キャンパス(以下、都立産技高専)において、サイバーレンジの内覧会が行われた。「サイバーレンジ(Cyber Range)」とは、疑似的なサイバー攻撃シミュレーションを体験しながら、攻撃の手口や防御方法を学ぶ実践的な演習システムだ。防衛省や企業、大学などでも採用が進む同システムを、高専で3年生から3年間、常設講義として実施するのは同校が全国初となる。 サイバーレンジ演習の教室で行われた「内覧会」の様子 サイバーレンジ演習の教室で行われた「内覧会」の様子  今回の内覧会には「情報セキュリティ技術者育成プログラム」の履修生たちも参加した。都立産技高専では、昨年からスタートしたこの育成プログラムを通じて、これからの社会が必要としているサイバーセキュリティ人材の育成に、積極的に取り組んできた。  本稿では、この育成プログラムを立ち上げ、運営してきた指導教員や、自らセキュリティ啓蒙イベントを企画、実施した履修生たちに話を聞き、そのチャレンジの裏側を追った。 攻撃シナリオに基づいて「手を動かす」サイバーレンジを授業に導入  まずは冒頭でも紹介した、サイバーレンジシステムの導入について紹介しておこう。  都立産技高専が導入した「CYBERIUM」は、小規模環境から大規模環境まで(仮想CPUコア数10~1000)幅広い演習環境に柔軟に対応し、攻撃シナリオに基づいて、基礎から応用まで手を動かしながら学ぶことができる。具体的に学べるスキルは、攻撃手法や攻撃の特定、防御/対策の方法、マルウェア解析などだ。  ものづくり工学科、電子情報工学コースの情報セキュリティ技術者育成プログラムの履修生は、3年間、最新の攻撃シナリオを取り上げた演習で基礎力や実践力を強化し、最終的には自ら仮想イントラネットワークの構築や、演習シナリオの作成までできるようになることを目指す。そのために、コンピューターやネットワークの仕組みを含む全体視野でセキュリティを考える力を養う。  学生のスキル取得状況は「成長スキルマップ」にマッピングされ、学生の得意分野や補強が必要なジャンルを可視化してくれるため、教員はそれに応じて教材を選ぶことができる。同校にはCYBERIUM用のサーバーラックが1セット設置されたほか、ノートPCは、講義を受ける学生全員に行き渡るよう、サイバーレンジシステムにのみ接続できるマシンとインターネット接続用マシンが、それぞれ25台ずつ用意されている。 サイバーレンジ演習用のサーバーラック サイバーレンジ演習用のサーバーラック 演習で学生が使うノートPCを保管するラック 演習で学生が使うノートPCを保管するラック  この日、情報セキュリティ技術者育成プログラムの履修生を含む参加者たちは、CYBERIUM構築に携わった富士通ラーニングメディアのセキュリティ教育総監督、佳山こうせつさんの解説に熱心に耳を傾けた。質疑応答では、授業外で自主的に学べるコンテンツはあるかという質問も挙がり、佳山さんは「たとえば夏休みの課題として、チームごとに作ったイントラ環境を互いに攻撃し合い、どう守るか考える演習を組むのも楽しい」と提案した。  「ガジェットやツールはたくさんあるので、先生と相談しながら、みんなの実習環境を広げていきたい。サイバーレンジが良い経験の“場”ときっかけの“場”になれば嬉しい。これから学生たちと一緒にシステムを成長させていきたい」(佳山さん) まったくの“ゼロ”から始まった育成プログラム  それでは少し時間をさかのぼり、都立産技高専が立ち上げた情報セキュリティ技術者育成プログラムとはどんなものか、そしてなぜそれが必要だったのかについて見ていこう。  情報セキュリティ技術者育成プログラムは、昨年(2016年)4月に開講した。講義は週2回、通年60コマ(1コマ90分)。通常のカリキュラムに“足し算”する形で組み込まれたため、他コースの履修生よりも授業数が多くなる。加えて、春休みや夏休み、放課後には警察庁やセキュリティベンダーなどの講話が開催されるなど、かなりハードなプログラムである。  それでも学びたいと履修を決めた第1期生の現4年生は16名。加えて、今年4月からは14名が同プログラムに進んでいる。