京都産業大学 情報理工学部 開設記念シンポジウム「情報セキュリティコースが目指すもの」開催~これからの情報セキュリティ・コンピュータサイエンス教育

京都産業大学(以下、京産大)は来年4月から予定している情報理工学部の開設に合わせて、情報セキュリティ教育をテーマにしたシンポジウムを、6月23日に京都キャンパスプラザで開催しました。

ここ最近、個人情報の漏えいやランサムウェアの猛威、企業のシステム障害などがニュースでもしばしば取り上げられるようになり、情報セキュリティに精通した人材育成の必要性が社会的にも高まりつつあります。本シンポジウムでは、主に制御システムのセキュリティ対策について、実際の現場で関わってきたファットウェア取締役社長で情報理工学部のセキュリティ関連科目を担当する小林和真氏と、業界の第一人者である立命館大学情報理工学部の上原哲太郎教授を招き、それぞれの情報セキュリティ教育への取り組みについての紹介と、今後の人材育成に関するパネルディスカッションが行われました。

時代の変化にあわせて柔軟な選択ができるよう学部全体をリブート

セキュリティを取り巻く状況は常に変化しており、人材育成を担う大学では変化に対応する動きが始まっています。京産大が新設する情報理工学部では、コンピュータ理工学部という名前で3つに分かれていた学科を1つにまとめ、全10コースある特定分野をテーマにしたコースの中から、学生がフレキシブルにカリキュラムを習得できるようにすることで、複数の方向性に対応できる多様性のある人材育成を目指します。

画像

定員は1学年160名で、1講師あたり学生は6名までという少人数制で国立に近い教育体制を整え、いずれか1つのコース要件科目を修得直すれば卒業でき、それ以外の組み合わせは自在というのが特徴です。情報セキュリティコースについては、担当する秋山豊和准教授の説明によると、コンピュータサイエンスの基礎教育とセキュリティ教育を密接に連携させ、高度な応用ができる人材の育成を目指すとしています。

画像

制御システムにおけるセキュリティについて

次に、一般にはあまり知られていない制御システム分野において、どのような仕事があり、どのようなスキルが求められているのかについて、ファットウェアの小林氏から解説が行われました。

倉敷芸術科学大学で14年教授を務めるのと並行して、インターネット総合研究所やマクニカなど多数の企業の技術顧問を歴任してきた小林氏は.産業分野で利用される技術に関して組合員が共同研究を行うNPO組織である技術研究組合制御システムセキュリティセンター(CSSC)で3年間ボランティア勤務をするなど、業界の中でもかなり幅広い現場経験を持つ人物でもあります。実際にある商業ビルの制御システムに潜むセキュリティホールを見つけ出すといった実務経験も豊富で、現場の最前線にいる立場から、現在のセキュリティに対応できる人材育成の必要性を実感していると言います。

画像

「制御システムのセキュリティで難しいのは、建築前に想定した対応策が工事を終えたころには古くなっていること。商業ビルの場合、全システムを落とせるのは年末から年始にかけたわずかな休業時間しかないのでリプレイスも難しく、プロトコルに脆弱性が見つかった場合100%の対応は無理で、運用で対応するしかないのが現状です。表向きにはシステムが止まっていないように見せつつ裏側で対処しなければならないので、技術に加えて現場での対応力、発想力、創造性が必須となり、それらが情報セキュリティ担当者に求められる素質だと考えています」

生活に直結する制御インフラを守る人材をどう育てるか

いまや生活や社会インフラのほとんどに電子機器やネットワークが使われており、サーバやパソコンだけでなく、クローズなので大丈夫だと思われていたPLC(シーケンス制御)やDCS(分散制御システム)などのコントローラもセキュリティ対策が必要になっていると小林氏は指摘します。⁠制御システムでセキュリティ対策が難しい理由の1つに、機器の運用期間が約20年と長いことがあります。20年間使い続けられるファイアウォールは存在しないので入れ替えるしかないのですが、運用の前後を理解していないと導入後に止まってしまうので、システムが構築された経緯を知る必要があります⁠⁠。

画像

また、セキュリティ人材の育成については大学だけでなく、IPAがINCS-CoE(InterNational Cyber Security Center of Excellence)を今年4月に開所し、トレーニングをはじめる動きもあります。小林氏が顧問を務めるCSSCでは、6つの模擬プラント室を設置して限りなく本物に近い環境と同じプロトコルを用いて教育できる世界初となる「サイバーセキュリティテストベッド CSS-Base6」という施設を設置しています。そこでは、装置単体では対応が難しい制御システムのセキュリティについて、多重防御と多層防御の組み合わせで防御機能を高める方法を学べるようにしているそうです。

画像

立命館大学が目指す情報セキュリティ教育

パネルディスカッションの前に、同じく大学の立場で情報セキュリティ教育について取り組んでいる立命館大学から、同校の情報セキュリティ教育について上原氏による説明がありました。

