サイバーセキュリティと経済 研究会 中間とりまとめ(6) ·...
TRANSCRIPT
101
(15)セキュリティ&プログラミングキャンプ2010②
(16)世界主要国の産業政策、技術開発、人材政策概要
102
(17)人材育成の現状及び課題に関するヒアリング
(17)―1 人材育成の現状及び課題
大学
企業が欲している人材にも3つか4つの階層あり。企業の足腰となる
ような人材は専門学校から輩出され、先進的な研究を行う人材はトップ
レベルの大学から輩出。これらの教育機関はそもそもカリキュラムが全
く異なっている。
一時期経済団体が即戦力を輩出するように大学に求めていたが、大学
はそのための機関ではない。最近大学は基礎力を持った人間の輩出を謳
っている。
最近「ICT の水・空気」化を懸念。工学部の学生ですら自ら IT環境を
構築しなくなっている。
政府に期待される取組は、①セキュリティを含む ITに関する資格の
整理、②国家全体としてのビジョンを示す、ということが考えられる。
また、日本のセキュリティ産業界の人材像はやはりセキュリティサービ
スを提供する側の人材像。利用側の求める人材像がない。
ITユーザ企業
ホワイトハッカーが何に寄与するのか経営者に説明するのが困難で
あり、仮に雇用したとしても扱いきれない。
マルウェアの解析やフォレンジックについては、専門会社へ委託する
方が効率的。
インシデントへの初動対処や顧客への対応等事故対応は外部へ委託
できないのでそれができる人材の需要がある。
また、人間の行動分析に関する知見がある人材が必要。
サイバー攻撃解析の専門家(現状認識その1)
「ホワイトハッカー」的な人材に関する需要はあり、自社で行う技術
的なコンテストに一般からも参加者を募り、成績優秀な人材を積極的に
採用している。
日本企業ではサイバー攻撃解析の専門家に関する需要が低く、大量雇
用は困難ではないかと考えている。
高い技能を持ったセキュリティ専門家に関しては、全体として一時期
より供給が増加。
103
大学の IT 教育ではウェブ構築系が人気がり、セキュリティは人気が
ない。セキュリティは解析が中心で成果物につながらず、また後ろめた
さを感じることも理由ではないか。
採用に関しては、中途採用がほとんどだが、最近になって新卒採用も
開始。中途採用はヘッドハンティングを行う場合もあるが、自ら売り込
んでくる人がいる。新卒採用においては、意欲とプログラマーとしての
能力を重視。
サイバー攻撃解析の専門家(現状認識その2)
人材育成の効果を最大化するためには一番経済的なメリットが大き
い産業化できる基礎研究を行う人材育成を行うことが適切。セキュリテ
ィ業界が活性化するためには人を集めて技術を開発していく方向にセ
キュリティ業界自体が変わっていく必要がある。
セキュリティ関連の人材を増やすにはセキュリティビジネスの活性
化が一番重要。
現在大学の情報科学系のコースは専門学校のような教育を行ってお
り、企業にとっての SEのような専門職のような人材を輩出している。
それでは IT に関する基本的な理解を身につけることができず、高度な
セキュリティ人材にはなれない。
サイバー攻撃解析の専門家(人材育成に関する課題その1)
昔は解析者が好奇心と探究心を持って調査していくうちに専門能力
を高めてきたのに対し、今後は組織の中で育成していかなければならず、
今後はそこに困難が生じるのではないか。
大学との関係に関しては、学会とは壁があり、どのような研究が行わ
れているのか等の情報もないこともあり、学会発表等にもなかなか近づ
けない。
日本には、リバースエンジニアリングに関して著作権法上の制約があ
り、解析に関する意見交換を公に行うことは困難。
職業一般に言えることだが、高度なセキュリティ人材が増えないのは、
社会人になる前に IT関連の職業、セキュリティ関連の職業に触れるこ
とがないことが原因ではないか。
サイバー攻撃解析の専門家(人材育成に関する課題その2)
日本の人材には世界にはないスキルを持っている人間はいるが、それ
を製品に結びつけることができず、外国にうまく売り出すことができて
いない。語学の力も重要。外国のコンテストで注目されても、メールな
104
どが来てもフォローが出来ていない。また日本人の若者には貪欲さも不
足。(韓国人では講演のあと質問責めにあうなど若者は非常に貪欲。)
人材育成のためには、(情報セキュリティ目的のリバースエンジニア
リングについて)法的に認められていることと認められないことの明確
化が必要。法律の解釈は誰も読まないので、法律に明記することが必要。
