Comments
Description
Transcript
1 - 公立はこだて未来大学
公立はこだて未来大学 2013 年度 システム情報科学実習 グループ報告書 Future University Hakodate 2013 System Information Science Practice Group Report プロジェクト名 セキュリティを極めよう Project Name Investigation of security グループ名 セキュリティ人材調査グループ Group Name Security personnel Research Group プロジェクト番号/Project No. 4-A プロジェクトリーダ/Project Leader 日永一輝 1011037 Kazuki Hinaga グループリーダ/Group Leader 1011102 畑田遼 Ryo Hatada グループメンバ/Group Member 1011035 西村純平 Junpei Nishimura 1011037 日永一輝 Kazuki Hinaga 1011102 畑田遼 1011111 久米田祐介 1011117 滝沢祐輔 Ryo Hatada Yusuke Kumeta Yusuke Takizawa 指導教員 白勢政明 Advisor Masaaki Shirase 提出日 2014 年 1 月 15 日 Date of Submission Janualy 15, 2014 概要 本報告書は、プロジェクト No.4「セキュリティを極めよう」の中のグループ A「セキュリティ 人材調査グループ」の平成 25 年 4 月から始まり、平成 26 年 1 月まで行われた活動について の報告書である。平成 25 年 1 月に、内閣官房情報セキュリティセンターから、情報セキュリ ティ人材の育成に向けた検討会の報告書が送られてきた。その報告書は、情報セキュリティ人 材育成に幅広い知見を有している有識者からなる検討会の報告書であり、企業および大学に対 するヒアリング等を実施することにより得られた情報から、大学における情報セキュリティ教 育実施のための大学向け啓発資料の作成を行うことを目的としている。この報告書の中に多数 の大学が情報セキュリティに対する教育として、セキュリティを取り扱う各種資格試験の受験 を活用した授業を行っているという内容が書かれていたり、企業から大学に対して、セキュリ ティキャンプなどのセキュリティを取り扱うイベントへの参加を授業に取り入れることを勧め ている内容が書かれていたりした。 セキュリティ人材調査グループではこの報告書の内容として書かれたこれらのセキュリティに 関連する各種資格試験やイベントについて、全てが全てセキュリティを学ぶことに対して有用 ではないと考えた。では、どれがセキュリティを学ぶ上で有用であり、また、どれが有用でな いのかを調べるためにセキュリティ人材調査グループメンバーが実際に参加し、セキュリティ に対しての知識を深めることができるか、という観点から評価を行っていく。 前期では、セキュリティに関連する各種資格試験やイベントへの参加のための申し込みや、そ れらに備えての知識をつけることを主として行っていた。申し込みから開催時期までに時間が あったため、前期中に資格試験やイベントに参加することはできなかったためである。また岡 山大学大学院自然科学研究科産業創成工学専攻の野上保之先生に岡山大学で行われているセ キュリティ教育についての講義をしていただいた。 後期では、基本情報技術者試験、応用情報技術者試験、IT パスポート試験、情報セキュリ ティ初級認定試験という 4 つの試験にグループメンバーがそれぞれ参加した。また、セキュリ ティ・キャンプというイベントへの応募も行っていたが、抽選の結果、グループメンバー全員 が落選してしまったため、代わりのイベントとして、第 17 回北海道情報セキュリティ勉強会 &セキュリティ・キャンプ・キャラバン in 北海道に参加した。 キーワード セキュリティ, 人材育成, 教育, 資格試験, イベント (※文責: 日永一輝) -i- Abstract This report is a report on the activities that start from April 2013 Group A in the of ”investigation of security ” project No.4 of ” security personnel Research Group ” , was conducted to January 2014 some. In January 2013 , from the National Information Security Center , report of the study group toward the development of information security personnel have been sent . This is a report of a study group composed of experts having a wide range of knowledge in information security human resource development , from information obtained by carrying out the hearings for companies and universities , the report , information security education in universities it is an object of the present invention is carried out to create a university for educational materials for implementation. Content as education for information security , many universities that are doing the lesson utilizing examination of various exams dealing with security in this report or written , to the University , and security camp from company contents of recommends that they be incorporated into the class to participate in the event to deal with security , such as has been or have been written . For events and various exams related to the security of these written as the content of this report, it was thought that it is not useful for that all to learn security all the security personnel research group. So the viewpoint of, or can be security personnel research group members to participate in practice in order to examine as well as being useful in which to learn security, which ones not useful, to deepen the knowledge of the security I go evaluated from. In the previous year , it was going to primarily be attached and application for participation in the event and various exams related to the security , the knowledge of preparation for them . The reason is that because there was a time to hold time from application , it was not possible to participate in the event and qualifying examination during the previous fiscal year . I also had you a lecture on security education is carried out in Okayama University in Yasuyuki Nogami, Okayama University Graduate School teacher of Science and Technology, and Industry Innovation Engineering . In late , group members participated in each test the four basic information technician test , Applied Information Technology Engineers Examination , IT Passport Examination , that information security Basic Certificate test . It was also carried out also apply for the event called security camp , but since the results of the lottery , all group members have had lost the election , as an event instead , we took part in the 17th Hokkaido information security study groups and security Camp Caravan in Hokkaido. Keyword Event Security, Human resource development, Education, Qualification test, (※文責: 日永一輝) - ii - 目次 第1章 はじめに 1 1.1 背景 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2 目的 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.3 従来例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.4 従来の問題点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.5 課題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 プロジェクト学習の概要 5 問題の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.1.1 情報セキュリティとは何か . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.1.2 情報セキュリティ人材の育成に向けた検討報告書 . . . . . . . . . . . . . . 6 2.1.3 企業ニーズ調査 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.2 課題の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.3 到達レベル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.4 課題の割り当て . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 課題解決のプロセス 13 3.1 プロジェクト内における課題の位置付け . . . . . . . . . . . . . . . . . . . . . . . 13 3.2 課題解決の方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 3.2.1 前期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 3.2.2 後期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 第2章 2.1 第3章 第4章 4.1 4.2 第5章 結果 15 成果 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 4.1.1 基本情報技術者試験 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 4.1.2 応用情報技術者試験 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 4.1.3 IT パスポート試験 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 4.1.4 情報セキュリティ初級認定試験 . . . . . . . . . . . . . . . . . . . . . . . . 21 4.1.5 岡山大学でのセキュリティ教育 . . . . . . . . . . . . . . . . . . . . . . . . 22 4.1.6 せきゅぽろ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 4.1.7 他大学の情報セキュリティ教育への主な取り組み . . . . . . . . . . . . . . 31 4.1.8 他大学の授業の成果 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 解決手順と評価 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.2.1 応用情報技術者試験 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.2.2 岡山大学におけるセキュリティ教育 36 . . . . . . . . . . . . . . . . . . . . . まとめ 37 5.1 プロジェクトの成果 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 5.2 中間発表会のアンケート結果 37 . . . . . . . . . . . . . . . . . . . . . . . . . . . . - iii - 5.3 成果発表会のアンケート結果 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 5.4 プロジェクトにおける自分の役割 . . . . . . . . . . . . . . . . . . . . . . . . . . 39 5.4.1 日永一輝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 5.4.2 西村純平 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 5.4.3 畑田遼 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 5.4.4 滝沢祐輔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 5.4.5 久米田祐介 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 付録 A 活用した講義 50 参考文献 51 - iv - Investigation of security 第1章 はじめに パソコンや携帯などの IT 機器は昔は一部の人間が仕事で活用したり、機械に詳しい人間が生活 を豊かにするくらいでしか普及しておらず、多くの人間はそれらがなくても生活が成り立ってい た。しかし、徐々にそれらの IT 機器を所有する人間が増えてきた現代では、昔とは逆に持ってい ない人間の方が珍しいくらいになっている。理由として、IT 機器を取り扱う企業が、使用するこ とに複雑な知識を要しない子供向けのものや、老人向けのものを商品として展開し、それらによっ て IT 機器を使用するハードルが下げられたこと、IT 機器を持っていないと利用できないコンテン ツが増え、それらに興味を惹かれる人間が増えたこと、大量生産などの理由により安価に IT 機器 の入手が可能になったことなどが挙げられる。こうして多くの人が IT 機器を所有するようになっ た。図 1.1 はパソコン、インターネットの世帯普及率をグラフ化したものである。 しかし、全員が必ずしもそれらの IT 機器に詳しいというわけではない。自分が使用する用途に ついてしかわからず、プログラムがどういった仕組みで動いているのか、などは余程プログラムに 詳しい人でなければわからない。しかし、「わからなくても使える」というのが利点でもあり、問 題点でもある。自分がインターネット上の様々な脅威からどのようにして守られているのかがわか らないという人間がいることが問題の一つとして挙げられる。自らの個人情報を守るために知って おくべきセキュリティのことは、「セキュリティソフトに任せておけばなんとかなる」という考え から興味を示さない人もいる。 しかしこれはあくまでも個人、一般家庭などの話であり、企業となると違う。情報の漏洩などの 危険から身を守るため、多くの企業がセキュリティに対する重要性を認識している。そして、各企 業が情報セキュリティに詳しい人間を社員として採用したり、自社の社員に対してセキュリティに 関連する教育を施すなどの対策を打っている。 本プロジェクトでは、「セキュリティを極めよう」というプロジェクト名のとおり、情報セキュ リティについての内容を取り扱う。