2004年に開設された国内でも最大級の学部である立命館大学情報理工学部は、学生500名、教員約100名が所属し、情報科学と情報工学を幅広くカバーしつつ国際化を意識した教育プログラムになっています。そして、京産大と同じく時代に対応するため、今年度から4学科を1学科に統一し、専門領域6コースとグローバルコースを加えた7コースへと構成を変更しています。

画像

「中でもセキュリティ・ネットワークコースは社会的ニーズが高く、9名のスタッフが専門分野について教育を行っています。私はサイバーセキュリティ研究室でシステムセキュリティやデジタルフォレンジック、プライバシー保護などを指導していますが、セキュリティには応用力が必要なので、あえてコンピュータの仕組みを基礎から学ばせます。プログラミングはガチでC言語をやり、ネットワーク開発ではTCP/IPや脆弱性に関する座学や、システム構成にデザイン、マネジメントまで対象にするなど、大学でここまで取り入れているのはめずらしいと思います」

問題はセキュリティの守備範囲が広すぎることで、セキュリティ知識分野に必要とされる人材スキルをまとめた⁠SECBoK2016⁠というリストが真っ黒になるほど幅広いと上原氏。⁠しかも、セキュリティの仕事は組織にあわせた対応が求められるので、学校で教育するのは無理がある。そこで⁠セキュリティマインドを持つエンジニアを育てる⁠というようにあえてわりきった教育を行っています」

画像

パネルディスカッション

プログラムの最後に「学部でのセキュリティ教育の価値・目標・企業での技術者のあり方・キャリアパス」をテーマに、これまで登壇した小林氏、上原氏、秋山氏の3名によるパネルディスカッションが行われました。

セキュリティ市場で求められる人物像はどのようなものか?という秋山氏の質問に対し、上原氏は「圧倒的な技術力で情報インフラを守れる人で、セキュリティの専門家というより基礎知識を持つIT人材と考えています。基本はコンピュータやOSがどう動いているかという基礎を知っていること、コーディングには何が求められるかを理解し、認証がうまくいかないと何がおきるかといったことを具体的に追求できるような人材ですね」とし、さらに小林氏は具体的な例として「たとえば、空調システムが4基同時に故障するインシデントが1ヶ月に2回続いた時に、単なる機械の故障以外の原因があるのではないかと想像できるのが、エンジニアのマインドとして必須になっています」としています。

「学ぶきっかけとして、セキュリティは漫画的というだけで食いついてくれる学生が増えているが、活躍する場をどうするかが課題になっているのではないか」という秋山氏の意見に対し、小林氏は「不足しているのは予算であって人材ではない。まずは、ないものねだりをする人が多すぎる業界のあり方を変える必要がある」とコメントしています。

経済産業省が策定している「サイバーセキュリティ経理ガイドライン」でも「セキュリティはコストではなく投資である」とされていますが、理解されていないのが現実です。それに対しては、兵庫県警や大阪県警が行っているWeb巡回運動を通じて警鐘を鳴らしたり、京都府警事務局が勧める外郭団体とサイバー相談窓口を設けてウェアネスを上げる方法もありそうだと上原氏は言い、⁠中小企業はコスト意識が高すぎてウィルス対策も十分でないけれど、社会的に問題が大きく顕在化すれば状況はあっという間に変わることもあるので、それに期待したい」としています。

ブラック化を防ぐ手だてはあるか?

セッションの中では、セキュリティ人材の構成は上層の高度なスキルを持つ人たちが薄く存在し、中間層は最も少なく、下の方は大きく拡がっている状態で、標準的なスキルを持つ人たちも足りないという意見も出されました。

それに対しては「10年かかっても人材を育てるしかない」という共通認識から、あわせて育成方法も考えなければならないという話につながっていきます。具体的には倫理観に関するもので、セキュリティは善悪が表裏一体で、攻撃する側についても知る必要があるため、ともすればブラック化する可能性がつきまとうと言います。

上原氏は20歳を超えた学生に授業でモラルを教育するのは正直なところ難しく、重い課題だと捉えていると言います。小林氏も、⁠技術を学ぶのに攻撃が1に対し防御は100学ぶ必要があり、そうしたスキルがあっても満足に就職できない現状ではブラック化しても仕方ない。とにかく生活ができるようにするのが大事」だとしています。

社会のニーズにあわせて雇用環境も変えていくこと。日本でセキュリティを高めるには、人材育成と同時にビジネスとしての市場育成が不可欠だと言えそうです。

開催概要と当日使用された資料はこちらのイベント開催ページに公開されていますので、ご興味のある方はぜひご覧ください。

京都産業大学 情報理工学部 開設記念シンポジウム
https://ksu-ise.connpass.com/event/57496/

おすすめ記事

記事・ニュース一覧