セキュリティ人材正規の職業でしっかりと生活をしていけることが
必要。たとえば、IT系の犯罪の鑑定を行うような仕事があれば、キャリ
アパスにもなっていいかもしれない。
セキュリティ人材を更に増やしていくためには興味がない人に興味
を持たせるような取組が必要になってくるのではないかと考えている。
また、セキュリティ職に対するイメージを変え、地位を向上していく必
要がある。
低年齢層に対する働きかけが有効だと思うが、セキュリティ技術が悪
用されないよう、カリキュラムに気をつけて倫理面もしっかりと教育し
ていく必要がある。
サイバー攻撃解析の専門家(ハッカーコンテスト関連)
ハッカーコンテストのようなものがあると業界に活力が出る。ハッカ
ーはハッカーによる賞賛しか嬉しくないので、なおさら意味がある。
海外の有名なハッカーコンテストのように憧れになるようなイベン
トがあると良い。他方、ただの名誉や賞金ではなく、そこから就職につ
ながっていくほうが動機付けになる。
海外ではハッカーコンテストが開催されているが、日本でもコンテス
トでの活躍が社会一般における地位向上や雇用にもつながれば、ホワイ
トハッカーになるインセンティブが向上するもしれない。
サイバー攻撃解析の専門家(資格関連)
人材の資格に関しては、実務経験のない学生でも資格取得できること
は資格としての質を落としてしまい、社会人としてはそのような試験を
受ける気をなくすのではないか。
セキュリティに関する認定に関しては、ハイエンドの人材や企業に対
する認定がないので、結局質よりも値段でビジネスが決まってしまい、
専門性が高いことがビジネス上有利に働かないことが問題。
セキュリティ能力に関する資格に関しては、現在適切なものが無いと
考えている。更新や実務経験を条件にし、適切に能力を示すことができ
105
る資格等があれば、ビジネス上でもセキュリティの質の高さが評価され
るようになると思う。
セキュリティイベント開催者(その1)
日本でのハッカー関連のイベントを継続できなくなったのは、企業に
おけるセキュリティの優先順位が低く、リーマンショックで景気が悪く
なってセキュリティにかける予算が削減された結果、企業からの参加者
が減ったため。
セキュリティ関連のイベントはセキュリティ業界の活性化に貢献し
ているが、イベント単体では採算が取れないため、開催者が全体に利益
があることを認識していても実施することが困難になっている。
まずは、高度なセキュリティ関連のイベントに政府のお墨付きだけで
もあれば、イベントに対する企業の見方が変わるだろう。また、日本独
自の特色を持った、あるいは日本発の発信性を持ったイベントを、政府
が支援することが望まれる。
海外のハッカーコンテストは開催国の政府のみならず、企業による採
用にもつながっており、結果として多くの参加者が集まっている。
セキュリティイベント開催者(その2)
日本のセキュリティ企業も小規模ながらハッカーコンテストを開催
して人材を選抜しはじめている。
セキュリティの分野は非常に広範で、また、現在のセキュリティ業界
には明確なキャリアパスがないことから、セキュリティ分野における就
職に関するイメージがなかなかわきづらいのではないか。
世界のセキュリティ業界には何人かカリスマがいるが、日本人のカリ
スマが生まれればセキュリティ業界も更に盛り上がるのではないか。
企業は①収入を増やす、②コストを減らす、③リスクを減らす、のい
ずれかを事業に望んでいるが、セキュリティに関するコンサルティング
を行っている経験からして、景気が悪くなると③のリスクを減らす役割
を担っているセキュリティに関して人材を含めた予算を減らしている。
(17)―2 人材育成方法に関する意見
大学
人材育成に関する学会での議論はあまり広がりを見せていない。
106
企業で使える ICT に関する人材が不足していることへの危機感から、
技術者育成のための協議会を立ち上げた。同協議会では、企業と学生の
マッチングを行っていきたい。
同協議会ではまだセキュリティの WGはなく、セキュリティの団体と
の連携は検討可能。
サイバーセキュリティ関連のジャーナリスト
韓国では学生のコミュニティ活動が盛んであり、セキュリティに関す
るコミュニティも自然発生的にできている。コミュニティ活動を通じて
縦のつながりが形成され、セキュリティ業界内の就職につながっている。
サイバー攻撃解析専門家(その1)
海外進出に関して、不正プログラムか否かの取扱いに関する外国での
法的な制約が分からないこともあり、現時点では予定はない。そのよう