前年度では乗算器を取り扱ったプロジェクトだったが、今年度 から新たに活動を開始した我々グループ A「セキュリティ人材調査グループ」では、積極的に大学 の外で行われるイベントに目を向け、情報セキュリティ人材の育成のためにどういったことが有用 なのか、また有用でないのかを、実際に体験することにより調査するグループである。 (※文責: 日永一輝) 1.1 背景 本プロジェクトは、半分が前年度の引継ぎとして乗算器の改良を行うハードウェアグループであ り、もう半分が新たに始まったこの「セキュリティ人材調査グループ」である。 新たにグループが創設された理由は、内閣官房情報セキュリティセンターから送られてきた報告 書にある。この報告書は情報セキュリティ人材の育成に向けた検討会の報告書であり、この報告書 に、多数の大学と企業のセキュリティに対する教育の考えをヒアリング等で調査した内容が書かれ ていた。それによると、多くの大学が情報セキュリティ教育の一環として、セキュリティに関する 各種資格試験の受験という方法を取り入れているらしい。また、企業から大学に、セキュリティを 取り扱うイベントへの参加を授業に取り入れることを勧める文章もあった。その中で、全ての資格 Group Report of 2013 SISP -1- Group Number 4-A Investigation of security 図 1.1 パソコン、インターネットの世帯普及率 [1] 試験やイベントがセキュリティに対する知識を深める上で有用であるのだろうか、という疑問が生 まれたため、このセキュリティ人材調査グループが創設されたのである。 (※文責: 日永一輝) Group Report of 2013 SISP -2- Group Number 4-A Investigation of security 1.2 目的 前述の報告書に書かれていた資格試験やイベントの利用という方法は、セキュリティ人材の育成 に有用であるか、また有用でないのかを、実際にグループメンバーが参加して調べることが目的で ある。 (※文責: 日永一輝) 1.3 従来例 昨年までのセキュリティを極めようプロジェクトでは、セキュリティ人材調査グループは存在せ ず、現在のグループ B、ハードウェアグループに相当する部分のみでの活動が行われていた。今年 度になり初めて、前述した内閣官房情報セキュリティセンターからの情報セキュリティ人材の育 成に向けた検討会の報告書が送られてきたため、本グループが発足された。それゆえにセキュリ ティ人材調査グループでは従来例は存在せず、今回が初めての活動となる。 (※文責: 日永一輝) 1.4 従来の問題点 前述のとおり、今年度から開始したグループの活動であるため、昨年度から引き継いだ問題点は 存在しないが、プロジェクト開始当初の問題点として、 • セキュリティを取り扱うイベントや、資格試験にどういったものがあるのかがわからない こと • プロジェクトメンバーのセキュリティに対する知識が十分なものではないこと が挙げられた。 (※文責: 日永一輝) 1.5 課題 グループの目的として、各種資格試験、セキュリティに関連するイベントが情報セキュリティ人 材の育成に有用であるかどうか調査する、というものがあるため、これを課題と設定する。また、 課題を達成するための小課題として、 • セキュリティを取り扱うイベントや、資格試験にどういったものがあるかを調べ、実際に参 加してそれらが情報セキュリティ人材の育成に有用であるかどうかを判断すること • その判断に際して、基準となるべきグループメンバーの情報セキュリティに対する知識を十 分なものとすること を小課題と設定する。 Group Report of 2013 SISP -3- Group Number 4-A Investigation of security (※文責: 日永一輝) Group Report of 2013 SISP -4- Group Number 4-A Investigation of security 第2章 プロジェクト学習の概要 この章ではプロジェクトの概要について述べる。 2.1 問題の設定 現在、わが国では、ブロードバンドの整備・普及が目覚しく、政府や企業においても IT 化が急 速に進んでいる。こうした中で重要性を増しているのが、情報セキュリティの問題である。今後、 電子政府の構築、電子商取引の活発化等、社会の IT 化が更に進めば、ウイルス等の情報セキュリ ティへの脅威がもたらす影響は、一層強まるものと考えられる。そこで、その対策としては、高度 で幅広い対応が求められている。 (※文責: 滝沢祐輔) 2.1.1 情報セキュリティとは何か 情報セキュリティとは、データや情報システム等を、正当な利用者のみが必要な時に利用できる よう、正確で完全な状態に保つことである。この情報セキュリティを脅かす主な原因が表 2.1 で ある。 図 2.1 情報セキュリティを取り巻く環境の変化と現状認識 [2] Group Report of 2013 SISP -5- Group Number 4-A Investigation of security まず、外部からの脅威として、不正アクセス、サービス妨害、コンピュータ・ウイルス等がある。 これに加えて、ソフトウェアのセキュリティ上の脆弱等、被害者側に内在する要因もある。近年、 情報セキュリティに対する脅威として「サイバー攻撃」「サイバーテロ」という言葉もしばしば使 われる。「サイバー攻撃」という用語は、一般に、不正アクセスやサービス妨害、コンピュータ・ ウイルス等の、情報システムやネットワークを使った電子的な攻撃が、特に政治的な意図を持って 行われた場合に用いられることが多い。 「サイバーテロ」についても、現時点で明確な定義はない。 一般に、情報通信、金融、航空、鉄道、電力、ガス、政府・行政サービスといった「国家又は社会 の重要な基盤」に対して不正アクセスやサービス妨害等を行い、国民生活や社会経済に深刻な被害 を与える行為を「サイバーテロ」と呼ぶ。 サイバーテロの特徴 ストが低い。 地理的・時間的制約がない。 専門的技術者さえいれば十分で、攻撃のコ 匿名性・無痕跡性があり、罰則等による抑止が困難である。 経済・社会に多大な 影響を与えるのである。 (※文責: 滝沢祐輔) 2.1.2 情報セキュリティ人材の育成に向けた検討報告書 このプロジェクトを始めるにあたって次のような報告書があった。平成 24 年度 内閣官房情報 セキュリティセンターより情報セキュリティ人材の育成に向けた検討という作成中の報告書であ る。企業および大学に対してヒアリング等を行うことにより、情報セキュリティ人材の育成に関す る課題、ニーズ、取組事例等を把握することも目的とする内容が記載されている。 主な調査内容は企業及び大学に対するヒアリング等を実施することにより、大学における情報セ キュリティ教育に実施に資する大学向け啓発資料の作成を行い、啓発資料の作成のために企業ニー ズの調査、ニーズに該当する大学の教育実態の調査、調査結果の取りまとめという一連タスクによ り実施した。また、上記取り組みを実施するうえで、情報セキュリティ人材育成に幅広い知見を有 する有識者からなる検討会を開催した。検討会は合計3回開催し、調査内容等について協議した。 第1回検討会では、本調査の事業概要を確認したうえで、調査対象先の妥当性等を協議した。第 2回検討会では、調査設計に基づいて行った調査結果を報告するとともに、ニーズ等の分析結果を 啓発資料に取りまとめ、当該資料に対して、協議した。第3回検討会では、これまでの協議内容を 踏まえた報告書等について確認した。 (※文責: 滝沢祐輔) 2.1.3 企業ニーズ調査 調査目的 企業ニーズ等調査は、大学における情報セキュリティ教育の重要性啓発に資する、企業の情報セ キリティ人材の確保実態及び課題を把握するとともに、大学教育に対する要望を収集することを目 的とする。加えて、情報セキュリティ人材育成に係る政府施策に資する企業の要望も収集する。 調査対象及び調査項目 調査対象となる情報セキュリティ人材の分類を明確にするとともに、調査項目を紹介する。その 元で、調査項目の収集が期待できる調査対象企業を選定する。 Group Report of 2013 SISP -6- Group Number 4-A Investigation of security 教養課程に求める要望-教養レベルに求める情報セキュリティの素養スキル(教えて欲しいス キル等) セキュリティ専門外の専門課程及び情報セキュリティ研究科に求める要望-情報セキュ リティ専門家を育成する取り組みの推進に関する要望・期待-情報セキュリティ研究科の投資に関 する要望・期待 専門課程及び情報セキュリティ研究科に求める要望-情報セキュリティ専門家を 育成する取組の推進に関する要望・期待 MBA 又は MOT 等に対する要望-経営層育成を念頭に 置いた MBA 又は MOT の課題における情報セキュリティ教育の推進に関する要望・期待。その他 政府への要望 企業における情報セキュリティ人材の育成・確保の取組みに関する政府や社会制度 等への要望 そこで、企業内における当該人材の配置状況の特性を加味して、調査先を選定する。セキュリ ティ事業を主とする企業は、情報セキュリティの専門性が高い人材が配置されていることが想定さ れるものである。IT ユーザ企業は、専門性領域は、セキュリティ事業を主とする企業との業務委 託関係での利活用を行いつつも、企業内セキュリティ対応のマネジメントや、統治するための人材 を確保していることが想定される。このような企業特性を踏まえ、本調査では、IT ユーザ企業と、 セキュリティ関連企業とに分類して、それぞれ 10 社を調査対象とすることとした。 調査の結果 実務で活躍できる人材となるためには、座学だけでなく演習も必要であり、セキュリティ人材育 成に際しては、様々なセキュリティ技術(ハッキング技術の逆解析など)を試す環境に課題を感じ ているので今後は、定常的にトライアルの場を整備し、大学と共同研究など実施していきたいと考 えている。 大学はもっと企業講師を使って、実践を教えた方が官学交流や学校間の交流があり、より効果的 な教育が出来ると考えられる。 米国では、企業講師として、AT&T、ベライゾン、BTなどが派遣していると聞く。日本もク ラウドコンピューティングやネットワークセキュリティに携わる人材が学生を教育すると企業が採 用する際に、卒業生の価値が分かりやすいと思う。 (ベンダー O 社) ・大学実態調査は、大学における情報セキュリティ教育の実態を収集するとともに、情報セキュ リティ教育の成果等を把握することを目的とする。 実務で活躍できる人材となるためには、座学 だけでなく、演習も必要だと思う。(金融 A 社) 大学はもっと企業講師を使って、実践を教えた方がいいと思う。官学交流や学校間の交流がある とより効果的な教育が出来ると思う。米国では、企業講師として、AT&T、ベライゾン、BT などが派遣していると聞く。日本もクラウドコンピューティングやネットワークセキュリティに 携わる人材が学生を教育すると企業が採用する際に、卒業生の価値が分かりやすいと思う。(ベン ダー O 社) 大以外でも情報セキュリティ教育に係る取組みを行っている機関があるので、そのような機関と 協働して講義などに取組むと効果的だと思う。有識者 U 氏) . 情報セキュリティ対策に携わる組 織内人材のスキル向上を継続的に図るため、インターンシップ制度を活用することも有益である。 (有識者 W 氏)MBA プログラムのなかでは、危機管理に関する教育をしてみてはどうかと考えて いる。技術一辺倒ではなく、法律やコンプライアンス、マネジメント等の観点から情報セキュリ ティ教育を行ってもらいたい。(電気通信 B 社) 企業経営において、求められるセキュリティの知見を教育してもらいたい。例えば、情報システ ムから機密情報が漏えいした場合の損害や企業信用の低下、など企業の経営リスクについて重要だ と考える。 (鉄道 D 社) Group Report of 2013 SISP -7- Group Number 4-A Investigation of security 経営者層の教育としては、コンプライアンス順守や業務の優先順位付け等について、学習しても らいたい。 (複写機製造 G 社) 情報セキュリティは、企業外部に公開しにくいテーマであるため、経営層の教育はセキュリティ の取り扱いが難しいと思う。その意味で、例えばセキュリティ関連 Q 社の某氏のような客観的な 事例の伝え方は上手いと思う。経営層は、理想像はもっているが、他社事例や具体的取り組みに関 するインプットは十分ではないように思う。このような他社事例を活用して経営層に注意喚起する ような教育を行ってほしい。 (サービス業 H 社) セキュリティをテーマとした事例研究を行い、セキュリティをないがしろにした場合の損害を理 解したうえで、セキュリティ投資への価値を理解する教育が必要と感じる。(セキュリティ関連 T 社) 情報の取り扱い、IT 機器操作のイロハを教えるのみならず、個人情報漏えいやサイバーテロ などの事例紹介なども行われるとよい。 (鉄道 D 社) インターネットの基本的な仕組みについては学んでほしい。とくに、サイバー空間についても、 リアルな世界と同様に扱う教育が必要だと思う。というのも、サイバー空間の追跡性はリアルな世 界よりも強いはずだからである。一般教養のなかで、サイバー犯罪に関する知識・法令も教えて良 いのではないだろうか。(情報通信 E 社) 情報の取り扱い(機密区分、等)や管理方法、コンプライアンス等の知識や情報セキュリティに 関わる社会の課題をとらまえてほしい。情報リテラシー教育のなかで、是非とも情報セキュリティ 教育も実施してほしい。(複写機製造 G 社) 情報セキュリティに関するテクニカルなことのみではなく、知識を活用して情報処理の仕組み全 体を理解する力を身につけてほしいと考えている。技術、ガイドライン、現場のオペレーションに ついてバランス良く考えられる力が重要であると考えている。(サービス業 H 社) 企業で使える知識は、企業で教えるので、大学には、基本的な知識(インシデント事例、リテラ シー/モラル、サイバー脅威、等)を教えてほしい。 企業は、大学卒業時には、とんがった技術者は求めていない。(ベンダー L 社、M 社、R 社) . ノンテクニカル層向けの人材がセキュリティ・リテラシーや素養が醸成される機会があってもいい だろう。 (ベンダー P 社) 教養課程では、リスクが分かることを求めたい。リスクに対する正しい理解、自分の PC をきち んと管理できるようになることが重要。米国では学童対象にセキュリティ教育を行っている。(セ キュリティ関連 T 社) 大学の講義実態 本節では調査対象となる教育課程分類と調査対象選定の考え方を紹介する。その元で、調査項目 の収集が期待できる調査対象大学を選定する。 大学でその時点での最先端技術知識を教えたとしても、セキュリティ技術の進化が速いことから 知識は陳腐化してしまう。そのため、普遍的な情報セキュリティの考え方や捉え方を教える講義内 容にしているため、卒業後に社会の情報セキュリティ界をリードする人材輩出になっていると感 じている。情報セキュリティは、テクニカル領域でなく、法律分野などの文系領域にも関係するた め、文系と理系の区別なく情報セキュリティを教える方向にあることは意義があると感じている (慶應義塾大学) セキュリティ技術の進化が速いことから、大学で学んだ知識は陳腐化してしまうため、普遍的な 情報セキュリティの考え方やインシデント解決力の習得を講座の狙いにしている。このため、社会 でセキュリティに対応できる思考を身につけた学生輩出ができていると感じている。 Group Report of 2013 SISP -8- Group Number 4-A Investigation of security 座学だけの講義では、単なる知識のインプットであり、自分で知識を使いこなす十分なレベルに 向上しないと考え、実習や演習形式の授業を取り入れている。このため、学生が自ら状況に応じて 考える力を養えていると感じている。 情報セキュリティの教育は、基本的な思想として、システムのアーキテクチャーを理解したうえ で、システム設計できることに主眼がおいているため、ある領域に絞ったセキュリティ知識が習得 されるではなく、体系的な知識習得が促進できていると感じている。文系学生の IT リテラシーや 情報セキュリティスキル向上の実現に繋がった教育を行っているため、社会に出て、最低限必要な レベルを習得した人材輩出が出来ていると感じている。各学部で不揃いになりがちな基礎教育であ るものの、当校は統一カリキュラム・テキストによって、統一的な情報セキュリティの基礎教育が 出来ている。特に人文系の学生のリテラシー向上に寄与出来ていると感じている。MBA コースに おいて、主に社会人学生向けに情報セキュリティ観点を取り入れた再教育を実施している。これに よって、自分が IT ユーザ企業にいる場合にベンダーとの情報セキュリティに関するコミュニケー ションギャップ解消に役立つものと感じている。世間が、情報セキュリティ教育が重要であるとの 声が高まったり、企業が新入社員に情報セキュリティ素養を求めるというのであれば、大学は取組 みやすい。 情報セキュリティ対策をかにしたことによって、どのような被害・損害が社会・企業 等に発生したのか、社会全体で共有・評価する仕組みが必要である。そのようなフィードバックが ないため、必要な人材像が見えてこない。 情報セキュリティ教育はある時点に行ったから終了というものではない。時代ごとに必要な知識 は更新されるものであるから、情報セキュリティ知識はスキルのクオリティーコントロールの仕組 みがあると、一過性でなく、意味あるものになると感じる。 1.情報セキュリティ人材の世代現在、情報セキュリティ分野で活躍する人材は、社会人になっ た時点でインターネットが普及しておらず、情報セキュリティの必要性が無かった世代と、社会人 になった時点でインターネット等が普及しており、情報セキュリティの必要性が社会的に認識され ていた世代に大別することが出来、キャリアパスやスキルアップの方法等に差異が見られる。 2.現在のキャリアに至った転機転機は、各人各様であるが、IT やセキュリティに関する新た な技術に触れるなど、自らが何かを見たり感じたりしたことが契機になったとされる方が多い。ま た、コミュニティや国際会議への参加など、何らか新しいものに参加したことが契機となったとさ れる方も多いが、一方で、人事異動や転職などが契機になったとされる方は少ない。 何かを見た り感じたりしたことが転機になるということは、偶然、何かに触れる機会があったというような受 動的な場合もあるのかもしれないが、多くは本人がアンテナを高く張って機会を捉えているように 見受けられる。 