4年生の岩立稜佑さんは、履修の理由をこう述べる。「入学当初は、将来システムエンジニアやプログラマーになるんだろうなと漠然とイメージしていた。育成プログラムが開設されると聞き、セキュリティについて色々調べていくうちに、これこそ自分がやりたかったことだ、もっとちゃんと勉強したいと思うようになった。こんなに『何かやりたい』と強く思ったのは初めてだった」。  同プログラムの立ち上げは「情報インフラの安全/安心を担保する技術者の育成において、都立産技高専がどう貢献できるか検討したことが始まりだった」と、指導教員の1人である小早川倫広さんは説明する。 東京都立産業技術高等専門学校の品川キャンパス 東京都立産業技術高等専門学校の品川キャンパス  都立産技高専は元々、2006年に東京都立工業高等専門学校と東京都立航空工業高等専門学校が統合してできた高専だ。機械システム工学コースや電子情報工学コースなどが品川キャンパスに、航空宇宙工学コースやロボット工学コースなどが荒川キャンパスに設置された。特に情報系の教員が揃う品川キャンパスで、コンピューターサイエンスをコアにセキュリティ教育を充実させたいと声が上がるのは必然だった。そうして2014年10月、渡辺和人副校長をヘッドに据え、小早川倫広さんを含む教員4名と事務員1名で、プログラム立ち上げプロジェクトがスタートした。  とは言うものの、セキュリティ専門の教員がいるわけではなく、学習到達目標(スキルセット)をどう設定すればよいのか、そもそも何から手を付けるべきかが見えてこない。そこで、小早川さんと若手教員の1人である岩田満さんは、時間を捻出しては内閣サイバーセキュリティセンター(NISC)や企業、大学などへ出向き、セキュリティ教育に必要なものは何かを必死に模索した。サイバーレンジの存在を知ったのもそのときで、プログラムのイメージはより具体化されていったという。  「2015年は1年間、話を聞きにひたすら歩いた」。そう振り返る小早川さんは、数々の助言を自分たちが目指すプログラムに落とし込み、予算確保で都立産技高専の設置者である公立大学法人首都大学東京の事務局などの説得に走り回った。かくして、情報セキュリティ技術者育成プログラムが完成した。 「倫理観と正義感」「コンピューター科学」を中軸に据える  プログラムを構築するにあたり、同校では「2つの柱」を中軸に据えた。  1つは「倫理観や正義感を養うこと」だ。セキュリティに限った話ではないが、これは犯罪かもしれない、犯罪を犯してはならないという意識が身に付かないまま、テクニックの面白さだけにのめり込んでしまうと、そのままダークサイドに堕ちて人生を台無しにしてしまう可能性もある。「技術を磨きたいという純粋な思いに対し、いかに倫理観を持たせてから社会に輩出できるかは、教育機関として重要な役割でもある」(小早川さん)。  その取り組みの一環として、同プログラムを履修する学生は4月の新年度開始前の3月下旬、東京都弁護士会法教育センターの法教育プログラムで実施されている「刑事裁判傍聴講座」に参加することになっている。  第1期生のとき、岩田さんの担当グループは薬物事件で逮捕された被告人の裁判だった。「刑務官に誘導されながら手錠をかけられ法廷に入ってくる被告人や、憔悴した様子で淡々と今後の更生を支えると誓う母親を目の当たりにして、最初はヘラヘラしながら裁判所に出向いた学生も、裁判後には顔つきがまったく変わっている」(岩田さん)。  法を犯すとどうなるのか、誰を悲しませてはならないのか。“あちらの世界”を垣間見ることで、ぼんやりとした使命感が学生の中で少し鮮明になったように感じたと、両氏は口をそろえる。  もちろん、ただ怖がらせているのではない。明るい日の下で活躍する人材に育ってもらいたいという思いが根底にある。警視庁や警察庁、セキュリティ技術者による講話などでも、学生の成長を全面サポートするという意思を積極的に発信してもらっているという。「高専という閉鎖された空間ではなく、社会全体が自分たちを支援してくれていると実感することで、学生が心を強く持つための支えになっていれば嬉しい」と、小早川さんは述べる。 