な情報があれば海外進出も促進されるのではないかと思う。政府からの
情報提供を期待。
IPAのセキュリティキャンプに過去に参加したことがあるが、講師の
スキルレベルが非常に高く、参考になった。
自社では中学生を社会見学として受け入れ、職業としてのセキュリテ
ィについて関心を高めてもらうための取組も行っている。
現在の日本の ITビジネスは顧客のニーズのうちから対応できるもの
を拾って実施していく形になっているが、イノベーションを利用したも
のになっていない。自社としては技術に特化したビジネスとして R&Dを
積極的に行っていく考え。
サイバー攻撃解析専門家(その2)
基礎技術の研究開発は思いの外ハードルが低いので、日本の技術者で
も十分国際的に戦っていけると考えている。
自社では研究開発部門では就業時間の数十%は自由な研究に利用で
きる。
情報セキュリティの学術研究に関しては、日本では暗号が主になって
いる印象があり、民間分野との交流もあまりない印象がある。目に見え
る身近な生活に近い研究が良いのではないか。
ホワイトハッカーの能力だけでは収入の増加にはつながらないため、
ホワイトハッカーになるインセンティブが低くなる。
米国における R&Dの経験では、米国の発注者から的確かつ厳格な指導
を受け、その結果として市場のニーズにマッチした製品を作ることがで
107
きた。日本でも発注者がハードルをあげることが製品向上につながるは
ず。
(18)米国におけるハッキングコンテスト
DEFCON(デフコン)
(1)1993年より毎年ラスベガスで開催されている世界で最も有名なイベ
ント。セキュリティの専門家、ジャーナリスト、政府関係者、ハッカー
等が世界中から集まり、ハッキング関連の講演、ハッキング・コンテス
ト等が行われる。
(2)ハッキング関連技術を競う大会がいくつか行われている。
(注)昨年、システムのセキュリティホール発見部門で日本人(個人)が
優勝
(3)その中でも Capture The Flag(CTF)と呼ばれる大会(それぞれネット
ワーク環境を与えられ、自チームの環境を他のチームからの攻撃から防
御しつつ、他チームを攻撃する。)が有名。CTFでは、インターネット
上で行われる予選を勝ち抜いた 10 チームが本戦に参加。
米国大学サイバーディフェンス大会
(1)米国の大学生を対象に、企業のネットワークを防御するための能力を
試すことを目的に開催されている大会。
(2)産学官の発意によって 2005年より開催されており、2010 年大会では
国土安全保障省、マイクロソフト社、ボーイング社、マカフィー社等を
始めとする組織の支援を受けて開催されている。
(3)大会は米国の地域予選から始まり、予選を勝ち抜いたチームによる三
日間の本戦が行われる。
(4)学生は、中小企業を想定した 50 名程度のユーザ、7-10 台のサーバか
ら構成される環境を与えられ、「企業内のビジネスニーズに応えながら
外部から攻撃に対応する」という仮想状況における対応能力を競う。
(19)韓国等におけるハッキングコンテスト
Codegate(コードゲート)
(1)セキュリティに関する講演、ハッキングコンテスト、採用・求職活動
を組み合わせた複合イベント。昨年はハッキング大会と講演をそれぞれ
一日行った二日間にわたって行われた。
108
(2)2004年にハッカーの育成を目的に韓国インターネットセキュリティ
庁(KISA)が開催したのをきっかけに、現在は韓国政府の知識経済部、
放送通信委員会、KISA等の協力によって行われている。
(3)Codegate で行われるハッキング大会には海外からの有力チームが招
聘され、成績優秀者には賞金も提供されている。
欧州等におけるハッキングコンテストの例
– フランス(FR Hack)、ベルギー(ブルーコン)、ドイツ(カオスコンピ
ュータコングレス)、台湾(政府の教育担当部局による学生向けコンテ
スト)
109
5.その他
(1)米国における情報漏えいの現状
(2)我が国企業における故意による情報漏えいの例
110
(3)サイバーセキュリティに関する脅威と対策技術及び基礎技術
(4)世界の情報セキュリティ政策の取組状況(未然防止(早期警戒含む))
・経産省、総務省が連携し、個人ユーザのボット感染を駆除・防止するための事業(サイバークリーンセンター)を2006年より実施。・ソフトウェア等の脆弱性に対応するための情報セキュリティ早期警戒パートナーシップの運用。・脆弱性情報を共有するためのプラットフォームとして、IPAより脆弱性対策情報データベースJVNiPediaを2007年4月より提供。