3.スキルアップの方法スキルアップの方法については、エントリーレベル時は、自分の興味、 関心の高い分野を独学で学んで行き、あるレベル以上では、コミュニティ、他者との交流の中で 学んで行くという方が数多く見られる。また、様々なレベルで共通的に見られるのは、実務経験、 OJT 等、実践して覚えることが重要という点である。資格試験や社内資格の取得を上げる方も一 定数はいるものの、必ずしも多くはない状況である。 4.情報セキュリティ人材の育成に関するコメント 情報セキュリティ人材の育成については、 多くの意見があるが、グローバルに活躍できる人材の育成やセキュリティ専門だけでない総力やバ ランス感覚の育成などは、複数の方々から指摘されている。また、情報セキュリティ人材が活躍で きる場の確保や情報セキュリティ教育の充実といった環境整備に関する指摘複数の方から寄せられ ている。 このように企業と大学の求めているセキュリティに対する考え方が食い違っているように伺える Group Report of 2013 SISP -9- Group Number 4-A Investigation of security ので我々はこの報告書が本当かどうかを検討する必要がある。 (※文責: 滝沢祐輔) 2.2 課題の設定 この節ではプロジェクトを効率よく遂行するために設定した課題について述べる 1. 目標の設定セキュリティ調査班とハードウェア班に分かれ、取り組むの目標についての決定し ていく。 2.現在の情報セキュリティの実態の把握内閣官房情報セキュリティセンターより情報セキュリ ティ人材の育成に向けた検討報告書による現在の情報セキュリティの実態を把握していく。 3. イベントの応募(セキュリティキャンプへの応募) (日永、畑田、西村、滝沢、久米田) 最 近、高まるセキュリティ脅威に適切に対処できる情報セキュリティ人材、育成を目的とし、情報セ キュリティへの関心が高く、技能を高めたいという意欲のある若年層を選定し、わが国の情報セ キュリティ向上に資する、最先端の情報セキュリティに関する知識、技術と高い倫理観を兼ね備え た人材の輩出を目指している。セキュリティキャンプへの応募をグループメンバー全員で行った が、選考の段階でグループメンバー全員落ちてしまった。 4.資格試験の応募企業が求めている資格勉強 基本情報技術者試験、応用情報技術者試験、IT パスポート、セキュリティ初級認定試験資格試験が企業の求めるセキュリティ人材に必要かどう か、また資格勉強を通して自分たちは実際に企業の求めるセキュリティ人材になれたのかというこ とを理解するために、グループメンバー全員で資格試験への応募、勉強を行った。 5. 野上教授の公開講義岡山大学の野上教授が未来大に来て、大学で学んでいる情報セキュリティ と実際どのくらい役に立っているのかを立証する講義であった。。 6.セキュリティ勉強会の参加 札幌のセキュリティ勉強会に出席し、様々な企業の講義を受け、 直接企業の人とお話することで現代の情報セキュリティの実態を伺うことが出来ました。 7.各試験を受験 実際に受けてみて情報セキュリティについて問題がどのくらいあり、企業が 必要としている知識が問われていたのか。受験者層はどうだったかのかを検討した。 (※文責: 滝沢祐輔) 2.3 到達レベル 全体グループが取り組む課題として、資格試験が本当に企業が求めるセキュリティ人材になるた めに必要になるのか、またグループ結成時からの課題である企業のセキュリティ対策について調べ る。企業だけにとらわれずに他の大学などのセキュリティに関することも積極的に調べいていく。 イベント編1.セキュリティキャンプ企業のセキュリティ対策は実際に IT 企業と交流すること によって調べる。我々はまずセキュリティキャンプに参加をしてみること。高度な IT 人材を発 掘・育成する場の一つとして、情報セキュリティを中心とした IT についての意識が高く、将来的 に優秀な IT 人材として期待される若い人材に対して、情報セキュリティを中心として、IT 化実現 のための技術的な目標と高い技術修得への励み、及び安全かつ信頼性の高い IT 化の進展について 正しい知識を与えることを目的とするものである。高いレベルの情報セキュリティ技術を学んでい く必要があるのかを確かめていく。また日本にはどのくらいのスペシャリストがいるのかも知る必 Group Report of 2013 SISP - 10 - Group Number 4-A Investigation of security 要もある。 2. セキュリティ勉強会の参加若年層のセキュリティ意識の向上、ならびに将来第一線において 活躍することができる優秀なセキュリティ人材の早期発掘と育成を目的』として 2004 年から実施 されている「セキュリティ・キャンプ」のキャラバンとコラボで、「第 17 回北海道情報セキュリ ティ勉強会 & セキュリティ・キャンプ・キャラバン in 北海道」として開催する。 この勉強会は 様々な企業が参加することが予想されるので現在のセキュリティの実態を把握するに絶好の機会と 考えられる。 3. 岡山大学の野上教授のセキュリティ講演会 7 月 16 日に公立はこだて未来大学で開催された セキュリティ講演会が実施された。野上先生は有限体理論を主とする離散数学の研究を行なってお り、その応用として、暗号技術、とくに公開鍵暗号方式や、一部に有限体計算を用いる AES 共通 鍵暗号方式の土台となる代数計算の効率化について研究開発を行なっている。また、それと関連し て乱数系列の生成に関する研究も行なっている。組織的に、周期の長い、かつ相関特性のよい乱数 系列を生成する手法の研究も行なっている。実践的な演習を学生に要求し、より企業側の立場で講 義を行っていることである。めったにない機会なのでここで企業と大学の実態について参考になれ ばと考えている。 試験編 1.IT パスポート情報セキュリティに関する基礎知識が身につくことで、インターネット、 電子メール、社内システムを利用する際に、機密情報の漏えいやウィルス感染など様々なリスクが あることを理解できるようになるということで本プロジェクトの目的に合っているが実際何問出題 されたかを考えていくふつようがある。時間 150 分 100 問の 60 %で合格である。 2. 基本情報技術者試験情報技術全般に関する基礎的な知識を活用し、情報システム開発におい てプログラムの設計・開発を行うとともに、将来高度な技術者を目指す者として、次の知識・技能 が要求される。「情報処理の促進に関する法律」に基づき経済産業省が、情報処理技術者としての 「知識・技能」が一定以上の水準であることを認定している国家試験である。情報システムを構築・ 運用する「技術者」から情報システムを利用する「エンドユーザ(利用者)」まで、IT に関係する すべての人に活用いただける試験として実施しています。特定の製品やソフトウェアに関する試験 ではなく、情報技術の背景として知るべき原理や基礎となる知識・技能について、幅広く総合的に 評価している。大学でもこれらを目的とした講義が多くセキュリティ知識も問われている可能性が ある。 3. 応用情報技術者試験試験時間 150 分。四肢選択式で 80 問出題され全問解答。テクノロジの分 野から約 50 問、マネジメントの分野から約 10 問、ストラテジの分野から約 20 問出題され、幅広 い知識を要求される。試験時間 150 分。記述式で 11 問出題、うち 2 問中から 1 問、9 問中から 5 問をそれぞれ選択して解答することになっている。午前、午後共に 60 %以上の得点で合格。 4. セキュリティ初級認定試験情報セキュリティを考える上で、断片的な知識に留まらず、IT が必須となっている現代を生きる上で、業種・業務を問わず全ての社員が理解を深める必要があり ます。本試験は企業ニーズに即して、個人レベルで身に付けるべき概要を網羅する内容となってお り、問われる知識は情報セキュリティ対策に関する基本的概念から、情報を保有する脅威と求めら れる対策、ソフト/ハードの両面の基本知識が問われている。100 問各設問 7 割以上合格とされて いる。全体で 7 割取得しても不合格する可能性があるので幅広い試験勉強が要求される。 (※文責: 滝沢祐輔) Group Report of 2013 SISP - 11 - Group Number 4-A Investigation of security 2.4 課題の割り当て この節では 2.2 で設定された課題の割り当てについて述べる。前期日永の担当は以下通りで ある。 4 月 セキュリティ人材の報告書を確認してイベント情報を調べる。5 月 セキュリティキャン プの応募 資格試験の勉強する。7 月 岡山大学の野上教授のセキュリティ講演会に出席 Tex 講 座の参加 10 月 札幌のセキュリティ勉強会に参加 11 月 資格試験の受験 12 月 最終発表会 の練習と報告書の作成 ポスター作成 畑田の担当は以下通りである。 4 月 セキュリティ人材の報告書を確認してイベント情報を調べる。5 月 セキュリティキャン プの応募 資格試験の勉強する。7 月 岡山大学の野上教授のセキュリティ講演会に出席に参加 Tex 講座の参加 10・11 月 資格試験の受験 12 月 最終発表会の練習と報告書の作成 滝沢の担当は以下通りである。 4 月 セキュリティ人材の報告書を確認してイベント情報を調べる。5 月 セキュリティキャン プの応募 資格試験の勉強する。7 月 岡山大学の野上教授のセキュリティ講演会に出席に参加 Tex 講座の参加 10・11 月 資格試験の受験 12 月 最終発表会の練習と報告書の作成 ポスター 作りの作成 久米田の担当は以下通りである。 4 月 セキュリティ人材の報告書を確認してイベント情報を調べる。5 月 セキュリティキャン プの応募 資格試験の勉強する。7 月 岡山大学の野上教授のセキュリティ講演会に出席に参加 Tex 講座の参加 10・11 月 資格試験の受験 12 月 最終発表会の練習と報告書の作成および ポスター作りの作成 西村の担当は以下通りである。 4 月 セキュリティ人材の報告書を確認してイベント情報を調べる。5 月 セキュリティキャン プの応募 資格試験の勉強する。7 月 岡山大学の野上教授のセキュリティ講演会に出席 Tex 講 座の参加 10 月 札幌のセキュリティ勉強会に参加 11 月 資格試験の受験 12 月 最終発表会 の練習と報告書の作成 (※文責: 滝沢祐輔) Group Report of 2013 SISP - 12 - Group Number 4-A Investigation of security 第3章 3.1 課題解決のプロセス プロジェクト内における課題の位置付け 5 月 メンバーの決定、ハードウェア班、コンテンツ班の担当決定 6 月 セキュリティ関連のイ ベント、資格試験の調査 7 月 セキュリティキャンプへの応募、中間発表に向けての準備、中間発 表準備 8 月 中間発表の準備 9 月 資格試験受験に向けた準備 10 月 資格試験準備、せきゅぽろ への参加 11 月 資格試験受験、最終発表準備 12 月 最終発表準備、成果発表会 (※文責: 西村純平) 3.2 3.2.1 課題解決の方法 前期 もともとコンテンツ班は、企業が求めるセキュリティ人材を調査しコンテンツとして最終的にま とめることを最終目的としてきた。前期の活動では、コンテンツをまとめるためにどのようなこと を調査していくべきかという部分からの話し合いになった。セキュリティ人材を調査するために直 接企業や専門家の方々にお話を聞く、資格試験の活用という案があがり、前期はセキュリティ関連 イベント調査、参加申し込みや資格試験受験へ向けた学習が主な課題解決のための活動となった。 セキュリティ関連のイベントでは IPA 主催のセキュリティ・キャンプへの応募をメンバー全員で 行った。資格試験の受験のほうでは、まずはじめにどのような資格があって、どのように有効であ るかということから調べ始め、各個人が何を受けるかを話し合って決めていった。 3.2.2 後期 後期には調査していくうちに、企業が求めるセキュリティ人材になるために、受けてきた資格は 有用であるのかという疑問から、「最終的にコンテンツにまとめる」という最終目的が変わり、グ ループ名もセキュリティ人材調査班になり課題も変わってきた。最終目的が変わった原因は、実際 にセキュリティ関連のイベントである「第 17 回北海道情報セキュリティ&セキュリティ・キャン プ・キャラバン in 北海道」に参加し、実際に企業の方々の声を聞いたことだ。もともと最終目的 を決めるために使われた資料がある。それが平成 24 年度の内閣官房情報セキュリティセンター委 託調査「平成 24 度 情報セキュリティ人材の育成に向けた検討報告書」である。中身としては未 完成で、企業および大学に対してヒアリングを行い、情報セキュリテリティ人材の育成に関する課 題、ニーズ、取組事例などを把握するのが目的のもだ。この報告書をもとに、実際に自分たちでも 企業の声を聞き、コンテンツとしてまとめることが前期までの最終目的になった。「平成 24 度 情 報セキュリティ人材の育成に向けた検討報告書」の内容によると、情報セキュリティ人材育成の方 法の1つとして資格試験が有用であるとまとめられていた。実際にセキュリティ関連のイベントで ある「第 17 回北海道情報セキュリティセキュリテ&ィ・キャンプ・キャラバン in 北海道」に参加 していた企業の方々にお話を聞いてみたところ、資格試験は全く重要視していないとのことで企業 ごとに意見は違うであろうが、内閣官房長官情報セキュリティセンター委託調査「平成 24 度 情 Group Report of 2013 SISP - 13 - Group Number 4-A Investigation of security 報セキュリティ人材の育成に向けた検討報告書」の内容と全く違うものとなった。それをもとに自 分たちで受けている資格の中で情報セキュリティ人材育成に向いている資格を調査してみることと なった。図 3.1 は情報セキュリティ人材育成に向けた検討報告書である。 図 3.1 平成 24 年度情報セキュリティ人材の育成に向けた検討報告書 [3] (※文責: 西村純平) Group Report of 2013 SISP - 14 - Group Number 4-A Investigation of security 第4章 4.1 4.1.1 結果 成果 基本情報技術者試験 基本情報技術者試験とは、独立行政法人情報処理推進機構(IPA)が行っている国家試験の 1 つ である。 「情報処理技術者試験は、 「情報処理の促進に関する法律」に基づき経済産業省が、情報処 理技術者としての「知識・技能」が一定以上の水準であることを認定している国家資格です。 情 報システムを構築・運用する「技術者」から情報システムを利用する「エンドユーザ(利用者) 」ま で、IT に関係するすべての人に活用していただける試験として実施しています。特定の製品やソ フトウェアに関する試験ではなく、情報技術の背景として知るべき原理や基礎となる知識・技能に ついて、幅広く総合的に評価しています。 」(公式サイトより基本情報技術者試験について一部抜 粋)IPA があげているこの資格試験の目的が 3 つある。1.情報処理技術者に目標を示し、刺激を 与えることによって、その技術の向上に資すること。 2.情報処理技術者として備えるべき能力についての水準を示すことにより、学校教育、職業教 育、企業内教育等における教育の水準の確保に資すること。 3.情報技術を利用する企業、官庁などが情報処理技術者の採用を行う際に役立つよう客観的な 評価の尺度を提供し、これを通じて情報処理技術者の社会的地位の確立を図ること。この資格試験 の対象者は情報技術全般に関する基本的な知識・技能をもつ者(情報システム開発プロジェクトに おいて、プログラム設計書を作成し、プログラムの開発を行い、単体テストまでの一連のプロセス を担当しているか、将来、そのような業務を担当する者を含む)と記載されている。 この基本情報技術者試験取得者に期待される技術水準として、以下のものがあげられる。情報技 術者全般に関する基礎的な知識を活用し、情報システム開発においてプログラムの設計・開発を行 うとともに、将来高度な技術者を目指すものとして、いくつかの知識・技能が要求される。(1) 情 報技術全般に関する基本的な用語・内容を理解している。(2) 上位技術者の指導のもとにプログラ ム設計書を作成できる。(3) プログラミングに必要な論理的思考能力をもつ。(4) 1つ以上のプロ グラム言語の仕様を知っており、その言語を使ってのプログラムを作成できる。(5) プログラムの テスト手法を知っており、単体テストを実施できる。これらが IPA が資格試験取得者に期待され る技術水準であるとあげている内容である。 また、情報処理技術者試験を受けるメリットとして、いくつかのことがあげられる。1. 企業から の高い評価(公式サイトによる)合格者には一時金・資格手当などといった報奨金制度を設ける企 業や、採用の際に資格試験を考慮する企業など、多くの企業から高い評価を受けています。(サイ ト抜粋)自分たちが実際にお話を聞くことができた企業や講師の方によると、資格試験を持ってい てもそこまで優遇はされていないという意見もあった。また、社団法人情報サービス産業協会発行 の「賃金データ」平成 22 年度調査によると回答企業 116 社中 107 社が、少なくとも一つ以上の試 験区分に対して一時金又は資格手当を支給している。 2. 時代の変化に対応できる技術者育成技術が急激に変化し多様化するなかで、幅広い観点から試 験問題を出題しているので、機種や OS にしばられない幅広い知識を習得できる。このような人材 を育成することは企業競争力強化にもつながると見込まれている。 Group Report of 2013 SISP - 15 - Group Number 4-A Investigation of security 3. 質の高い試験急速に進む情報技術に柔軟に対応し質の高い試験を維持するため、IT 現場の第 一線で活躍されている専門家や、大学・研究所など高等教育機関に所属されている専門家約 400 名 からなる試験委員が問題作成に携わっている。 4. 企業の技術力をアピール官公庁、地方公共団体の情報システム開発の競争入札参加申請(北海 道、大分県、静岡県、岩手県など)において、申請書の一つに、情報処理技術者試験合格者数の記 入を求めている。また、情報処理技術者試験合格者を雇用していることが要件の場合もある。 5. 