主催イベント後、情報セキュリティ技術者育成プログラムの履修生たちなどが記念撮影 主催イベント後、情報セキュリティ技術者育成プログラムの履修生たちなどが記念撮影  2つめの柱は「コンピューターサイエンスの理解と習得」だ。  セキュリティ業務に従事する人材の、質的/量的な不足――。そんな課題が提示されてから久しいが、いま必要とされるスキルや職種だけを求めて人材を育成することは、教育機関にとって本望ではない。人工知能や自動化技術が進化し、セキュリティ業務の一部が機械に取って代わられる、そんな未来においても、弾力性を持って生き残るために「コンピューターサイエンス」という芯を備えてほしい。そのうえで、セキュリティという鎧を身にまとうべきだ。  前出の佳山さんも、内覧会で学生たちに言い添える。「攻撃によってバッファオーバーフローが発生すると聞いたとき、スタックの考え方やレジスタの仕組みを理解していないと、つまづいてしまう。コンピューターサイエンスの土台がしっかりしていると、学習の加速度は全然違う」。  小早川さんは、「ハンズオンで楽しみながら(コンピューターサイエンスという)コアの部分を鍛えられるよう、カリキュラムを組んでいる」と語る。 プログラム履修生主催で中学生向けセキュリティイベントを開催  情報セキュリティ技術者育成プログラムは、この4月で2年目を迎える。1年間実施して手応えはあったのだろうか。  「学生の人間力は確実に成長していると思う。特にチーム力が向上したのではないか」と、小早川さんは断言する。  起爆剤の1つは、品川キャンパスの文化祭「産技祭」で中学生向けに実施したCTF(Capture the Flag)ではなかったかと、岩田さんは振り返る。「準備に参加した履修生と参加しなかった履修生の間に、はっきりとしたスキル差が出た。それを感じ取ったのか、参加した履修生たちは全員で成長できるよう手を差し伸べ、参加しなかった履修生たちも奮起した。コミュニケーション能力も少しは……上がったかな?」。  それを受けて小早川さんは笑いながら、「自分たちが多くの人にサポートされていることを知っているので、もらったものを還元したいと自然に動いているのかもしれない」と分析する。  3月11、12日に履修生が主催した中学生対象のセキュリティイベント「Cyber Security Tokyo for Junior」(http://www.tmcseec.net/cyber_security_tokyo/)には、履修生全員が自主参加を申し出て、一丸となって取り組んだ。 履修生たちが主催した「Cyber Security Tokyo」の様子 履修生たちが主催した「Cyber Security Tokyo」の様子  目標は、参加する中学生たちに、情報システムのセキュリティ対策の重要性を体感してもらうこと。そこで、「Raspberry Pi」やモーターなどを使って遠隔操作できる監視カメラを制作し、それを使ってCTFに挑戦、セキュリティの基本をクイズ形式で学びながら、運営側が仕掛けるハッキング攻撃にどう対策すべきかを最後にディスカッションする構成にした。  1日目は、セキュリティと倫理に関する講話を聴講し、その後はカメラ制作に没頭した。講話は、保護者同伴で参加することが必須条件だった。理由は、サイバーセキュリティ方面に進みたいと子供に言われたとき、得た知識や技術を正しく使うための倫理観を養ううえで、保護者の協力や理解が必須だからだ。  2日目は、CTF大会が開催された。教室内の参加者からは見えない廊下の壁に次々と文字が映し出されるので、壁前の監視カメラでこれらを確認し、所定の個所に入力すれば問題が出題される。この問題は、ファイルの中身を見るにはどのコマンドを使えばよいかなど、監視カメラを遠隔操作するための設定や操作で学んできた基礎知識。正解すればフラグ(得点)ゲットだ。 参加者が作成したリモート監視カメラ。壁際に配置され、CTF開始を待つ 参加者が作成したリモート監視カメラ。