・個人ユーザ、中小企業に対し、情報セキュリティ関連の早期警戒情報を提供するためのネットワークに関する調査研究を実施。
・国土安全保障省(DHS):①US-CERTの人員補強。②情報セキュリティに関する監視網を政府全体に拡大。③情報及び通信製品に関するリスクを低減するため、連邦政府の調達過程における対応の検討。④国家インフラ保護計画に基づく重要インフラと連邦政府間の調整・情報共有の促進。⑤サイバー演習Cyber Storm3を主催(2010/9)・国家安全保障局(NSA):情報通信インフラ政府間政策委員会の設立を承認(2009年3月)。・国防省:①国防省内のネットワーク運営・防護の調整を行うためのUSCYBERCOMの構築、②DHSとの協調強化、③サイバー関連の情報を外国の軍事パートナーと共有。
日本欧州
米国
・ 韓国放送通信委員会(KCC)傘下のKrCERT/CCが、情報セキュリティに関する施策に取り組んでいる。各種取り組みについては以下の通り:①ネットワークモニタリング、②DDoSモニタリングシステム③韓国のウェブサイト上でのマルウェア配布状況の監視、④ボット感染率の低下に向けたC&Cサーバーの監視。
・工業信息化部の下部組織のCNCERT/CCが、中国本土の31省に支部を設置し、情報セキュリティに関する施策(ウィルス、ワーム、ウェブ改ざん、ボット等の監視他)に取り組んでいる。・中国における脆弱性情報を共有するためのプラットフォームとしてCNVD (China National Vulnerability Database) プロジェクトを実施中。
中国
韓国
111
(5)世界の情報セキュリティ政策の取組状況(事後対処)
(6)世界の情報セキュリティ政策の取組状況(普及啓発)
・大規模サイバー攻撃事態への対処態勢の整備。・国境を越えたサイバー攻撃に対応できるよう、ASEAN各国やアフリカにおける対応能力の向上のための取組を実施。
・欧州域内のCSIRT間連携の強化に向け、ENISAが情報共有の役割を実施。また、関連資料を一般に公開する等、CSIRT構築を支援。
・サイバー脅威に関する捜査を行うための国家サイバー捜査合同タスクフォースを設立し、サイバー上の脅威に関する捜査に関し、関係当局間の情報共有及び調整を実施。
日本欧州
米国
・KrCERTにて以下を実施。①DDoS攻撃に参加させられているIPアドレスユーザへの通知連絡体制の整備、②中小企業等向けのDDoSシェルターサービスの開始(企業等サイトへのDDoS攻撃をシェルターに誘導)、③国境を越えたサイバー攻撃に備えて、アジア太平洋地域各国との対応能力の向上に向けた取組および連携強化。
・大規模サイバー攻撃に備えて、中国国内およびアジア太平洋地域の双方における対応能力の向上に向けた取組および連携強化。・中国におけるコンピュータウィルス情報を共有するためのプラットフォームとしてANVA(Anti Network-Virus Alliance of China)を運営中。
中国
韓国
・毎年2月を情報セキュリティ月間とし、内閣官房及び各省庁が普及啓発関連のイベント等を開催。・また、年間を通じて経済産業省(インターネット安全教室や中小企業指導者育成事業)、総務省、警察庁、IPA等が普及啓発のための事業等を実施。
・普及啓発に関する専門家を対象に、情報共有を目的としたプラットフォームコミュニティの構築・運営。・普及啓発分野における調査等の内容を共有すべく、ENISAが定例の一般向け会議・ワークショップを開催。・ENISAが普及啓発用のビデオ、ポスター、PC用コンテンツを作成・配布。
・毎年10月をサイバーセキュリティ啓発月間とし、民間との協力の基に普及啓発関連のイベントを開催したり、テレビやラジオを使用した普及啓発活動を実施。・政府と産業界の連携した取組である国家サイバーセキュリティ同盟(National Cyber Security Alliance (NCSA))に活動資金を提供。同連盟は消費者、中小企業、教育関係者に対する普及啓発活動を実施。
日本欧州
米国
・毎年6月の第3週を情報セキュリティ週間とし、普及啓発関連のイベントを開催したり、パンフレットの配布等を実施。・情報セキュリティ普及啓発に関する年間表彰を実施。
・CNCERT/CCにて、通常の普及啓発活動(セキュリティ掲示板、脆弱性アドバイザリ、マルウエア警戒、技術文書、セキュリティガイド、月次・年次報告書)を行なう他、新たに週次報告書、インターネットセキュリティレポート(月次)、脆弱性レポート(週次)を発行。
中国
韓国