自己のスキルアップ、能力レベルの確認情報処理技術者にとってベースとなる情報技術の基本 的、専門的知識・技術を評価することで基本のしっかりした応用力のある人材を育成するために、 入門的な試験から専門的、総合的な技術までを問う試験をキャリアパスとして提示しており、自己 のスキルアップに広く活用されている。また、すべての試験区分で個人成績の公開や回答例などの 情報提供を行っているので、合否だけでなく自己の能力レベルを確認ができる。 6. 国家試験などにおける優遇制度情報処理技術者試験合格者は、国家試験(中小企業診断士、弁 理士)の一部免除制度を受けることが可能である。また、警視庁で募集するコンピュータ犯罪捜査 官や千葉県警、群馬県警、茨城県警で募集するサイバー犯罪捜査官は、「情報処理技術者試験の合 格」応募資格の1つとなっている。教員採用選考支援においても、情報処理技術者試験合格者に対 して、試験の一部を免除する県市がいくつかある。ここにあげた例以外にもいくつかあった。基本 情報技術者試験の形式は、情報通信技術全般から基本的な知識を問う問題が出題されるが、プログ ラマ等の開発者側だけでなく、利用者側にも対応している。採点方式は、純粋に正解率が 60 %以 上で合格となり、配点が正解率によって変更されることはない。ただし、午後問題の 1 問ごとの配 点は解答例公開時 にも合格発表時にも公開されない。 午前試験時間は 150 分。四肢択一式で 80 問出題され全問解答となっている。問 1-問 50:テク ノロジ系(コンピュータ科学基礎・ハードウェア・稼働率・ソフトウェア・論理回路・データベー ス (SQL、正規化)・ネットワーク・セキュリティ・設計)問 51-問 60:マネジメント系(開発規 模、工数など)問 61-問 80:ストラジ系(全体計画立案・業務改善・契約タイプ・経営戦略・利益や 費用の計算・関係法規など)午後試験時間は 150 分。素点形式で採点され 60 点以上で合格となっ ている。問 1-問 7:ハードウェア、ソフトウェア、データベース、情報セキュリティ、ネットワー ク、ソフトウェア設計、プロジェクトマネジメント、経営・関連法規などの 7 問から 5 問を選択。 問 8:疑似言語と言われる簡略化されたコンピュータ言語を用いた応用問題(必須解答)。問 9-問 13:C 言語、COBOL、Java、アセンブラ、表計算のうち 1 問を選択する。いずれも(表計算の問 題も含め)論理的思考力を要求される。 図 4.1 は試験の受験者数と合格者数の推移である。このグラフからもわかるように受験者数は 年々減少気味である。実際に基本情報技術者試験を受験して、幅広い分野からの出題であると感じ た。もちろんセキュリティ専門の試験ではないので全てがセキュリティ人材育成に役立つかどうか と言われるとそうでもないものと言える。これは IT 人材になるために必要な基本知識・技能を試 されるテストであると考えた。試験の中身にも経営や管理といった分野が含まれており、試験勉強 を通して全般的な IT 力の向上を募ることができると考えた。 (※文責: 西村純平) 4.1.2 応用情報技術者試験 応用情報技術者試験とは基本戦略立案または IT ソリューション・製品サービスを実現する業務 に従事し、独力で「需要者が直面する課題に対し、情報技術を活用した戦略を立案」したり、 「シス Group Report of 2013 SISP - 16 - Group Number 4-A Investigation of security 図 4.1 受験者数と合格者数推移 [4] テムの設計・開発を行い、また汎用製品の最適組み合わせ (インテグレーション) によって、信頼 性・生産者の高いシステムを構築し、その安定的な運用サービスを実現」する役割を果たす者を対 象としており、次のような技術水準が期待されている。・経営戦略情報戦略の策定に関して、経営 者の方針を理解し、経営を取り巻く外部環境をを正確に捉え、動向や事例を収集できる。・経営戦 略・情報戦略の評価に際して、定められたモニタリング指標に基づき、差異分析などを行える。・ 提案活動に際して、提案討議に参加し、提案書の一部を作成できる。・アーキテクチャの設計にお いて、システムに対する要求を整理し適用できる技術の調査が行える。・運用管理チーム、オペ レーションチーム、サービスデスクチームなどのメンバーとして、担当分野におけるサービス提供 と安定稼動の確保が行える。・プロジェクトメンバーとして、プロジェクトマネージャ (リーダ) の下で、スコープ、予算、工程、品質などの管理ができる。・情報システム、ネットワーク、デー タベース、組み込みシステムなどの設計開発運用保守において、上位者の方針を理解し、自ら技術 的問題を解決できる。 応用情報技術者試験においてのセキュリティ関連の問題の範囲は暗号化 (共通鍵暗号式や公開 Group Report of 2013 SISP - 17 - Group Number 4-A Investigation of security 鍵暗号式など)、暗号の応用 (無線 LAN における通信の暗号化など)、認証 (パスワード認証やバイ オメトリクス認証など)、ディジタル署名と PKI(公開化鍵暗号方式を利用した認証および盗聴防止 基盤しくみのこと)、コンピュータウィルス (感染経路やウィルスの種類など)、脅威とリスク (不 正アクセスやリスクマネジメントなど) から出題される。 平成 25 年度秋季の午前試験でのセ キュリティ関連の問題は 80 問中 7 問出題された。内容は RSA 暗号やディジタル署名などの語句 説明の選択や、攻撃とその組み合わせの選択などがあった。午後試験では 11 問中 1 問出題された。 テーマは Web サイトのセキュリティ強化策であった。 (※文責: 久米田祐介) 4.1.3 IT パスポート試験 試験の概要 IT パスポート試験(略称 IP)は、情報処理の促進に関する法律第 7 条第 1 項に基づき経済産業 大臣が行う国家試験である情報処理技術者試験の一区分である。2007 年 12 月に発表された新試験 制度のスキルレベル 1(スキルレベルは 1∼4 が設定されている)に相当し、2009 年春期試験から 開始された。試験の実施に関する試験事務は、独立行政法人情報処理推進機構 情報処理技術者試 験センターが行っている。IT パスポート試験は、初級システムアドミニストレータ試験(以下初 級シスアド) の後継試験として捉えられることもある。しかし、対象は「職業人が共通に備えてお くべき情報技術に関する基礎的な知識をもち、情報技術に携わる業務に就くか、担当業務に対して 情報技術を活用していこうとする者」であり、その性格上、初級シスアドと比べて難度は低くなっ ている。IT パスポート試験は初級シスアド試験の一部を後継し、初級シスアドは 2009 年春期試 験をもって廃止された。初級シスアドは IT パスポート試験のレベルを包含し、合格者は IT パス ポート試験の合格レベルに達しているとされている。初級シスアドの試験内容については当資格 と、スキルレベル 2 に位置づけられた基本情報技術者試験に吸収された。また、初級シスアドは平 均 28 歳前後の社会人、業務経験者を対象としていたが、IT パスポートの受験者は学生の比率が比 較的大きいのも特徴である。ボリュームゾーンは 16 歳から 25 歳であるが、一方合格率は社会人、 業務経験者が高くなる傾向があり、21 歳以下と 22 歳以上とでは合格率に大きな差が見られるのも 本試験の特徴である。商業高校などの高等学校は、IT パスポートは日商簿記 2 級・3 級などとと もに必修科目であったり、受験することを推奨していたりする。ただし、後述するように試験内容 がテクノロジ系の問題だけでなくマネジメント系の問題と、ストラテジ系の問題も多く IT 系の試 験ではあるものの商業知識も求められている。 そのため、前述のように 21 歳以下と 22 歳以上と で合格率に差が見られる。いわゆる「社会人経験の有無」がマネジメント系問題とストラテジ系問 題の正答率に関係している。また、他の IT 系資格と比較して非 IT 系企業出身者の比率が高いの も特徴である。IT 系企業でも IT パスポート試験を推奨しているものの、実務としてはプログラム 言語やテクノロジに関して理解度を測るには判断材料として乏しいため、評価の判断材料には基 本情報技術者試験以上を用いるケースが多い。反面、非 IT 系企業ではマネジメントやストラテジ の理解度と、IT 系企業の人材ほどではないものの IT パスポート試験でコンピュータシステムや サーバに関する知識などの理解度を測る判断材料になっているケースもある。そのため、金融庁や 佐賀県など、職員に IT パスポート試験を推奨している公共機関もある。受験に関しては老若男女 問わず幅広く対象としている。 試験申請に際し、年齢や実務経歴等による受験制限はない。2011 年 11 月 25 日より国家試験では初めて CBT(Computer Based Testing)方式が採用され、試験 は全国 101 会場で随時行われる。また、実施日時は会場ごとに異なる。ただし、身体の不自由に Group Report of 2013 SISP - 18 - Group Number 4-A Investigation of security より CBT 方式の試験を受験できない受験者については引き続き年 2 回筆記方式等により IT パス ポート試験を実施する。それに先立ち、2011 年 1 月 17 日から 2011 年 3 月 27 日まで CBT 方式の リハーサル試験が行われた。リハーサル試験では合否判定は行わず試験結果は得点のみ表示した。 2011 年度の秋期試験までは基本情報技術者試験や応用情報技術者試験などと同日の 4 月第 3 日曜 (春期試験)と 10 月第 3 日曜(秋期試験)の 2 回行われ、大学や専門学校校舎といった他の情報処 理試験と同じ会場で筆記試験形式で行われていた。・試験の内容試験範囲は大きくストラテジ系、 マネジメント系、テクノロジ系の3つに分けられている。その中でさらに細かくステラテジ系は企 業活動、法務、経営戦略マネジメント、技術戦略マネジメント、ビジネスインダストリ、システム 戦略、システム企画、マネジメント系はシステム開発技術、ソフトウェア開発管理技術、プロダク トマネジメント、システム監査、テクノロジ系は基礎理論、アルゴリズムとプログラミング、コン ピュータ構成要素、システム構成要素、ソフトウェア、ハードウェア、ヒューマンインタフェー ス、マルチメディア、データベース、ネットワーク、セキュリティに分けられている。試験はマー クシートによる四者択一 100 問を 165 分で解答する。IRT(項目応答理論)方式により 1000 点満 点で採点 [6]。他の試験区分にある記述式、事例解析といった午後試験はない。問題の内訳及び問 題数は次のとおりである。総合評価の満点の 60 % (600/1000) 以上、かつ、各分野別評価の満点 の 30 % (300/1000) 以上の両方を満たした場合に合格となる。出題される設問数は 100 問あるが、 うち 8 問を以後に行われる試験のための出題評価に用い、この 8 問の正誤はスコアには反映されな い。総合評価は 92 問で、分野別評価はストラテジ系 32 問、マネジメント系 23 問、テクノロジ系 37 問で行われる。 ・受験者数と合格率 2009 年春期試験 受験者数 39,131 名、合格者数 28,540 名、合格率 72.9 % 2009 年秋期試験 受験者数 61,313 名 合格者数 31,080 名 合格率 50.7 % 2010 年春期試験 受 験者数 52,299 名 合格者数 22,098 名 合格率 42.3 % 2010 年秋期試験 受験者数 60,056 名 合格者 数 31,161 名 合格率 51.9 % 2011 年春期試験 受験者数 48,482 名 合格者数 21,714 名 合格率 44.8 % 2011 年秋期試験 受験者数 46,545 名 合格者数 28,503 名 合格率 61.2 % 2012 年度試験計 受験 者数 62,848 名 合格者数 25,796 名 合格率 41.0 % 2013 年度試験計 受験者数 41,433 名 合格者数 20,020 名 合格率 48.3 % 図 4.2 は応募者の推移と内訳である。 図 4.2 応募者の推移と内訳 [5] 試験地 全国 47 都道府県の決められた試験地で受験することができる。2014 年 1 月現在で以下の会場で 受験することができる。北海道札幌市、旭川市、函館市、青森県青森市、弘前市、八戸市、岩手県 Group Report of 2013 SISP - 19 - Group Number 4-A Investigation of security 盛岡市、宮城県仙台市、秋田県秋田市、山形県山形市、福島県福島市、郡山市、いわき市、茨城県 水戸市、つくば市、古河市、栃木県宇都宮市、群馬県高崎市、太田市、埼玉県さいたま市、新座市、 熊谷市、千葉県千葉市、船橋市、松戸市、東京都千代田区、墨田区、中野区、新宿区、品川区、豊 島区、立川市、八王子市、神奈川県横浜市、川崎市、厚木市、横須賀市、新潟県新潟市、長岡市、 富山県富山市、射水市、石川県金沢市、福井県福井市、山梨県甲府市、甲斐市、長野県長野市、松 本市、岐阜県岐阜市、静岡県静岡市、浜松市、沼津氏、愛知県名古屋市、豊橋市、知立市、三重県 四日市市、津市、伊勢市、滋賀県大津市、京都府京都市、大阪府大阪市、枚方市、東大阪市、兵庫 県神戸市、姫路市、奈良県奈良市、和歌山県和歌山市、鳥取県鳥取市、島根県松江市、岡山県岡山 市、倉敷市、広島県広島市、山口県山口市、防府市、徳島県徳島市、香川県高松市、愛媛県松山市、 高知県高知市、福岡県福岡市、北九州市、佐賀県佐賀市、長崎県長崎市、熊本県熊本市、大分県大 分市、宮崎県宮崎市、鹿児島県鹿児島市、奄美市、沖縄県那覇市、沖縄市、名護市、石垣市 宣伝 試験開始前には広告に堀北真希を起用した。その後、2009 年秋・多部未華子、2010 年春・加藤 ゆり、2010 年秋・津山祐子が起用された。2011 年春試験よりタレントの起用はなく、現在はイラ ストが用いられている。 キャッチコピー 2009 年春 - 新試験制度開始 2009 年秋 - 未来へのパスポート、とりにいきます。2010 年春 - が んばれ、未来。キャリアアップに、IT 力。2010 年秋 - これからの社会で戦うには、確かな武器 がいる。2011 年春 - あなたの IT 力を、国が証明します。2011 年秋 - 仕事につながる国家試験。 2012 年春 - その手に、国が認める IT 力を。2012 年秋以降 ? 仕事につながる、就職に活きる。ま た、 「i パス」という愛称およびロゴマークが制定され、2013 年 3 月 1 日に発表された。 キャンペーン 2013 年 4 月 1 日から同年 4 月 30 日まで、「IT の世界へ羽ばたく未来(ミク)」をテーマにした 初音ミクのイラストコンテストが行われている。2013 年 8 月から 2013 年 12 月の間、最優秀作品 が印刷されたクリアファイルが IT パスポート試験を受験した記念品として、試験会場で受験者に 配布される。図 4.3 はキャンペーンの画像である。 図 4.3 初音ミクのキャンペーン [5] Group Report of 2013 SISP - 20 - Group Number 4-A Investigation of security (※文責: 畑田遼) 4.1.4 情報セキュリティ初級認定試験 試験の概要 情報セキュリティに関する知識として要求される範囲が年々広がっている中、求められるスキル も多種多様となっている。情報セキュリティに関して断片的な知識に留まらず、業種、業務と問わ ず全ての社員が理解を深める必要がある。これらを背景に、企業ニーズに即して、個人レベルで身 につけるべき概要を網羅する内容で、情報セキュリティに関する基本概念から、脅威と対策、さら にコンピュータの基本知識が問われる試験である。2005 年 4 月に「情報セキュリティ検定試験」 として開始されたものが 2011 年度に再編され、現名称の資格認定制度となり、試験名称も変更さ れた。以前の「情報セキュリティ検定試験」では 1 級、2 級、3 級があったが、それらが再編され、 「情報セキュリティ管理士認定試験」と「情報セキュリティ初級認定試験」となった。出題内容は、 従来の情報セキュリティ検定試験 1 級・2 級の知識が統合されたものが「情報セキュリティ管理士 認定試験」に対応し、 「情報セキュリティ初級認定試験」は、従来の情報セキュリティ検定試験 3 級 レベルに対応する。試験は年 4 回実施され、出題範囲は、「情報セキュリティ総論」、「情報資産に 対する脅威」、 「脅威への対策」 、 「コンピュータの一般知識」の 4 つで構成されており、情報セキュ リティに関する関連用語の知識だけでなく、情報セキュリティに関する多岐にわたる一般知識や 関連法令、ソフトウェア・ハードウェア知識に至るまで、幅広く問われる。主催団体はこの他にも 関連資格として、個人情報保護士認定試験、企業情報管理士認定試験を主催している。図 4.4 と図 4.5 は情報漏えいの原因についての画像である。 第 1 回認定試験は 2011 年(平成 23 年)4 月 24 日実施。以後現在では年 4 回、3 ヶ月ごとに行 われ北海道から九州まで全国 13 ヶ所の会場で一斉公開試験が実施されている。ただし、「情報セ キュリティ管理士認定試験」と同日実施されており併願はできない。試験内容は、4 項目からなる。 I:情報セキュリティ総論 II:情報資産に対する脅威 (どんな危険があるか)III:脅威への対策 (情報セキュリティ対策)IV:コンピュータの一般知識 試験方法は、択一問題による試験(マークシートを使用) 。試験時間は、60 分(休憩なし) 。受験 資格に制限はなし。受験料は、20 名以上での団体申し込みに対し割引価格が適用される。合格点 は、各単元ごとに 70 %以上の正答。試験問題は持ち帰ることができる。合否は、試験実施約 1 ヶ 月後に主催団体の WEB サイトで確認できる。当試験専用の対策セミナーは開催されていないが、 「情報セキュリティ管理士認定試験」の対策セミナーを受講することは可能。合格者には合格証書 と認定カード(認定証)が送られるほか、認定ロゴを名刺等に使用することが認められる。認定 カードには 2 年間の有効期限が記載されるが、主催団体の WEB サイトで更新することができる (有料)。 主催団体 名称 文部科学大臣許可法人 財団法人全日本情報学習振興協会所在地 東京都千代田区三崎町 3-7-12 清話曾ビル 5 階事業内容 情報関連・パソコン・福祉関連の検定・講習会実施など理事長 一松信(東京電機大学教授・京都大学名誉教授) 試験地 以下の会場で受験することができる。