2017年5月、猛威を振るったランサムウエア「WannaCry」をはじめ、世界中でITシステムを狙う脅威が拡大しています。日本に対する攻撃も、東京オリンピックに向けて増えこそすれ、減ることは期待できないでしょう。そんな中、日本ではサイバーセキュリティ人材が不足しており、人材育成が急務となっています。しかし、「サイバーセキュリティ人材育成」と一口でいっても、具体的にはどのようなスキルや知見を有した人々を指し、どのように育成すればよいのか悩む方も多いのではないでしょうか。
1.セキュリティ人材不足の現状
経済産業省が2016年に実施した調査結果によると、現在の情報セキュリティの人材不足は13万2060人に及んでおり、また、ユーザー企業の約半数が情報セキュリティ人材の不足を感じていると回答、必要人数を確保できていると回答したのは26%にすぎません。さらには、日本で東京五輪が開催される2020年には、情報セキュリティ人材の不足数が19万3010人まで増加する見込みと言われています。東京オリンピックの成功には、物理面・サイバー空間の双方の安全安心が不可欠であり、円滑な開催のためにも、また2020年以降の日本のサイバーセキュリティのためにも、20万人近い人材不足は由々しき事態と言えます。
マカフィーでは近年、このような課題意識に基づき、サイバーセキュリティ教育の一環として、主に大学生や高校生等を対象に、PC上で実際にサイバー攻撃を行うツール等を活用したサイバーセキュリティの演習講座を支援しています。
2017年9月3日には、明星大学情報学部様の主催で「はじめてのサイバーセキュリティ演習」と題する公開講座が開催され、当社でご支援させていただきました。当日会場には、大学・高校生や、高校の先生方、その他昨今の報道等によりサイバーセキュリティに関心を持ったという社会人・地域住民の方々にご参加いただけました。
講座は、明星大学情報学部情報学科の丸山一貴准教授より、そもそもセキュリティとは、というサイバーセキュリティの定義を参加者の皆さんに問いかけ、一緒に考えてみるところから始まりました。
サイバーセキュリティ基本法第2条を学生の皆さんにもわかりやすいように、「つまり、コンピューターで扱う情報データについて漏れたり壊れたりしないようにしましょう、そして、それを扱うコンピューターやネットワークを安全かつ信頼できる状態にしましょう。“その状態”が適切に維持管理されている、それが、“セキュリティが保たれている”と言うことなのです」とお話されました。ビジネス上のさまざまな変化 - システムのアップデートだけでなく、担当者の変更〜移転などビジネス上の要請により、設定した当初の状態を保つことは実は難しく、信頼できる状態が保たれているか、ということを意識して対策することが重要です。
また、安心かつ信頼できる状態を維持するための対策として3つの対策について解説。一つめは技術的。例えばコンピューターにはウィルス対策ソフトを、さらに詳しい方はネットワークでの対策をしているケースもあるでしょう。2番目には、物理的対策。これは普段から日常生活でもやっていることで、防犯や入退室管理、自宅を出る際に鍵をかけるのもこれにあたり、技術的にソフトウェアを導入するだけではなく、物理的に対策することも大変重要なのです、と添えられました。3番目は人的対策であり、大事な情報を扱うときにはルールが重要、しかしルールもそれをきちんと認識してどれくらい守るかがさらに重要と、従業員への教育、学生の教育の必要性を説明されました。
さらにこの3つの対策を「防止、検出、対応」に整理した形で説明され、「護っていたものが破られた、ということを知る - 検出することが重要であり、検出したら、次に何をするか。防止が効かなかった場合に、次はこの方法で対応する、と備えておくことが大切です」とお話されました。
さらに具体的なセキュリティの問題として、「アカウントの乗っ取り」と「標的型攻撃」の2点について解説され、まず「アカウントの乗っ取り」については、乗っ取りの典型的な手法としてフィッシングについて触れられ、技術的対策としてソフトウェアを入れていればアラートが表示されそこで気づいて護られる場合があり、また人的対策としては、他のWebサイトと同じパスワードを使わないようにすることが大切である点について、「同じパスワードを使ったほうが楽ではありますが、ユーザーIDはメールアドレスの場合が多いため、同じパスワードを設定していると脆弱性が高まり乗っ取られる恐れがあるので注意が必要です」と呼びかけられました。
「標的型攻撃」については、攻撃しようとする企業になりすましメールを配信し、それが元でマルウェアに感染し情報漏洩等の被害が発生する、昔と比較して現在ではオンライン上に重要なデータが存在し護る対象が増加しており、それに対しエネルギーをかけて攻撃することによる実入りが増えたためこういった攻撃が急増している、という背景についても説明されました。これに対して人的対策としては添付ファイルを開く際には注意することを従業員教育として実施したり、予行練習を行って訓練しているような企業もあることを添えられました。しかし、いくら注意や訓練をしても一人や二人は開いてしまう可能性があり“完全”はないので技術的対策も必要であり、明らかに重要そうなデータはわかりにくくする、攻撃対象がばれないよう、それらしいファイルをいくつか置く、囮(おとり)のような対策方法もあると解説されました。
そして、実際にセキュリティに関することをどのように学んだらよいのか、について、「皆さんはこういうことに興味を持ち、技術を身に着けていきたいと考えていると思うのですが、セキュリティのエンジニアになるためにはとても幅広い知識が必要であり、OS、プログラミング、ネットワークやプロトコル、Web、DBなどについて幅広く知り、且つ、自分の専門分野を持つことが大切です。ぜひ興味があるところは深堀りしながら、周辺知識も学んでおくとよいでしょう」とアドバイスされました。
