ニュース
従来の攻撃が風邪なら、新しい攻撃はインフルエンザ?
アライドテレシス「サイバーセキュリティーセミナー」レポート
2018年3月19日 06:00
アライドテレシス株式会社は3月6日~7日に、組織レベルのセキュリティ対策に関するセミナー「アライドテレシス『サイバーセキュリティーセミナー』」を開催した。
本誌でもすでに報道した米Norwich大学のセキュリティ教育プログラムや、ペネトレーションテストラボ「アライドテレシスサイバーセキュリティラボ」(ACSL)開設についても、セミナーの中で講演で解説された。
ここでは、新発表関連以外の特別講演2件についてレポートする。
大学でのセキュリティ人材育成とは
1つめの特別講演では、東京電機大学サイバーセキュリティ研究所 所長の佐々木良一氏が「サイバー攻撃の動向と日本の大学におけるサイバーセキュリティ教育」と題し、大学におけるセキュリティエンジニア教育の状況や、東京電機大学における取り組みについて語った。
佐々木氏はまず、サイバー攻撃の最近の動向を紹介した。氏は2000年ごろと2010年以降のサイバー攻撃を比較。攻撃目的は「面白半分」からお金もうけや主義主張を含むものに多様化、攻撃対象はWebなどから重要インフラも狙われるように、攻撃技術も高くなったとまとめ、「従来の攻撃が風邪なら、新しい攻撃はインフルエンザ」とコメントした。
また、今後の攻撃の予想としては、コインチェック事件の580億円分のような「被害の大型化」、ランサムウェアのような「被害の多様化」、犯罪組織や国またはそれに準ずる組織などの「犯罪組織の高度化」、IoT機器への「攻撃対象の多様化」を佐々木氏は挙げた。
続いて、日本の大学におけるサイバーセキュリティ教育について佐々木氏は紹介した。氏は、セキュリティ人材として8.2万人が不足しているというIPAの調査結果を引用した。そして、大学でのセキュリティエンジニアの育成計画として、学部での基礎講義による「セキュリティ実践力のあるIT技術者」だけでなく、大学院による「高度なセキュリティエンジニア」や「CISOを補佐できる技術もビジネスもわかるエンジニア」の育成が必要だと説いた。
佐々木氏は、情報系学科におけるセキュリティ教育の状況を、関東と関西に分けて説明した。セキュリティの分野ごとにみると、デジタルフォレンジックの授業は全体的に少なく、特に関西では少ないという。
そのほか、公的機関における演習を中心とするセキュリティ人材育成事業として、NICTのCYDER演習や、NICTのサイバーコロッセオ、NISCの重要インフラ分野横断演習、PAの産業サイバーセキュリティセンターCISO向け短期コースを佐々木氏は紹介した。
こうした実例として、佐々木氏は東京電機大学大学院におけるセキュリティ教育の事例を紹介した。テクニカル4コース、マネジメント2コースの、計6つの科目があり、その1つとしてデジタルフォレンジックも設置されている。教科書は「デジタル・フォレンジックの基礎と実践」として出版されている。
外部講師が多いのが特徴だという。対象は社会人および大学院生。実績として、社会人受講生は27年度前期33名・後期9名、28年度前期34名・後期7名が参加。6~7割が全課程を受講したという。セキュリティ業務についている人が大部分で、多くは自己費用で参加したと佐々木氏はコメントした。平成30年度では、7コースへ増やし、また実務者コースも開始する予定だという。
最後に、今後の方向として佐々木氏は、一般的セキュリティ実行の増加のために、情報系学科では必ずセキュリティ教育を実施するようにし、非情報系学科でのセキュリティ教育などを充実させることを提唱。また、高度なセキュリティ人口の育成のために、社会人学びなおし教育の充実や人材の横展開を利用したオンザジョブ教育の充実を提唱した。
国際サイバーセキュリティ情勢と企業の対策
2つめの特別講演では、内閣官房 内閣サイバーセキュリティセンター(NISC) 基本戦略グループ 上席サイバーセキュリティ分析官の仲間力氏が、「サイバーセキュリティ情勢と対策」と題して講演した。仲間氏は、陸上自衛隊で通信システム系を歴任したあと、セキュリティコンサルタントを経て、現職にあるという。
仲間氏はまず、サイバーセキュリティ情勢として、「個人情報」「業務妨害」「産業スパイ」の3点について語った。
まず個人情報については、「争点は、プライバシー保護 vs. 安全と経済」という図式で仲間氏は語った。その例としては、EUと巨大IT企業との係争が続いていること、ロシアと中国が巨大IT企業にデータを国内に保存することを要求していること、米政府が巨大IT企業が持つ個人情報を収集する傾向にあると言われていることなどが挙げられた。
この分野で大きなものとして、EUが2018年5月から施行する「GDPR」がある。個人データの仮名化・暗号化や、侵害があった場合、72時間以内に監督機関に通知することなどが求められる。「Google級の巨大IT企業が対象と言われているが、注意する必要がある」と仲間氏はコメントした。
業務妨害の分野では、WannaCryなどのランサムウェアや、MiraiなどIoT機器に感染するマルウェアによるDDoS攻撃が語られた。
産業スパイの分野では、まず中国APTの活動が取り上げられ、米中サイバーセキュリティ合意のころに激減したがどちらが原因で結果かは不明だという。また、産業スパイ的手法としてWikiLeaksが取り上げられ、「CIAができることはいずれ拡散する」と仲間氏は語った。
これらの情勢について仲間氏は「企業に直接対応できないような問題が多い」とコメントした。
では企業による対応策はどうするか。仲間氏は、「セキュリティの強化(人・システム)」「信頼醸成」「情報共有」の3つを挙げ、その中でもシステム強化策として、米国土安全保障省(DHS)が主導するCDM(Continuous Diagnostics and Mitigation)プログラムを紹介した。
CDMは、米政府のシビリアン省庁(軍・インテリジェンス以外)が対象で、常時監視・診断・緩和を行う。Phase 1~3として、ハードウェアやソフトウェアなどの資産管理、PCの通信履歴の監視、イベント管理および境界防御などからなる。
そのほか、攻撃・防御の自動化・迅速化として、DARPAがZero-Second攻撃への対処としてAIによる防御のコンテストを開催したことを仲間氏は紹介した。