東京・札幌・仙台・福島・埼玉・千葉・横浜・静岡・名古 屋・津・大阪・神戸・岡山・広島・福岡・鹿児島・沖縄 Group Report of 2013 SISP - 21 - Group Number 4-A Investigation of security 図 4.4 情報漏洩の原因機器・媒体 [6] (※文責: 畑田遼) 4.1.5 岡山大学でのセキュリティ教育 岡山大学でのセキュリティ教育は私たちを取り巻く ICT 環境や攻撃の手口とクラウドの関係を 扱っている。私たちを取り巻くネットワークや脅威の変化を図 4.6 と図 4.7 に表す。 私たちを取り巻く ICT 環境は一昔前は固定電話網などによりユーザの物理的な位置が特定でき、 不正な行為に対しての抑制効果があった。しかし、現代では物理的位置の特定が困難なので不正な 行為 (盗聴、改ざん成りすましなど) に対しての対策が必要である。私たちの生活環境を取り巻く ネットワークの例として、車 (GPS) の ETC や ITS がある。他にも家の中でいうとネットショッ ピングやネットバンクがある。また、世界最先端 ICT 社会を築くためには、様々な通信網で流通や 活用させる技術が必要である。 攻撃の手口として、標的型攻撃がある。これは脆弱性を悪用し、 複数の既存攻撃を組み合わせ、ソーシャルエンジニアリングにより特定企業や個人を狙い、対応が 難しく執拗な攻撃と定義される。例として、攻撃対象のメールアドレス取得して、トロイの木馬プ ログラムをメール添付したり、情報の解析をするために侵入経路 (バックドア) の確保をするなど がある。これらの対策には入口、出口対策や状況の可視化、漏洩に対する備えが必要である。 ク ラウドの関係の内容は、現代はいつでも (様々な機器からの利用)、どこでも (様々な場所からの利 用)、誰でも (様々なユーザの利用) ネットの使える。そんなクラウド・ユビキタス時代のセキュリ ティには情報漏えい問題・電子認証・データ暗号化の重要性が存在する。そのためにも、より高度 な暗号・認証技術の実現。情報漏えい問題対策が急務となる。 大学におけるセキュリティ教育の Group Report of 2013 SISP - 22 - Group Number 4-A Investigation of security 図 4.5 情報漏洩の原因 [6] 科目として学部生 (電気通信系学科) では情報セキュリティ特論がある。これは TCP/IP を使った プログラミングを用いてネットワーク対戦ゲーム、テトリス、チャットシステムなどを作成してい る。また。ネットワークプログラミング実験という科目ではファイルシステムを Tex に変えるこ となど学生のやりたいこと取り入れている。次に大学院生 (産業創成工学専攻) では、数理暗号論、 ICT プロフェッショナルコース、大学院創成演習などがあり、暗号に使われる数学を勉強してい る。数学を用いた暗号として RSA 暗号がある。この RSA 信号はいまだ破られておらず、安全性 が高い。講義では大学におけるセキュリティ教育や野上研究室の研究内容を調査した。講義風景を 図 4.8 に表す。 野上研究室とその学内周辺でのセキュリティ教育。岡山大学でセキュリティ研究、暗号の数学的 レイヤは図 4.9 のようになる。 野上研究室のプロジェクトには暗号計算処理の FPGA 実装がある。 1 つ目は、ASTEP プロ ジェクトといい、クラウドコンピューティング時代の認証技術を高度に実現する並列代数計算アル ゴリズムの LSI 化を行っている。拡大体におけるベクトル乗算の汎用的/効率的 FPGA 実装済み で楕円曲線暗号、ペアリング暗号を実装中である。FPGA 実装をしたものを図 4.10 に表す。 2 つ目は SCOPE プロジェクトといい、暗号機器のサイドチャンネル攻撃に対する安全設計に関 する研究開発を行っている。内容はサイドチャンネル攻撃やフォールとインジェクション攻撃の研 Group Report of 2013 SISP - 23 - Group Number 4-A Investigation of security 図 4.6 私たちを取り巻くネットワーク [7] 究をしている。 (※文責: 久米田祐介) 4.1.6 せきゅぽろ セキュリティ人材調査グループで参加してきた「第 17 回北海道情報セキュリティ&セキュリ ティ・キャンプ・キャラバン in 北海道」とは、 『若年層のセキュリティ意識の向上、ならびに将来 第一線において活躍することができる優秀なセキュリティ人材の早期発掘と育成を目的』として 2004 年から実施されている「セキュリティ・キャンプ」のキャラバンとのコラボで開催される勉 強会のことだ。今回は愛甲健二さん (「セキュリティ・キャンプ」の講師陣の一人で「ソフトウェ ア・セキュリティ・クラス」を担当、株式会社 FFRI )と北海道大学院法学研究科の町村泰貴教授 が講師と招かれていた。北海道情報セキュリティ勉強会 (通称:せきゅぽろ)は、北海道において、 情報セキュリティの勉強会を、定期的に開催することを目的とした、勉強会コミュニティだ。自分 たちもこの存在を知ったのはつい最近で初めての参加となった。北海道情報セキュリティ勉強会の ホームページをみてみると、勉強会は 2008 年から始まっているようだった。 実際に参加してみて、まず思ったことはとても気軽な感じで勉強ができると感じた。やっている ことが基礎的で始めやすいというわけではなく、逆にやっている内容は先端的なもので非常に難し いものでした。始まってすぐの開会式からとても楽しそうな雰囲気ではじまり、先端的な知識が身 についていない自分にとっても参加しやすい勉強会だった。セッション1ということで、午前中は 北海道大学大学院法学研究科 町村泰貴 教授の公演からはじまる。内容はセキュリティと法律に ついてだった。セキュリティと法律で守られているものの違いを法律の分野を研究されている町 村泰貴 教授の法律分野からの視点でお話しを聞くことができた。セッション2として、セキュリ ティ・キャンプでも講師を務めている愛甲健二さんの講義が続いた。「バイナリ」をテーマに、「セ Group Report of 2013 SISP - 24 - Group Number 4-A Investigation of security 図 4.7 脅威の変化 [7] キュリティ・キャンプ」で取り上げるテーマを中心に話されていた。基本的な命令の解説とチート シートを渡して 10∼20 行程度の ASM コードを読んでもらう「やさしいアセンブラ読経」 、参加者 が皆で楽しめる「アセンブラ短歌」、 「アセンブラかるた」などの内容を取り扱っていた。とっつき にくいアセンブラを身近にあるゲームとして触れることができ、笑いが頻繁に起きていた。せきゅ ぽろ恒例であるおやつタイムも楽しみながら楽しくセキュリティについて勉強できた1日だと感 じた。 「第 17 回北海道情報セキュリティ&セキュリティ・キャンプ・キャラバン in 北海道」でも取り 上げられていたセキュリティ・キャンプについてまとめると、これは先端的な人向けの勉強会だ。 セキュリティ・キャンプ、セキュリティミニキャンプは年に数回行われている。自分たちが応募し た「セキュリティ・キャンプ中央大会 2013」は、2013 年 8 月 13 日から 8 月 17 日の 4 泊 5 日の大 規模なものでした。セキュリティ・キャンプは、若年層のセキュリティ意識の向上、ならびに将来 第一線において活躍することができる優秀なセキュリティ人材の早期発掘と育成 を目的としてい る。高度な IT 人材を発掘・育成する場の一つとして、情報セキュリティを中心とした IT につい ての意識が高く、将来的に優秀な IT 人材として期待される若い人材に対して、情報セキュリティ を中心として、IT 化実現のための技術的な目標と高い技術修得への励み、及び安全かつ信頼性の 高い IT 化の進展について正しい知識を与えることも目的とされている。セキュリティ・キャンプ は、主に夏休み期間中に実施される合宿形式で行われるイベントを中心に、若年層に情報セキュリ ティの知識と技術を学ぶ機会やネットワークづくり、コミュニティづくりの機会を提供してくれ る。国内の IT 業界、セキュリティ業界の第一線で活躍するエキスパートによる実践的な講習を受 けられるだけでなく、これまで実際にセキュリティ・キャンプに参加された卒業生の方々も学習を 支援してくる。参加すればとても充実できる 4 泊 5 日だと感じた。図 4.11 はセキュリティ・キャ ンプ中央大会のポスターである。 Group Report of 2013 SISP - 25 - Group Number 4-A Investigation of security 図 4.8 講義風景 [7] 図 4.9 岡山大学でのセキュリティ研究、暗号の数学的レイヤ [7] 実施内容にはセキュリティ・コース、プログラミング・コースなど、毎回異なるコース、クラス が複数ある。セキュリティ・コースでは、ソフトウェア・セキュリティクラス、webセキュリ ティ・クラス、ネットワークセキュリティ・クラス、セキュアなOSを作ろうクラスとコースの中 にさらに細かい分野のクラスが複数作られている。(2011 年度セキュリティ・キャンプ参考)情報 セキュリティを中心とした IT についての意識が高く、将来的に優秀な IT 人材として期待される IT 技術者候補に対して、情報セキュリティを中心とした IT 化実現のための技術的な目標と高い技 術習得への励み、及び安全かつ信頼性の高い IT 化の進展について正しい知識を与えることが目的 として実施されている。インターネットやコンピュータの利活用あるいは開発の能力が高いだけで はなく、その仕組みを奥深くまで探求する意欲と好奇心とを兼ね備えた若者を全国の応募者から選 Group Report of 2013 SISP - 26 - Group Number 4-A Investigation of security 図 4.10 暗号計算処理の FPGA 実装 [7] 抜し、IT 技術の最先端で活躍する現役のエンジニアが指導する 5 日間の集中的な研修授業 です。 意欲のある人にとっては非常に大きな収穫になる 5 日間であると考えられる。 セキュリテイ・コースのクラス別内容の紹介をすると、まず始めにソフトウェア・セキュリティ クラス。マルウェアを解析してマルウェアの動作、OS 等への影響、特 徴などを解析結果から抽出 し、その目的や性質、過去の傾向などを踏まえて抽出 した材料を吟味できるレベルを目指す。ま た、ソフトウェアに含まれる脆弱性を通して、ソフトウェア全般のセキュリティについて学ぶとと もに、脆弱性(を悪用した攻撃の原理、および防御・解析手法の修得や、実際のソフトウェア開発 において脆弱性が作り込まれてしまう原因の考察を、演習を通じて行う。また、新たなソフトウェ ア動作プラットフォームであるスマートフォンなどについても演習素材とする。一般の人にとって は難しめの内容であると、自分たちは考えたので、やはり先端的なものである。ネットワーク・セ キュリティ・クラスでは、実際のネットワークにおける攻撃の検知や、適切な防御策を講じられる とともに、今後出現するであろう新しい攻撃やその対応技術について考察・提案できるレベルを目 指す。具体的には、現在のコンピュータネットワークにおけるセキュリティや弱点などについて学 ぶとともに、広く利用されている防御技術の課題について考察し、ネットワークプロトコルを体感 しながらネットワークセキュリティを学習します。この際に、事件対応の実例を素材としたネット ワーク攻撃のメカニズム理解や、実際のネットワークにおける攻撃の検知・防御策の策定について も演習のスコープに含む。セキュアOSを作ろうクラスでは、これまでの数多くの OS の概念にと らわれない自由な発想で OS カーネルからの攻撃の検知や、適切な防御策を考え、実装するととも に、今後発見されるであろう未来的な攻撃手法に対しても考慮されたまったく新しいセキュリティ モデルを OS に組み込むことができるレベルを目指す。具体的には、OS の設計や実装をセキュリ ティという観点から学び、実装するとともに、今後発見されるであろう新しい攻撃手法と、それに 対する防御技術を考察し、CPU とソフトウェアのセキュア機能を意識しながらの、新しく堅牢な OS を創造する。セキュリティ技術を「ものづくり」の設計の段階から取り入れることで、今後起 Group Report of 2013 SISP - 27 - Group Number 4-A Investigation of security 図 4.11 セキュリティ・キャンプ中央大会ポスター 2013[8] こりうるであろう攻撃に対する検知・防御策を提示する演習を行う。 授業の中では、それぞれに基礎となる考え方や専門的なツールの使い方、さらに実習までと濃縮 されたカリキュラムが用意されているが、例えば他のサイトの脆弱性を見つけてしまったときにど のような対応をすればよいか現実的なシナリオとリスクを鑑みながら議論されたり、講義によって は講師の中でも見解の分かれる事柄も敢えて扱うなど、表面的な知識の習得だけでなく、参加者自 身が自分なりに 考えなければいけない場面もあるそうだ。 プログラミング・コースはプログラミング言語クラス1つで、高度なソフトウェアを設計・開発 できる『可能性』がある若い人材を早期に発掘し、その可能性を現実のものに近付けていくため に、プログラミングの楽しさやソフトウェアを開発して広く活用してもらうことの喜びを理解する こと、および安全かつ信頼性の高い IT 化の進展について正しい知識を与えることが目的 として活 動した。プログラミング・コースではプログラミング言語クラスの 15 人が、プログラミング言語 処理系、ソフトウェア構成手法、性能改善手法などを学びました。2 日目の午前中でソースコード の読み方からデバッグ、ソースコード管理(Git)までひと通りのベースとなるノウハウを習得し、 Group Report of 2013 SISP - 28 - Group Number 4-A Investigation of security 午後からすぐに実践的な講義に移る。 初日に特別講義を受け持ったまつもとゆきひろ氏が引き続 き授業を担当するなど、カリキュラムの多くが Ruby 言語に割かれていますが、Ruby 言語による プログラミングを学習するというより、プログラミング言語がどのように作られ、どうすればその 性能を改善したり機能を拡張できるかを学ぶ題材として Ruby 言語が利用されている 。日本から 登場した Ruby 言語は、コアメンバーとして開発に直接関与している人材を講師としてアサインで きる利点もあり、またオープンソース系のソフトウェアの利活用では不可欠な開発コミュニティと の関わりについても学ぶことができる。個別課題のテーマとしては文法ハック、可視化・可聴化、 プログラミング言語の自作などがあり、実際に発表されたテーマは順に「2 重 for ループを 1 文で 表す文法の追加」 「Ruby にインクリメント演算子を実装」「(+) 演算子と 構文の作成」「トレースデータを用いた内部呼び出しの可視化」「Ruby のメソッド定義元を可視 化」 「Prelude の precompile」 「おれおれ言語 PRPR」 「変数スコープを持つ BASIC 言語 Scoped BASIC」「プログラミング言語 Headache」「拡張ライブラリ作成による高速化」「GADT in λΠ」 「シャミノ計算」「型付きラムダ計算での型推論」とある。 このように内容は非常に先端的なもの となっている。 キャンプの最後に三輪実行委員長は次のような挨拶でキャンプを締めくくった。「毎年の経験が 積み重なって、素晴らしいキャンプになりました。参加者のレベルも高く、技術力としてトンガっ た人が集まっている。そのすごい技術を、やはり仕事に使ってほしい。趣味で楽しむために教えて いるわけではありません。参加者のみなさんにお願いしたいのは、自分が社会に出てどんな仕事が したいかを具体的にイメージしてください。こういう仕事がしたい、こういう会社に入りたいとい う具体的なイメージを持ってください。日本の産業構造、とくに IT 系の産業構造は変えていかな いといけない。ぜひ、自分の技術力で、世の中を変えていってください。とは言っても腕一本では なかなか難しい。セキュリティの世界でも最近は攻撃者もチームになっていて、チーム戦が必要と される時代が来ています。セキュリティ技術者もプログラム開発者も協力して、腕一本にプラス仲 間。これで大きな力を発揮できる。そういうコミュニティを作ってください。」 図 4.12 はセキュリティキャンプでの集合写真である。今日ではソーシャルメディアを通じて、 毎回の参加者、卒業生、講師、キャンプを中心としたコピュニティは広範囲なものとなっている。 ここで参加して学んだ数はほんの数十人ですが、その背後には数多くのIT技術者を目指す学生が いて、その人らにとっても指針となるような存在でいてほしいという声もあった。 図 4.13 はセキュリティキャンプの過去実績である。セキュリティ・キャンプ(現セキュリティ・ キャンプ中央大会)は 2004 年開始以来、8 回の実施実績が応募者数も初年度と比べると植えてきて いる。いくつもの会員企業・団体とともに、日本のITを支える人材を発掘・育成をしてきている。 セキュリティ・キャンプキャラバンはこのような、セキュリティ・キャンプでの成果を広く多く の人に伝えるためにあるものだ。セキュリティ・キャンプの参加資格は「22 歳以下の学生・生徒」 ですが今回参加した「第 17 回北海道情報セキュリティ&セキュリティ・キャンプ・キャラバン in 北海道」は社会人の参加も可能になっている。実際参加してみて、社会人の方も参加していたの で、セキュリティ・キャンプ・キャラバンはよい宣伝活動になっていると考えられる。「第 17 回北 海道情報セキュリティ&セキュリティ・キャンプ・キャラバン in 北海道」ではセキュリティ・キャ ンプ全てにふれることはできませんが、ソフトウェア・セキュリティ・クラス担当の愛甲健二さん からおおまかな話しを聞くことができました。実際に最先端に立って活動している人の話をきけ ることは非常に刺激になった。第1回から第 16 階までの北海道情報セキュリティ勉強会には、セ キュリティ・キャンプ・キャラバンはついていなかったので、今回「第 17 回北海道情報セキュリ ティ&セキュリティ・キャンプ・キャラバン in 北海道」に参加できたことはプロジェクト学習を Group Report of 2013 SISP - 29 - Group Number 4-A Investigation of security 図 4.12 セキュリティキャンプ集合写真 [8] 図 4.13 セキュリティキャンプ中央大会過去実績 [8] 進める上で大きな収穫になった。