壁際に配置され、CTF開始を待つ 白黒の格子状の隙間を泳ぐ文字 白黒の格子状の隙間を泳ぐ文字  このとき、文字はさまざまなスピードで飛び回るため、監視カメラを上下左右に操作する必要がある。しかも運営側が、途中で電源を引き抜く、モーターを動かすためのファイルの権限を変更する、映像配信アプリの強制終了コマンドを実行する、謎(?)の人物がカメラを覗き込んで邪魔をするなどの「攻撃」を実行するので、フラグ獲得は簡単ではない。 カメラを覗き込み、文字を見せないよう邪魔をするアノニマス(?) カメラを覗き込み、文字を見せないよう邪魔をするアノニマス(?)  攻撃の中には、産技祭のCTFで経験した失敗も盛り込まれている。「OAタップにどんどんPCをつなげていたら、突然電源が落ちて(笑)」。そう笑う履修生の菊池雄一さんと小障子尚太朗さんは、低レイヤー(物理レイヤー)を含め、広い視野で設計を考えることが大事であることを実感したという。 イベント前日のリハーサルでは、機材の動作チェックが入念に行われた イベント前日のリハーサルでは、機材の動作チェックが入念に行われた  CTF終了後は、セキュリティについて考えるディスカッションが行われた。「監視カメラはどんなところにある?」「セキュリティ対策がされていないと、どんなことが起こりうる?」「システムに侵入されてコマンドを実行されたとき、どうすればそれを調べられる?」「他人にファイルを見られないようにするには?」「アカウントの権限を奪われたら一番ヤバいユーザーは?」。履修生たちはこうした質問を投げかけながら、サイバー攻撃の実社会への影響や、守る側になることの大切さを伝えた。 プログラミングに慣れていない参加者を見守り、サポート プログラミングに慣れていない参加者を見守り、サポート 説明する履修生も参加者とともに成長 説明する履修生も参加者とともに成長 「社会全体で学生を育てるモデルケースを目指す」  小早川さんと岩田さんは、「これからもハンズオンや講話、進学、研究、インターンシップ、就職活動などあらゆる機会を提供し、より多くの経験が積めるよう場を提供していきたい」と口を揃える。「伸びる子たちの着地点をできるだけ遠くに導くことが、教師の使命だ」。  今年4月から新履修生が加わり、サイバーレンジ演習も始動する今、「サイバー演習教育システムをうまく進められるか、時間数は足りているのか、コンピューターサイエンスで教え足りない部分はあるかなど、カリキュラム体系の改善の余地はまだある。また、学生の倫理観の維持や、教員の意識のベクトル合わせも取り組む必要がある。不安は尽きない」と小早川さんは明かす。  「履修生が卒業、就職して、講話などで母校の後輩にセキュリティについて教えにきてくれて、ようやく軌道に乗ったと感じられるかもしれない。目標は『社会全体で学生を育てるモデルケース』になることだ」(小早川さん) 楽しそうな笑いも聞こえるCTF中のバックエンド 楽しそうな笑いも聞こえるCTF中のバックエンド  現在、文部科学省による産学協働の高度IT人材育成ネットワーク「enPiT」や、独立行政法人国立高等専門学校機構が推進する情報セキュリティ人材の育成プロジェクトなど、サイバーセキュリティ人材育成の取り組みは全国に広がっている。より良いモデルケースを目指し、試行錯誤を続ける都立産技高専と学生たちの挑戦も、いま始まったばかりだ。 放課後や泊まり込みでリハーサルや準備を繰り返した履修生、終了後に一瞬寝落ちする場面も。頑張りが実となる日は近い 放課後や泊まり込みでリハーサルや準備を繰り返した履修生、終了後に一瞬寝落ちする場面も。頑張りが実となる日は近い ■関連サイト 東京都立産業技術高等専門学校 都立産技高専の情報セキュリティ技術者育成プログラム

高専初「サイバーレンジ」も、都立産技高専のセキュリティ人材育成が目指すもの

高専初「サイバーレンジ」も、都立産技高専のセキュリティ人材育成が目指すもの
© KADOKAWA CORPORATION 提供

ザテレビジョンの関連リンク

ザテレビジョン
ザテレビジョン
image beaconimage beaconimage beacon