さらに一般参加者の方々に向けても、「どういう理屈で動いているのか、という本質の動作原理の理解をしておくと、新しい技術に対しても対策が考えられるでしょう」と添えられ、もし、経営に関わっている場合は、自社のセキュリティに対しコストをどこにどのぐらいかけるべきなのか、という判断が出来るようになることの重要性、対策をしなかった場合の損失である被害を予測し見合ったコストをかけることが必要になる、とお話されました。
2.セキュリティリスクの回避と緩和に役立つ 攻撃者視点
続いて登壇したマカフィー プロフェッショナルサービスの高谷宏幸は、「サイバー攻撃の基本ステップと防御策」について言及し、攻撃者のハッキング技法を知る理由と、攻撃者視点からセキュリティリスクを考えることについて説明しました。
高谷はまず、「攻撃者の考え方や技法を習得することは、リスクの回避と緩和に役立ち、攻撃される前に対応できるようになります。つまり無用な戦いを極力減らすことができ、どうしても戦わないといけないときだけ戦う、というふうにすることができます。そして、実際皆さんが官公庁や企業のシステム担当者になった場合、システムの構築する方法や保護する方法について学ぶ機会はあっても、システムの攻撃方法は誰も教えてはくれないのです」と述べ、防御から考えると、攻撃を予測していないため導入したままになってしまうリスクについてや実際の情報システム部の現場では攻撃手法を知る機会は稀であることについても触れました。
次に、米国のロッキードマーチンが標的型攻撃における一連の行為をモデル化、提示した「サイバーキルチェーン」を用い、守る側はサイバーキルチェーンを理解することにより、攻撃の段階ごとに必要な対策や、攻撃が検知された場合に次の行動を予測して早期の対策が可能になる、ということを解説し、サイバー攻撃の基本ステップを「偵察」、「侵入」、「略奪」、「撤収」の4つの段階に分けて説明した後、各ステップに対する防御策についてお話しました。
セキュリティとは、攻撃による悪影響を緩和することが目的でもあり、組織の脆弱性と脆弱性のインパクトを知ることでリスクを緩和することができ、影響の度合いを知ることが可能になります。「ペネトレーションテストをして予め脆弱性を見つけたり攻撃のインパクトがわかれば、脆弱性を適切に分類できるためビジネスのリスクとコストを理解し適切な判断を下せます。つまり、上長が素早く判断できるようになるのです」(高谷)。また、攻撃手法や技術は進化していくものの、武器は必ずしも最新式、高価なものが常に良いとは限らない点についても触れ、「自分たちにとって使いやすいものを選び、熟練度が足りないと思えば訓練する。そうすることで武器に合わせることもできる。プロも日々勉強します。攻撃する側の気持ちを知ることが大事であり、そういった視点を日々持ち、安全なシステム運用が出来るようになっていただきたい」と組織や体制に合ったソリューションを選択することの重要性と攻撃について理解することがその選定にも役立つことを呼びかけました。
3.パスワードを取得せよ。ツールを用いて解析を進める手順を実践
続く演習では、3人で一つのチームを組み、実際のインシデント調査にも使われるツールを利用し、実際に手を動かしながら学習しました。今回は攻撃者の視点を学ぶという内容のため、実際にパスワードを取得することをミッションとして、競技形式で演習に取り組みました。
まず演習に入る前に、守るべき法規があり犯罪にならないようやってはいけないことを理解しておくことの重要性を説明した後、ミッションが以下のように伝えられ、それらについて学んでからチーム毎の演習に入りました。
<ミッション>
- 脆弱なwifiをクラック
- Target&稼働サービスを調査 スキャニング
- SQLインジェクション攻撃を体験してみましょう
- パスワードを解析してみましょう
参加各チームは「攻撃者」という想定で、予習用教材による事前学習と、講演後の演習で学んだ一連の手法やツールを用いながら、出題・解答システムから提示された設問に対し、パスワードを取得したりさらに機密ファイルを取得する、といったミッションに、チーム内で声を掛け合いながら取り組みました。
実習を指導したストーンビートセキュリティ株式会社の講師は、「今回の演習は攻撃者の視点を学ぶということで、攻撃の仕方がわかれば防御もしやすくなる。実際の演習で体験していただき、その雰囲気を感じていただき、今後に活かしていただきたい」と、ミッション達成のための手順やコツを伝授しました。
演習は約3時間という長時間に渡り、ミッションの難易度も高く設問数も多かったため、各チームとも時間ぎりぎりまで挑んでいました。結果は、大学生チームと高校生チームがそれぞれ上位に入り表彰を受け、賞品の「Raspberry Pi 3」と「SORACOMスターターキット」などを受け取りました。
「攻撃側の視点を知ることの重要性、また実際演習をやってその雰囲気を知ることができた」という参加者は、この演習を機に理解を深めることができ、自信につながったと述べています。また、思うように解析が進まない中、チームで協力し一つのミッションに取り組むことは、攻撃側の視点であっても、チームワークの大切さも同時に感じることが出来るような場となっていました。
最後に、丸山准教授は、「経営判断をする人(経営層)と技術がわかる現場の人(各セキュリティ担当)の間には大きい川が流れていて、政府では、この二種類の人を橋渡しする人材を「橋渡し人材」と称し重要視しています」とお話され、「演習では主に現場の人の技術を取り上げましたが、それをやってみて自分はそこまでではない・・・と思ったとしても、経営や会計を理解して、幅広く対応することができるような橋渡し人材になることも可能。技術のことだけでなく、広い視野を持って学んでいただきたいと思います」と締めくくられました。
今回の公開講座には、ITセキュリティ業界への興味を持つ大学生、高校生が多く参加していました。また高校の先生も数名参加されていました。マカフィーでは引き続き、こうした人材の育成や強化をお手伝いしていきたいと考えています。