セキュリティ・キャンプ・キャラバンもセキュリティ・キャンプ の紹介というだけあって、中身は先端的な内容であった。 北海道情報セキュリティ勉強会では、勉強会だけではなく、インターネット安全教室、ナイトセ ミナーなど1年にいくつもの活動をしているボランティアベースな団体である。図 4.14 はセキュ ポロのホームページである。 Group Report of 2013 SISP - 30 - Group Number 4-A Investigation of security 図 4.14 セキュポロホームページ [9] (※文責: 西村純平) 4.1.7 他大学の情報セキュリティ教育への主な取り組み 山口大学 情報セキュリティ・モラルという講義名で授業の狙いは社会生活の中で、情報や情報技術が果た している役割とそれらが及ぼしている影響を理解し、情報モラルの必要性や情報セキュリティに 対する責任を認識するとともに、望ましいユビキタスネットワーク社会の想像に参画しようとす る態度を身に付けることである。概要は情報の本質、暗号化と認証、情報セキュリティ、情報モラ ル、コンプライアンス、リスクアセスメント等についてい解説している。 次に情報リテラシー演 習という講義では教養教育から専門教育に至る授業・演習を受講している際に必要となる能力であ る Windows OS 上での電子メールの送受信、インターネットを利用した情報検索、情報倫理、 文書作成、表計算、プレゼンテーションなどの演習を行っている。概要は学内 IT サービスの利用 方法、自己所有 PC の管理方法、Word/Excel/PowerPoint の使い方を解説している。 東京電機大学 情報倫理という講義名で授業の狙いは、インターネット社会が抱える問題として、ネットワーク や PC への攻撃、詐欺、著作権やプライバシー侵害を取り上げ、それらの問題点を分析するととも に、保護と活用の両立を念頭に入れた対処方法を探る。二つの目的がある。一つ目は詐欺、ウィル ス感染、被害の実態攻撃者と攻撃方法、著作権やプライバシー侵害など、情報社会への脅威を正し く理解することである。二つ目はウィルス対策ソフト、ファイアウォール、暗号技術、情報管理な ど、技術的な保護の仕方を理解することである。 Group Report of 2013 SISP - 31 - Group Number 4-A Investigation of security 法政大学 セキュリティ概論という講義で授業の狙いは、セキュリティとは何かを理解し、セキュリティ技 術とコンピュータ技術やネットワーク技術との関係を学習し、ICT 技術に基づくさらに高度なセ キュリティ技術を学ぶ基礎とする。概要はセキュリティの歴史、重要性とインシデントの具体例、 暗号技術概論、電子署名、法律的側面から見たセキュリティ、侵入技術、フィッシング詐欺、実装 攻撃、DDOS 攻撃、防御技術等を開設することである。 セキュアシステム設計という講義名で授業の狙いは、セキュアな情報システムとするための原理 や手法を、ネットワークに接続されたシステムとネットワークの構成法について学ぶ。様々な攻撃 や内部漏洩を防止するためのネットワークやコンピュータシステムを実現するために、攻撃手法 と防御手法を理解し、初歩的なシステム設計ができるようになることを目標とする。概要は、コン ピュータシステム、ネットワークの仕組みの概要を学ぶ。次に、セキュアなシステムとは何かを理 解し、基礎となる暗号技術、認証技術を学び、それに基づいたセキュアプロトコルを理解した上で、 ネットワークを通じた攻撃技術と防衛技術を理解する。そして、具体的なセキュアネットワークシ ステムやコンピュータシステムの設計手法を学習する。 東京大学 情報セキュリティという講義名で授業の狙いは、暗号理論、ネットワークセキュリティ、コン ピュータセキュリティ、セキュリティマネジメントの基礎を学ぶ。とくに、安全性評価の考え方と 社会への普及を支える考え方を体得することである。概要は情報セキュリティの基本原則、情報セ キュリティの基本技術、ネットワークセキュリティの基本サイクル、情報セキュリティ管理の基 礎、応用例と社会を解説している。 学位は人類の歴史において普遍的な学問領域に貢献できる、という視点で創設されるものである と考えるため、情報セキュリティがそれに該当するのかを見極めることが重要である。 慶応義塾大学 情報セキュリティマネジメントという講義名で授業の狙いは、情報性キュリティについて概観 し、「情報セキュリティは多くの汎用技術のバランスをとり、守る範囲を減らす思考方法であるこ と」を理解することである。概要は、暗号技術、認証技術、セキュリティ問題、セキュリティ脆弱 性の具体例、情報セキュリティマネージメント規格など幅広い知識を学ぶ。セキュリティ分野の知 識を 1 手段としてもったうえで、多くのコンピュータやプログラムの知識を利用することにより、 目的としては情報セキュリティリスクのマネジメントの重要性を理解することに主眼を置く。 情報セキュリティ対策を疎かにしたことによって、どのような被害・損害が社会・企業等に発生 したのか、社会全体で共有・評価する仕組みが必要である。そのようなフィードバックがないた め、必要な人材像が見えてこないと考えている。政府は日本の安全確保・セキュリティをどう考え ているのか国民に向けて明確にする時代を迎えていると思う。情報セキュリティ教育はある時点に 行ったから終了というものではない。時代ごとに必要な知識は更新されるものであるから、情報セ キュリティ知識はスキルのクオリティーコントロールの仕組みがあると、一過性でなく、意味ある ものになると感じる。学位創設はブランディングに関わる。情報セキュリティを修めた人材が社会 で価値あることが認められるような社会的価値観の醸成や、情報セキュリティ人材の能力を識別す る認証の仕組みなどを整備することが先にあるべきだと思う。 Group Report of 2013 SISP - 32 - Group Number 4-A Investigation of security 中央大学 情報セキュリティ論という講義名で授業の狙いは、企業等の組織の一員になれば、必ず求められ る情報セキュリティ維持のための活用、規程等を、その背景・理由とともに理解する。概要は企業 活動及び個人生活を行う人、さらには企業などの組織で情報及び情報セキュリティ管理を行う人に 向けて、情報セキュリティの実務的な観点を説明する。 次に情報セキュリティ技術論という講義 で授業の狙いは、情報セキュリティアドミニストレータ試験取得程度の知識・技能の習得を目指す ことである。概要は情報ネットワーク論で獲得した情報ネットワークの知識を前提として、情報セ キュリティマネジメントについて学び、現在発生している様々な情報セキュリティ・インシデント (DDoS 攻撃、侵入および事前調査、権限の不正取得、不正実行、標的型メール攻撃など) について 解説したうえで、ファイアウォール、IDS などによる技術的な情報セキュリティ対策方法について 講義し実習する。 ネットワーク時代のセキュリティとガバナンスという講義がある。この授業の狙いは安全・安心 という観点から、サービス設計と構造、イノベーションを健全に促進するためのガバナンスのあり 方、更には、それを支える法制度について学習し、日々変化する状況における問題発見および問題 解決に向けた思考方法を身に付けることである。 概要はネットワーク時代の法制度、プライバ シーと法制度、オンライン ID マネジメント、ソーシャルメディアとビジネス戦略、クラウドコン ピューティング、コンテンツビジネスと著作権、イノベーションと規制、プロバイダ責任と法・IT ガバナンス、個人と企業のリスク管理などを説明することである。 情報セキュリティは実感が湧きにくい領域であることから、企業の現場を学生に触れさせるなど のインターンシップ機会などを情報セキュリティ領域に提供してもらえる仕組みを検討してもらい たい。 電気通信大学 この大学では、情報理工学部、総合情報学科内に、セキュリティ情報学コースを設置し、安全な 社会を目指し、情報セキュリティ技術の開発と応用を教育研究している。 教育の狙いは、情報社 会の実現に伴って新たに生じた「情報に対する脅威」に対して、安全性工場の技術、各種のシステ ムやサービスの設計能力と運用能力を備えた人材育成のための教育と研究を行うことである。ま た、暗号・認証技術などの安全性評価法、セキュリティシステム設計法、各種ネットワークの設 計・開発・運用方法、マルチメディア情報の処理・運用方法などを教材として、ネットワーク技術、 システム管理技術、セキュリティ技術なども学んでいる。 数学、アルゴリズム、サイバー脅威、 著作権、ハードウェアセキュリティ、回路の物理認証等の領域を専門とする 10 名を超える教員を 揃え、セキュリティ領域に関係する幅広い知識を提供可能とする教員体制を構築している。 ネッ トワークセキュリティ、ソフトウェアセキュリティ、コンテンツセキュリティ、実践セキュリティ 論、情報ネットワーク基礎などの科目がある。世間が、情報セキュリティ教育が重要であるという 声が高まったり、企業が新入社員に情報セキュリティ素養を求めるというのであれば、大学は取組 みやすいと考えている。現在設置している情報セキュリティ教育のカリキュラム内容において、学 位が創設されていない。新たに学位を創設するには、現在の内容に加えて、劇的に何らかの内容や 領域を加えるなど、理由が生じた時に検討することになる。その際には、教える側の教員や教わる 側の学生の双方にかなりの負担がかかることになり、学位創設する価値をきちんと社会に訴求する 必要がある。 Group Report of 2013 SISP - 33 - Group Number 4-A Investigation of security 青山学院大学 情報セキュリティという講義がある。この授業の狙いは IT マネジメントに関わる諸領域を順に 取り上げて、様々な様相についての理解を目標とする。経営戦略実現のための IT とオペレーショ ンのための IT を分けて取り扱う。 概要はテクノロジとは何か、情報とは何か、企業活動の中で の IT の課題、オペレーションズマネジメントと IT など、解説するとともにケース等の分析を行 うことである。 情報セキュリティは幅広い領域に関わるテーマであると認識されているものの、情報セキュリ ティに携わる研究者のテーマは専門特化している。このため、学会やシンポジウムも、専門特化し ており、他領域の交流が出来ていない状況にある。教育側も幅広い交流のなかで、人材育成が行わ れると良いと思う。 沖縄大学 この大学では、独立行政法人 情報処理推進機構 (IPA) 「IT パスポート試験」の出題範囲を 踏まえた講座を開設している。 「情報とシステム I」 「情報とシステム II」という講義がある。 授業の狙いは「情報とシステム I」においては、情報システムについて身近な例をあげ、簡単な説明 をすることができる人材の育成を目指す。「情報とシステム II」においては、ハードウェア、ソフ トウェア、情報倫理、情報セキュリティについて説明できる人材の育成を目指す。 概要は、「情 報とシステム I」では、コンピュータの歴史や情報の表現、コンピュータの基本的な仕組みについ て学び、身近な情報システムや PC への基本的理解を深める。「情報とシステム II」では、ハード ウェアおよびソフトウェア、情報倫理、情報セキュリティの信頼性について学ぶ。 早稲田大学 この大学では、「CompTIA Security + 入門」の出題範囲を踏まえた講座を開設している。 CompTIA Security +入門という講義がある。この授業の狙いは、情報セキュリティを、論 理的 (技術的)、物理・環境的、人的・組織的な側面から捉え、各側面に存在する脅威・脆弱性、セ キュリティ対策の概要を理解し、情報セキュリティの要素、用語の基礎的な説明および状況に応じ た基礎的なセキュリティ対策を立てることができるようになることである。 概要は、情報セキュ リティ技術、ネットワークセキュリティ技術などを説明することである。 公立はこだて未来大学 学位(システム情報科学)を設置している本校では、「情報セキュリティ」をそのカリキュラム 内のひとつの科目として扱っているため、情報セキュリティを軸とした教育体系及び教員体制も出 来ていない。 (※文責: 久米田祐介) 4.1.8 他大学の授業の成果 大学でその時点での最先端技術知識を教えたとしても、(セキュリティ技術の進化が速いことか ら)知識は陳腐化してしまう。そのため、普遍的な情報セキュリティの考え方や捉え方を教える講 義内容にしているため、卒業後に社会の情報セキュリティ界をリードする人材輩出になっていると 感じている(T(東京) 大学) 情報セキュリティは、テクニカル領域でなく、法律分野などの文 Group Report of 2013 SISP - 34 - Group Number 4-A Investigation of security 系領域にも関係するため、文系と理系の区別なく情報セキュリティを教える方向にあることは意義 があると感じている(KO(慶應義塾) 大学) セキュリティ技術の進化が速いことから、大学で学んだ知識は陳腐化してしまうため、普遍的 な情報セキュリティの考え方やインシデント解決力の習得を講座の狙いにしている。このため、社 会でセキュリティに対応できる思考を身につけた学生輩出ができていると感じている(DT(電気通 信) 大学) 座学だけの講義では、単なる知識のインプットであり、自分で知識を使いこなす十分なレベル に向上しないと考え、実習や演習形式の授業を取り入れている。このため、学生が自ら状況に応じ て考える力を養えていると感じている。 (TD(東京電機) 大学) 情報セキュリティの教育は、基本的な思想として、システムのアーキテクチャーを理解したう えで、システム設計できることに主眼がおいているため、ある領域に絞ったセキュリティ知識が習 得されるではなく、体系的な知識習得が促進できていると感じている。(本学) 文系学生の IT リテラシーや情報セキュリティスキル向上の実現に繋がった教育を行っている ため、社会に出て、最低限必要なレベルを習得した人材輩出が出来ていると感じている。(W(早稲 田) 大学) 各学部で不揃いになりがちな基礎教育であるものの、当校は統一カリキュラム・テキストに よって、統一的な情報セキュリティの基礎教育が出来ている。特に人文系の学生のリテラシー向上 に寄与出来ていると感じている。 (Y(山口) 大学) MBA コースにおいて、主に社会人学生向けに情報セキュリティ観点を取り入れた再教育を実 施している。これによって、自分が IT ユーザ企業にいる場合にベンダーとの情報セキュリティに 関するコミュニケーションギャップ解消に役立つものと感じている。(A(青山学院) 大学) 受講学生のコメント 企業の講師が実施する演習形式の(特別)講義はリアルであり、興味深い。(DT(電気通信) 大学) 実践的な事例を用いた授業は分かりやすい。(AG(青山学院) 大学、O(沖縄) 大学、TO(中央) 大学、W(早稲田) 大学) 最新のテクノロジに関連する授業(バイオメトリクスなど)は楽しい。(本学) ビジュアルコンテンツ(IPA のビデオコンテンツや、情報セキュリティに関連した映画)に 基づいた講義は理解しやすく、分かりやすい。(AG(青山学院) 大学、O(沖縄)大学、W(早稲田) 大学) 情報セキュリティに関連する実物機器(学内サーバールーム)の見学会は為になり、情報セ キュリティを身近に感じた。(W(早稲田)大学) 大学としてセキュリティ教育を実施するメリット セキュリティ教育コースや講座を設置していることから、情報セキュリティに興味を持ってい る高校生へのアピールにつながっている。(AO(青山学院) 大学、TO(中央) 大学、DT(電気通信) 大学、TD(東京電機) 大学、H(法政) 大学) 自分が担当するゼミや研究室の学生に関しては、 情報セキュリティ事業会社や IT ベンダー企業への就職は有効であり、苦労したという話はない。 (DT(電気通信) 大学、TD(東京電機) 大学 ) — (※文責: 久米田祐介) Group Report of 2013 SISP - 35 - Group Number 4-A Investigation of security 4.2 4.2.1 解決手順と評価 応用情報技術者試験 手順 10 月に応用情報技術者試験の応募をした。4 月から資格勉強を始めた。参考書を使って勉強し、 ネットで練習問題を解いた。 評価 応用情報技術者試験のために勉強して、受験してみた結果、セキュリティに関する基礎的な知識 は身についたと思うので、報告書にある企業の求めるセキュリティ人材にはなれたと思った。 (※文責: 久米田祐介) 4.2.2 岡山大学におけるセキュリティ教育 手順 本プロジェクトの担当教員と交流のある岡山大学の教員に、岡山大学で行われているセキュリ ティ教育を調査するために講義をお願いした。7月16日に本学で岡山大学で行われているセキュ リティ教育の講義を受けた。 評価 岡山大学ではプログラミングを用いてセキュリティ教育が行われていることがわかった。一方で 本学ではネットワークセキュリティという科目がある。この科目の授業の狙いは暗号の基礎理論と 技術、および暗号を使ったネットワークシステムにおける応用技術を身につけることである。概要 は情報セキュリティ基礎となる基本的な知識や技術について説明することである。その他にも情報 台数と符号理論という科目ではセキュリティに関する RSA 暗号を一部扱っている。 (※文責: 久米田祐介) Group Report of 2013 SISP - 36 - Group Number 4-A Investigation of security 第5章 5.1 まとめ プロジェクトの成果 北海道セキュリティ勉強会で企業が求めるセキュリティ人材を調査した結果、セキュリティに関 する知識はあると良いが、コミュニケーション能力を持っている人材を必要としていることがわ かった。これよりセキュリティに関連のある資格は持っていると良いがあまり必要としていないこ とがわかった。 (※文責: 久米田祐介) 5.2 中間発表会のアンケート結果 中間発表会において、聞いてくれた方々に対し実施したアンケートの結果を列挙する。 • 聞こえない • カンペを持ちながらスライドを見てしゃべるのはよくわからない • 発表内容が聞き取りにくかったです • もう少し声が通るように話した方がよいと思います • 質問に丁寧に答えていただきよかったです • あまりカンペを見ない方がいいかもしれない • 何をどう改良するのかわからなかった • 下を向きながら話しても声が通らない • お客さんに背中を見せないで • お客さんを見て話してください • スライドを読むのは良くないと思う • 紙を読んでいるだけ • 声が周りに負けていた・スライドにプロジェクト名とページ番号を入れた方がいいのではな いか • 少しさみしい • 原稿を見ない • もう少し大きな声で、ハキハキと言うともっと良いと思う • 何を伝えたいのか分かりづらい • 身振り手振りで発表するとよくなると思う • 聞いている人とアイコンタクトをとって、プレゼンした方が分かっているか、分かっていな いかなどが分かると思います • スライドは発表の補助に使うものだと思う • 元気がない • 言っていることは分かるが、何がしたいのかわからない • 頑張って何かやっているのは分かるが、理解できなかった Group Report of 2013 SISP - 37 - Group Number 4-A Investigation of security • 最終目的がよくわからず、実用性が分からなかった • 内容は良いのですが、前期に何をしてどういう成果を得られたか、少しわかりにくかった です • 前期に行ったことを踏まえて後期どうするかも欲しい • もう少し目的を明確にしてほしい • 目標設定、ゴール、計画、活動内容、それらの関係が分からなかった • 目標を達成するため自分たちが何をすればよいかはっきりさせよう • わからない用語がいくつかあったので説明がほしい • 場を仕切る人がいない • 技術だけをのせるのではなく、なぜこの技術をのせているのか、どのように使われるのかが 分からなかった • 成果があるのに対するものがないので何かあったほうがいいのではないか • 知識のない人にもよくわかるように、もう少しかみくだいて説明してほしかった • 成果発表というよりは語句の説明がメインで講義を聞いているような印象だった • 専門的な内容なので、見せ方を工夫しないとわからなくてもったいない • 後期の活動内容をもう少し明確に • セキュリティを極めてどうするのか前面におす • このプロジェクトで学びはなかったのか • 乗算器は複雑なものなので、もう少し分かりやすく、ゆっくり説明してほしかった • 説明が丁寧で分かりやすかった 5.3 成果発表会のアンケート結果 成果発表会において、聞いてくれた方々に対し実施したアンケートの結果を列挙する。 • 例などが含まれていて分かりやすく聞けた • 図もあり見やすいものだった • わかりやすかった • よくまとまっている • しっかりしていました • 声が小さくて聞き取りにくかった • 準備不足、紙を何度も見るのは恥ずかしい • 見にくいスライドがあった • 声が小さい • 何を伝えようとしているのかが分からなかった • 聞いている人の方を向いてお話ししてもらった方が、声がよく聞こえると思いました • リハーサルをもっとしてみてください • 前を向いて、もっと練習してほしい • スクリーンを指すなら、手で示すのではなく、道具を使うべき • 工夫とか大変だったこととか言えるともっといいと思う • とても見やすくわかりやすかった • 未来が楽しみ Group Report of 2013 SISP - 38 - Group Number 4-A Investigation of security • ポスターもスライドも字の量がかなり多くて、内容があまり分からなかった • 「情報セキュリティー」をこのプロジェクトがどうとらえているのか伝わってこないので、 内容も伝わらない • 最終的に何を目指しているのかがよくわからない • 意義が分かりづらかった • 専門用語が多すぎて理解できない • 目的がもう少しはっきりした方がよいと思った • 問題に対してどうしてこの方法で解決するのかわからなかった • 何を学んだのかを発表してほしかったです • 知識のない人向けではない • このプロジェクトのセールスポイントがいまいち伝わってこなかったです (※文責: 滝沢祐輔) プロジェクトにおける自分の役割 5.4 5.4.1 日永一輝 私はプロジェクト No.4「セキュリティを極めよう」のプロジェクトリーダー、また、グループ A 「セキュリティ人材調査グループ」のメンバーとして平成 25 年 4 月から平成 26 年 1 月までの間、 プロジェクト活動を行ってきた。以下はプロジェクト活動において私が果たしてきた役割と、その 報告である。 プロジェクトリーダーとしての役割 私がプロジェクトリーダーとして果たしてきた役割は以下のとおりである。 • プロジェクト全体の作業の進行度の把握 • 各種資格試験やセキュリティに関連したイベントの申し込みの期日と開催日の把握とメン バーへの伝達 • 報告書作成用ソフトの TeX の使用方法の講習会への参加 • 中間発表会と成果発表会で使用するポスターの製作用のプリンターの使用方法の説明会への 参加 • 中間報告書の各書類の作成、確認、提出 • 最終報告書の各書類の作成、確認、提出 セキュリティ人材調査グループメンバーとしての役割 私がセキュリティ人材調査グループのメンバーとして果たしてきた役割は以下のとおりである。 • 参考書を用いたセキュリティに関する勉強 • 岡山大学大学院自然科学研究科産業創成工学専攻の野上保之先生の講義への参加 • 第 17 回北海道情報セキュリティ勉強会&セキュリティ・キャンプ・キャラバン in 北海道へ の参加 • 本校に来校した市立函館高校の生徒に対するプロジェクト内容の説明 Group Report of 2013 SISP - 39 - Group Number 4-A Investigation of security • 中間発表会における発表用スライドの作成、メインポスターの作成、参加 • 成果発表会におけるメインポスターの作成、サブポスターの作成、参加 以下はプロジェクト活動において行ったことの詳細な報告である。 プロジェクト全体の進行度の把握 プロジェクト全体を統括する役目を持つプロジェクトリーダーとして、所属するセキュリティ人 材調査グループだけでなく、ハードウェアグループの目標、進行度や作業内容の把握を行った。そ の際、ハードウェアグループの活動を詳細に知るために、Quartus2 をインストールし、例題を解 いて知識をつけた。 各種資格試験やセキュリティに関連したイベントの申し込みの期日と開催日の把握とメンバーへの 伝達 グループメンバーに対し、セキュリティ関連イベントや各種資格試験、大学側への提出物などの 提出期限や申し込み期限について、万が一にも期限を過ぎてしまうことがないように全ての期限に ついて把握、それらの期日が近づいたときにメンバーへの伝達や申し込みの確認などの作業を行っ た。これにより、申し込むのを忘れてしまったというケースはプロジェクト活動中に一度も発生し なかった。 報告書作成用ソフトの TeX の使用方法の講習会への参加 報告書を作成するために必要なソフト「TeX」の使用方法を学ぶ講習会に参加した。講習会には プロジェクトメンバーのほとんどが参加、セキュリティ人材調査グループでは全員が参加した。こ れにより、私は TeX での報告書の作成が可能になった。 中間発表会と成果発表会で使用するポスターの製作用のプリンターの使用方法の説明会への参加 発表会で使用するポスターを印刷するためのプリンターの使用方法の説明会が工房で開催され、 プロジェクトメンバー 2 名とともに参加した。万が一プリンターを故障させてしまった場合、自分 たちのプロジェクトのポスターが印刷できないだけではなく、他のプロジェクトの方々にも迷惑を かけてしまうことになるため、使用する手順について聞き漏らしがないようにメモをとりつつ学 んだ。その結果、ポスターを印刷する際にも故障させることはなく、スムーズに印刷することがで きた。 参考書を用いたセキュリティに関する勉強 本グループの目的である、「セキュリティに関する各種資格試験やイベントは、セキュリティ人 材の育成に有用であるかどうかを調べる」という目的を達成する上で、有用であるかどうかを調べ るためには自身にセキュリティに関する知識が備わっていることが前提条件として存在すると考 え、セキュリティの参考書を用いた勉強を行った。 野上先生の講義への参加 平成 25 年 7 月 16 日に岡山大学大学院自然科学研究科産業創成工学専攻の野上保之先生に来校 いただき、岡山大学におけるセキュリティ教育についての講義をしていただいた。野上先生は有限 体理論や楕円ペアリング暗号などを研究している方で、当日は最近のセキュリティ事情や、攻撃の 手口とクラウドとの関係、暗号技術の概要、実装技術と数学の関係などについての講義が行われた。 Group Report of 2013 SISP - 40 - Group Number 4-A Investigation of security 一昔前にはユーザーとサービスは有線網を介してつながっていたため、物理的なユーザーの位置が 有線網により解析できることによって不正行為への抑制効果が働いていたが、現代社会ではユー ザーとサービスをつなぐものが無線網であるため、物理的なユーザーの位置の特定が困難になって しまった。そのために不正行為に対する別の対策が必要となった。現代では生活環境を様々なネッ トワークが取り巻いており、インターネットを利用することで銀行の利用や買い物、情報の発信な ども可能となっている。そして、それにつれて取り扱う重要な個人情報も増大している。また、イ ンターネット上に存在する脅威も生活環境を取り巻くサービスなどに合わせて変遷しており、2000 年にはスパイウェアやスパムメール、フィッシング詐欺などが問題になっていたが、2012 年には スマホアプリによる被害や遠隔操作ウイルス、ネットバンクの不正送金、標的型攻撃などが問題に なっている。こういった脅威に対し、いつでも、どこでも、だれでもがインターネットを利用でき るクラウド・ユビキタス時代において、情報漏えい問題、データの暗号化技術が重要であるとさ れ、より高度な暗号化技術と情報漏えい対策、認証技術の実現が急務であるとされた。そして暗号 を扱う上で重要となるのが、整数論や有限体理論を中心とした離散数学や、線形数学、代数学、代 数幾何学であり、岡山大学ではそれら数学からなるセキュリティの仕組みについての授業や、学生 にネットワークプログラミング実験を行わせるという授業によりセキュリティについての知識を深 めさせているということがわかった。 せきゅぽろへの参加 平成 25 年 10 月 5 日に北海道大学人文・社会科学総合教育研究棟で行われた第 17 回北海道情報 セキュリティ勉強会&セキュリティ・キャンプ・キャラバン in 北海道(通称:せきゅぽろ)に参 加した。北海道情報セキュリティ勉強会とは、北海道において情報セキュリティの勉強会を定期的 に開催することを目的とした勉強会コミュニティである。また、セキュリティ・キャンプ・キャラ バンとは、IT に対する高い意識を持つ学生に対し、情報セキュリティやプログラミングの高度な 教育を施すことで技術面、モラル面、セキュリティに対する意識などを持ち合わせた人材の育成、 発掘を目的とするセキュリティ・キャンプの出張版である。本来、セキュリティ・キャンプの参加 資格は「22 歳以下の学生・生徒」であるが、今回のイベントは社会人でも参加可能となっている。 また、セキュリティ・キャンプの参加資格に該当する者は参加料も無料となっており、より気軽に 参加できるようになっている。 午前 10 時からという早い時間からの開催であったため、前日のプロジェクトを欠席し、10 月 4 日のうちに札幌へ向かった。しかし、体調不良のため、午前の部には参加することができなかった ため、午後の部のみでの参加を行った。午後の部では、セキュリティキャンプ講師「ソフトウェア セキュリティ・クラス」担当の愛甲健二さんによる講義が行われた。講義では「バイナリ」や「ア センブリ言語」をテーマとして、セキュリティキャンプで取り上げる内容を取り扱っており、アセ ンブリ言語をより身近にわかりやすく学べるようにという配慮から、参加者がみんなで楽しめる アセンブラ短歌やアセンブラかるたやアセンブラテトリスというゲームの形式で講義が行われて いた。感想としては、参加者同士が互いに教えあうなどのこともできる雰囲気での講義であったた め、複雑な内容でもわかりやすく学べると感じたが、情報セキュリティ人材の育成に有用であるか どうかという観点から見た場合、前提としてある程度アセンブリ言語を知っているということが必 要な講義であったため、全く知識のない初心者が参加すべきイベントではなく、ある程度の知識を 持った人が参加してこそ有用なイベントであると感じた。また、せきゅぽろに参加していた企業の 方々 3 名に、それぞれの企業においての情報セキュリティ教育についてのインタビューを行った。 結果、セキュリティに関連した各種資格試験の取得に賞与を設けて社員の自主的なやる気を高めて Group Report of 2013 SISP - 41 - Group Number 4-A Investigation of security いるという企業と、自社で行われているセキュリティ教育の成果を力試しするという意味合いでセ キュリティに関する各種資格試験を受験させているという企業があった。いずれにせよ、企業では 資格試験はセキュリティ人材がセキュリティに対する知識をしっかりと有しているかどうかを測る ことに対して有用であるという認識を持っているということがわかった。 高校生のプロジェクト見学への対応 平成 25 年 10 月 11 日に市立函館高校の生徒がはこだて未来大学の見学に来た。それに際して、 セキュリティを極めようプロジェクトは見学に来た高校生に対してプロジェクト概要や活動内容、 進捗状況などについて発表した。事前に見学会の概要の説明会に参加し、高校生へ向けたプロジェ クトの紹介文を作成した。当日には、1 週間前に参加した第 17 回北海道情報セキュリティ勉強会 &セキュリティ・キャンプ・キャラバン in 北海道への参加において得られた情報を自分なりにま とめなおして発表した。終わり際に、高校生たちに向けて、「セキュリティに詳しい、もしくは興 味のある人はいるか」という質問をしたところ、誰一人として手を挙げなかった。また、「パソコ ンや携帯などの IT 機器を持っているか」という質問に対してはほとんどの生徒が手を挙げた。こ れらのことから、高校生の中にはセキュリティについて考えながら IT 機器を使用している人はほ とんどいないと思われる。 中間発表会への参加 平成 25 年 7 月 12 日に行われたプロジェクト中間発表会へ向けた準備と、プロジェクト中間発 表会への参加を行った。準備においては、中間発表会で使用するメインポスターの文章の作成と、 発表用スライドの作成を行った。メインポスターの印刷も担当することになっていたため、そのた めに事前にポスター製作用のプリンターの使用方法の説明会に参加した。中間発表会当日では、3 階モールにて後半の時間帯での発表を担当した。発表人数が 2 人であったため、全体の半分の発表 を担当した。結果として、評価シートに「声が小さくて内容を聞き取りにくかった。」という意見 や「ポスターやスライドに文字が多すぎて読みにくい。」という意見が多く見られ、発表という場 においては、内容だけでなく相手への伝わりやすさにも気を配らなければならないということを学 び、成果発表会に生かす点としてプロジェクト全体で共有した。また、多数の質問が聴衆から寄せ られたが、グループメンバーの考え方の違いや認識不足から、各々が似たような質問に対して異な る返答を行っていたことや、答えられずにわからないといった返答を行っていたことが明らかとな り、事前にプロジェクト活動の内容に対する認識を共通化しておくことや、個人が自分の中での疑 問をグループメンバーと共有して解決しておくことなどを反省し、成果発表会へ生かす点としてグ ループで共有した。 成果発表会への参加 平成 25 年 12 月 6 日に行われたプロジェクト成果発表会へ向けた準備と、プロジェクト成果発表 会への参加を行った。準備においては、成果発表会で使用するメインポスターの文章の作成と、サ ブポスターの文章の作成、全体のレイアウトの設定を行った。書いた文章は、メインポスターでは セキュリティ人材調査グループの概要の日本語部分を、サブポスターでは全体の文章を担当した。 サブポスターの全体のレイアウトを作成するにあたって、Adobe Illustrator CC を使用してポス ターを作成した。その際、Adobe Illustrator CC の使用方法がわからなかったため、情報デザイ ンコースに所属する学生から使用方法を学んだ。中間発表会の際、評価シートに「ポスターやスラ イドに文字が多すぎて読みにくい。」という評価が多く書き込まれていたため、写真や画像を活用 Group Report of 2013 SISP - 42 - Group Number 4-A Investigation of security したポスターを作成したいと考えたが、説明をより伝わりやすくする写真がなかったため、あえて 写真を載せず、文章の配置や空白の配置を工夫することで見やすいポスターを作成した。図 5.1 は 成果発表会で使用したポスターである。 図 5.1 成果発表会で使用したポスター 成果発表会当日では、3 階モールにて後半の時間帯での発表を担当した。発表部分としては、基 本情報技術者試験、応用情報技術者試験、情報セキュリティ初級認定試験の受験を行った結果、そ れらの資格試験が情報セキュリティ人材の育成に有用であるかどうかをメンバーとともにまとめた 内容を、理由とともに発表した。中間発表会の際、評価シートに「声が小さくて内容を聞き取るこ とができなかった。」という評価が多く書き込まれていたため、それを意識して、聴衆との距離を 詰めたり、メンバー全体でより大きな声を意識して発表を行った。結果、中間発表会のときよりも 声の小ささに関する評価は少なくなった。図 5.2 は成果発表会の様子の写真である。 報告書の作成 中間報告書の作成と、最終報告書の作成を行った。また、プロジェクト学習サイトへの報告書、 ポスターの提出を行った。本グループでは全員が TeX の講習会に参加したため、全員が TeX で の報告書作成が可能であるはずだったが、私以外のメンバーは TeX の使用方法がわからないらし かったため、各自が作成した文章を webmail や skype を通して受け取り、TeX での形に合わせて 作り直し、出力するという作業を行った。段落分けを思ったとおりに作ったり、エラーを解消する ことなどに悪戦苦闘したが、何とか報告書を完成させることができた。他のメンバーの文章にはイ ベントや資格試験のホームページからの文章の転載などが見受けられたため、注意を行い、自分で 考えた文章を作成してもらった。 Group Report of 2013 SISP - 43 - Group Number 4-A Investigation of security 図 5.2 成果発表会の様子 グループメンバーへの評価 提出する別書類において、グループメンバーへの評価を行ったが、書ける量に限界があったた め、私が書きたかったことをここに記す。 • 西村君は、その持ち前の明るさから、プロジェクト全体の空気を盛り上げてくれており、お かげで殺伐とした雰囲気の中でプロジェクト活動を行うことがなく、余計なトラブルを未然 に防いでくれていたと考えている。 • 久米田君は、グループの中で唯一、応用情報技術者試験への参加を行ってくれたおかげで、 グループでの調査が大きく進展した。 • 畑田君は、グループリーダーとして、毎週のグループ週報の提出や、情報セキュリティ初級 認定試験への参加などをこなしてくれていた。ときどき、私に指示を仰ぐ場面もあったが、 私を含めたグループの中で最も権限があるのはグループリーダーであるため、グループリー ダーを主体とした活動を行うべきではなかっただろうか。 • 滝沢君は、グループで話し合い、決定した事項の連絡などを積極的に行ってくれ、スムーズ なプロジェクト活動を行うことができた。 一年間ありがとうございました。 (※文責: 日永一輝) Group Report of 2013 SISP - 44 - Group Number 4-A Investigation of security 5.4.2 西村純平 私はプロジェクト No.4「セキュリティを極めよう」のグループ A「セキュリティ人材調査グルー プ」の一員としてこの 1 年間活動してきた。 前期の役割 前期グループ分けが行われてすぐは、ハードウェア班のことにも少し手をつけていた。Quartus をインストール後それを用いていくつかハードウェアについて学んだ。前期の大きな活動の内容 としては、IPA 主催のセキュリティ・キャンプへの申し込み、資格試験への申し込み、資格試験の 調査、セキュリティ関連イベントの調査を行った。こちらの班に配属されてから平成 24 年度内閣 官房情報セキュリティセンター委託調査「平成 24 年度情報セキュリティ人材の育成に向けた検討 報告書」の読み込みを行いそれをもとにこちらの班の活動内容を決めていった。この「平成 24 年 度情報セキュリティ人材の育成に向けた検討報告書」の内容によると資格試験が有効なのではな いかということから、自分たちでもいくつかの資格試験の受験を考えるようになった。IPA 主催 のセキュリティ・キャンプへの申し込みの他に、参加できそうなセキュリティ関連のイベントをグ ループメンバーと話し合いながら調査を進めた。また、岡山大学自然科学研究科電気通信系学科・ セキュア無線方式学研究室の野上保之教授の講演に参加した。内容としては岡山大学におけるセ キュリティ教育についての講義をしていただいた。実際の例をとりあげながらの興味深い講義だっ た。最近のセキュリティ事情であったり、岡山大学で実際に起きたこと、クラウド・ユビキタス時 代について、オークションについてなどなど。野上保之先生は有限体理論や楕円ペアリング暗号な ど、数学系の研究をされている方で、講義の内容はセキュリティ人材育成中心の話というよりか は、もっと広い意味でのセキュリティについて知ることができた。7 月 12 日に行われたプロジェ クト中間発表会では、これらのことをまとめて発表を行った。スライドの作成、メインポスターの 作成、発表の打ち合わせをメンバー同士で分担して行った。ポスター印刷のため、事前に行われて いたプリンタの使用方法説明会への参加をした。プロジェクト中間発表では、前半の発表を担当し た。後ほど評価シートの集計をしてみると、「声が小さくてわかりづらい」などの意見が多数あっ た。発表の場で自分たちの発表内容が伝わらないことは、とても致命的なことである。どんなふう にまとめたとしても伝わらなくては意味がないので、これを今回の反省点とした。発表の内容的に は、前期にできたことは少ないので、後期での活動内容を説明したものとなった。 後期の役割 後期の役割として、大きな活動は北海道情報セキュリティ勉強会への参加があげられる。平成 25 年 10 月 5 日北海道大学で行われた第 17 回北海道情報セキュリティ勉強会&セキュリティ・キャ ンプ・キャラバン in 北海道への参加をした。内容的にはセキュリティ・キャンプの紹介であった り、北海道大学の教授の講義であったり、実際にセキュリティ・キャンプで講師を務めていた講師 の方の講義であったりととても充実した内容であった。やはりセキュリティ・キャンプのキャラバ ンということもあって内容は先端的なものであった。後期に行われた成果発表会では主に第 17 回 北海道情報セキュリティ勉強会&セキュリティ・キャンプ・キャラバン in 北海道への参加につい て、各個人が受けてきた資格試験の有用性についてをまとめて発表を行った。今回もグループの人 たちとスライド、ポスター、発表内容の原稿作成を分担して行い、発表に向けて調整した。評価 シートの内容としては「声が小さくて、聞き取りづらい」という意見はなくなりはしなかったもの の、中間発表のときよりかは減ったと感じている。減ったとしても、聞き取りづらいと感じている Group Report of 2013 SISP - 45 - Group Number 4-A Investigation of security 方はいるので、これから声の大きさにはより一層注意が必要であると感じた。その他の意見として 「原稿を読むのははずかしい」というものがあったので、自分で発表を行う部分ではしっかりと内 容を把握していることが大事であると感じた。 (※文責: 西村純平) 5.4.3 畑田遼 私はプロジェクト No.4「セキュリティを極めよう」のグループ A「セキュリティ人材調査班」 のメンバーとしてプロジェクト活動を行ってきた。グループリーダー、グループメンバーとしての 役割・グループ週報・個人週報・TeX の講習会への参加・中間発表会、成果発表会で使用するポ スターの作成・中間発表会、成果発表会で使用するスライドの作成・中間発表会、成果発表会・セ キュリティ・キャンプの参加申し込み・岡山大学大学院の野上先生の講義への参加・市立函館高校 の生徒たちへのプロジェクトの説明・資格試験の勉強と受験 前期の活動期間では、自分が受験する IT パスポート試験と情報セキュリティ初級認定試験の試 験勉強、セキュリティ・キャンプやセキュリテイに関するイベントの調査を行った。他に、中間発 表に向けてスライド、ポスターの作成、発表後の報告書等を作成っした。後期の活動期間では、前 期から引き続き試験勉強をして試験を受けた。前期と同様に期末発表のスライド、ポスターの作 成、発表後の報告書等を作成した。 ・資格試験私は、2013年5月から試験勉強を開始して、10月16日に IT パスポート試験、 11月23日に情報セキュリティ初級認定試験を受験しました。試験の内容から IT パスポート試 験では、情報セキュリティが試験内容には含まれてはいるが実際に出題されるは1割のも満たいな いことがわかった。情報セキュリティの勉強をするには、情報セキュリティ初級認定試験のほうが 有効であるという結論を出すことができた。 ・中間発表会と成果発表会中間発表会、成果発表会は3階で行った。自分たちが受験してきた IT パスポート試験、基本情報技術者試験、応用情報技術者試験、情報セキュリティ初級認定試験に ついての説明や、企業はどのようなセキュリティ人材を求めているのか、情報セキュリティ人材に なるためにはどのようなことをすればいいかを説明した。中間発表会の発表後の評価シートでは、 「声が小さくて何を言ってるのかが聞き取れない」、「資料を見ながら話している」などというコメ ントが多く書かれていたので、中間発表会への準備不足を感じました。成果発表会では、中間発表 会の評価シートにかかれていたことを反省し、声の大きさなど発表の方法を改善することができた と思う。 ・岡山大学大学院の野上先生の講義本プロジェクトの担当教員である白勢先生と交流のある岡山 大学の野上先生の講義を未来大学でしていただきました。野上先生には岡山大学での情報セキュリ ティ教育について説明していただきました。他大学ではどのような情報セキュリティ教育がされて いるのかを知るいい機会になりました。 (※文責: 畑田遼) Group Report of 2013 SISP - 46 - Group Number 4-A Investigation of security 5.4.4 滝沢祐輔 概要 前期の活動では企業が求める情報セキュリティの実態について検討した。内閣官房情報セキュリ ティセンターの報告書曰く、大学の情報セキュリティにおける学習にはまだ不十分な点が多く、こ れらの報告書が本当に確かなものなのか、実際にイベントや資格試験に参加して確かめてみた。 前期 セキュリティキャンプの応募、22 歳以下を対象の 4 泊 5 日ので全国からハイレベルな学生を対 象にした。プログラミングを通して情報セキュリティの技術向上を目指している。また 7 月 16 日 に岡山大学大学院自然科学研究科産業創成工学専攻の野上保之先生に来校いただき、岡山大学にお けるセキュリティ教育についての講義をしていただいた。野上先生は有限体理論や楕円ペアリン グ暗号などを研究している方で、当日は最近のセキュリティ事情や、攻撃の手口とクラウドとの関 係、暗号技術の概要、実装技術と数学の関係などについての内容であった。 中間発表会 プレゼン 20 × 3 本行った。質問コーナーでは対応しにくい質問が出てきたので相手にわかって もらえるような説明を心がけていきたい。その後報告書作成用ソフトの TeX の使用方法の講習会 への参加 し、報告書の作成に取り組んだ。 後期 前期から引き続き試験勉強をして試験を受けた。平成 25 年 10 月 5 日に北海道大学人文・社会 科学総合教育研究棟で行われた第 17 回北海道情報セキュリティ勉強会&セキュリティ・キャンプ・ キャラバン in 北海道(通称:せきゅぽろ)に参加した。参加者はセキュリティ参考書が配布され た。11 月には資格試験にも参加してセキュリティ知識習得には何が必要なのかを確かめた。12 月 の期末発表会では乗算器の成果物と調査結果の報告を発表した。 (※文責: 滝沢祐輔) 5.4.5 久米田祐介 前期の役割 ハードウェア班での内容を理解するために QuartusII をインストールして、VHDL を用いて、 例題をいくつか解いた。 資格試験がセキュリティ人材の育成に有効かどうか、また資格勉強を通 して自分たちは実際に企業の求めるセキュリティ人材になれたのかということを理解するために、 で応用情報技術者試験への応募、勉強を行った。 また、セキュリティに関連のあるイベントに参 加するためにセキュリティキャンプへ応募した。 セキュリティキャンプ (2004 年度から毎年開 催) は、若い世代のセキュリティ意識の向上と優秀なセキュリティ人材の早期発掘と育成という最 初の目的に従い、これまで多くの将来有望な人材を輩出しており、セキュリティだけではなく、高 度な IT 人材育成の有益なイベントとして認知されつつある。目的として高度な IT 人材を発掘・ 育成する場の位置づけ、情報セキュリティを中心とした IT についての意識が高く、将来的に優秀 な IT 人材となりうる若い世代の参加者に対し、将来的に日本の IT 社会実現のための技術的な目 Group Report of 2013 SISP - 47 - Group Number 4-A Investigation of security 図 5.3 セキュリティの勉強に使用した書籍 標と高い技術習得への励み、および安全かつ信頼性の高い IT 社会の発展に貢献する正しい技術を 与えることとしている。次にセキュリティキャンプにおけるクラス別の実施内容を説明する。最初 にソフトウェアセキュリティクラスではマルウェア解析、脆弱性調査を通して、ソフトウェア全般 のセキュリティいついて学ぶとともに、脆弱性を悪用したり攻撃の原理、および防御・解析手法の 習得や、実際のソフトウェア、開発において脆弱性が作りこまれてしまう原因と対策に関する考察 や提案を、演習を通じて行う。Web セキュリティ・クラスでは、Web アプリケーションでいまだ 根絶できていない脆弱性であるクロスサイトスクリプティングを中心に、演習形式で調査・解析を 行うとともに、そのような脆弱性を本質的に作りこまない、もしくは作りこめないようにするため の考察や開発上の提案・試行を通じて行う。次にネットワークセキュリティクラスでは、ネット ワークの基礎知識を解説しつつ、パケットを自らの手で作成する。また、さまざまな攻撃内容を含 むパケットキャプチャファイルをはじめとする解析対象を用いた演習を行う。このパケットキャプ チャファイルには、標的型攻撃が行われた結果発生するトラフィックや、DNS スプーフィング攻 撃の結果発生するトラフィックをはじめとする、通常のインターネット利用では発生し得ないトラ フィックが多く含まれる。このようなデータを解析するに当たり必要なアプローチや考え方につい て、演習を通じて獲得できることを想定している。またネットワークセキュリティを考える上で欠 かせないインターネットプロトコルの詳細を、攻撃者の視点から説明したり、攻撃者の思考を知る ための通信偽装や、マルウェアが発生させる通信に関しても本クラスで扱う範囲としている。最後 にセキュアな OS を作ろうクラスでは各自テーマを決めて何らかのソフトウェアを開発する。テー マの目標とするところはセキュリティと OS が相互に関連するものづくりなので、これに関連した テーマとする。また、このような目的を達成するために必要なことは、次の 3 つがある。まず、OS Group Report of 2013 SISP - 48 - Group Number 4-A Investigation of security について興味があり、システムコールレベルのイベント駆動型のプログラムが作れること/作った 経験があること。次に OS が持つべきセキュリティについて何らかのアイディアを持っているこ と最後にセキュリティに関係するプログラム作成の景観がある/これからやりたいと考えているこ と。しかし、選考の段階の書類審査で落ちてしまった。 中間発表で使うポスターを作成した。ポ スターを作成する際には Mac でイラストレーターを用いて作成した。 前期中間報告書を書くた めに、Tex が必要だったので、Tex 講座を受けた。 岡山大学で行われているセキュリティ教育を 調査するために講義を受けた。 後期の役割 前期に引き続き、参考書を用いて資格勉強を行った。 内閣官房セキュリティセンターから送 られてきた情報セキュリティ人材育成に関する報告書に書かれている他大学で行われているセキュ リティ教育をまとめた。 資格試験がセキュリティ人材の育成に有効か調べるために応用情報技術 者試験を実際に受験してみて調査した。 期末発表で使うスライドを作成した。スライドを作成す る際には OpenOffice を用いて作成した。 (※文責: 久米田祐介) Group Report of 2013 SISP - 49 - Group Number 4-A Investigation of security 付録 A 活用した講義 • 科学技術リテラシ 報告書や参考文献の書き方を学んだ。 • 情報表現基礎 I 基本情報技術者試験、応用情報技術者試験において、出題範囲の内容について学ぶことに役立った。 • 情報処理演習 I 基本情報技術者試験、応用情報技術者試験において、出題範囲の内容について学ぶことに役立った。 • 情報処理演習 II 基本情報技術者試験、応用情報技術者試験において、出題範囲の内容について学ぶことに役立った。 • プログラミング基礎 基本情報技術者試験、応用情報技術者試験において、出題範囲の内容について学ぶことに役立った。 • アルゴリズムとデータ構造 基本情報技術者試験、応用情報技術者試験において、出題範囲の内容について学ぶことに役立った。 • ハードウェア基礎 基本情報技術者試験、応用情報技術者試験において、出題範囲の内容について学ぶことに役立った。 • ハードウェア設計 基本情報技術者試験、応用情報技術者試験において、出題範囲の内容について学ぶことに役立った。 • 情報ネットワーク 基本情報技術者試験、応用情報技術者試験において、出題範囲の内容について学ぶことに役立った。 (※文責: 日永一輝) Group Report of 2013 SISP - 50 - Group Number 4-A 参考文献 [1] 図録 パソコンとインターネットの普及率の推移, http://www2.ttcn.ne.jp/~honkawa/ 6200.html, (最終アクセス 2014/01/15) [2] 経 済 産 業 省, サ イ バ ー セ キ ュ リ テ ィ と 経 済 研 究 会 報 告 書, http://www.meti. go.jp/committee/kenkyukai/shoujo/cyber_security/006_03_00.pdf, (最終アクセス 2014/01/15) [3] 内閣官房情報セキュリティセンター, 平成24年度情報セキュリティ人材に向けた検討報告 書, http://www.nisc.go.jp/, (最終アクセス 2014/01/15) [4] 独 立 行 政 法 人 情 報 処 理 技 術 推 進 機 構, http://www.jitec.ipa.go.jp/, (最 終 ア ク セ ス 2014/01/15) [5] 独立行政法人情報処理推進機構, IT パスポート試験, https://www3.jitec.ipa.go.jp/JitesCbt/index.html, (最終アクセス 2014/01/15) [6] 財団法人全日本情報学習振興協会, 情報セキュリティ初級認定試験, http://www.joho-gakushu.or.jp/isb/, (最終アクセス 2014/01/15) [7] 野上保之, 岡山大学におけるセキュリティ教育と研究開発 講義用スライド [8] セキュリティ・キャンプ実施協議会, http://www.security-camp.org/ , (最終アクセス 2014/01/15) [9] 北 海 道 情 報 セ キ ュ リ テ ィ 勉 強 会, http://secpolo.techtalk.jp/ , (最 終 ア ク セ ス 2014/01/15) - 51 -