Comments
Description
Transcript
IT K での経験から IT Keysでの経験から
情報セキュリティ技術者・実務者育成への提言 IT Keysでの経験から K での経験から 砂原秀樹 慶應義塾大学大学院 メディアデザイン研究科 [email protected] 1 IT Keys プログラム 文部科学省 平成19年度「先導的ITスペシャリスト育成推進プ ログラム」 ログラム – 社会的ITリスク軽減のための情報セキュリティ技術者・管理者育成 – IT Keys (IT specialist program to promote Key Engineering as securitY Specialist) 情報セキュリティ対策の立案遂行を主体的に実施しうる 実務者の育成 2 IT Keysが目指す実践型人材の育成 総合的知識 経験的知識 状況分析・立案 法律・政策・経営 組織連携 最新情報収集 組織連携、最新情報収集 経験と実施 実践能力 危機対応訓練 実践的セキ リ 実践的セキュリティエンジニア ジ 体系化された基礎知識 ネットワーク技術 セキュリティ技術 情報理論 3 3つの知識の獲得(科目群) 総合的知識 経験的知識 先進科目群 実践科目群 情報セキュリティに関する最新 知識と法律面 倫理面 経営面 知識と法律面・倫理面・経営面 などの実務に必要な知識 繰り返しセキュリティインシデン トを体験する とによる経験的 トを体験することによる経験的 知識、現場での実践的知識 必修(2科目4単位) (2科目4単位以上) 実践的セキ リ 実践的セキュリティエンジニア ジ 体系化された基礎知識 基礎科目群 セキュリティ技術を体系立て て理解するためのネ ト て理解するためのネット ワークを中心としたコン ピュータサイエンスの知識 2科目4単位以上 IT Keysにより期待される効果 実践的実習による経験と勘の習得 最新技術知識 獲得 最新技術知識の獲得 法律・経営・政策・倫理的知識の習得 プ グ プログラムの公開と評価 – – – – 社会(企業・官公庁・大学)の要請の吸収 プログラムの評価と改善 コース利用者の確保 人材の就職先の確保 人的ネットワークの形成 5 情報セキュリティ運用リテラシー(座学) 京都大学、北陸先端科学技術大学院大学、奈良先端科学技術大学院大学、大阪大学 京都大学 北陸先端科学技術大学院大学 奈良先端科学技術大学院大学 大阪大学 中之島キャンパス(講義会場)を結んだオンライン講義を実施。技術的知識だけでなく、 社会的背景を考慮した情報セキュリティリスクマネジメントについての理解を目指す 6 平成23年度 1. 情報セキュリティ運用リテラシー 猪俣敦夫 奈良先端科学技術大学院大学 – 2. 永見健一 (株)インテック・ネットコア取締役CTO – 3. 企業・組織で業務を適切に実行していく上で必要な知識とセキュリティ管理で必要なTipsを紹介し、体系化を目指す 丸山 満彦 監査法人トーマツ – 9. 昨今のサイバー犯罪事例をもとに裁判の判例などを紹介し、法律という視点からセキュリティマネジメントについて学ぶ 歌代 和正 JPCERT/CC 代表幹事 – 8. マルウェアに感染する悪性サイト情報の現状とスマ トフォンにおける脆弱性について学ぶ マルウェアに感染する悪性サイト情報の現状とスマートフォンにおける脆弱性について学ぶ 高橋 郁夫 IT法律事務所 弁護士 – 7 7. 企業を取り巻く情報セキュリティの現状と課題について知る 高橋 竜平, 横山 恵一 エヌ・ティ・ティ・コミュニケーションズ株式会社 エンジニア - 6. インターネットで利用されている認証基盤のリスクを実例を取り上げて、その脆弱性と対策について学習する。現代の情報社 会において、リスクを考慮した本物のセキュリティの在り方を模索する 小山 覚 (株)NTTPCコミュニケーションズ (株)NTTPCコミ ニケ ションズ 執行役員 - 5. インターネットの現状やその構造を振り返り、世界そして日本のネットワーク統計情報を交えながら現状のインターネットの在り 方と問題点についての把握と理解 高木 浩光 産業技術総合研究所 – 4 4. 情報セキュリティリスクマネジメント、ISMS、国際標準、暗号危殆化問題、 情報セキュリティと法について、IT Keysコースウェア プログラムを受講するにあたっての基礎知識の習得 IT内部統制について理解するために、財務報告の信頼性評価とIT内部統制について学習する。さらにIT内部統制の枠組みで ある「COBIT」について取り上げ、現状の問題点から議論する 占部 浩一郎 内閣官房内閣審議官・情報セキュリティセンター副センター長 – 大学院生に知っておいて欲しい日本の情報セキュリティ政策について学ぶ 最新情報セキュリティ特論(座学) 初等代数論から楕円曲線暗号など基礎から応用まで含めた暗号に関する理論的知識 を習得する。また、ネットワークセキュリティとして基礎技術から運用者視点からのマ ネージメント技術など幅広い知識の習得をめざす 8 最新情報セキュリティ特論 1 宮地充子(北陸先端科学技術大学院大学) 1. – 代数論の基礎、公開鍵暗号、デジタル署名の理論的仕組み、楕円曲 線暗号の安全性について 主に暗号理論の習得を目指す さらに 線暗号の安全性について、主に暗号理論の習得を目指す。さらに、 Mathematicaを利用して、暗号プロトコルの実装を行い、その仕組みを 理解する 2.岡部寿男(京都大学)、上原哲太郎(現 総務 省)、高倉弘喜(現 名古屋大学) – IDS、ファイヤーウォールの仕組み等、ネットワークセキュリティ技術を 学ぶにあたり、必須となる基礎知識等を習得し、ネットワークにおける 管理技術とセキ リテ 攻撃の振る舞いの基礎に いて学習し 運 管理技術とセキュリティ、攻撃の振る舞いの基礎について学習し、運 用者・管理者としてその障害対応や対策手法を体系的に習得すること を目指す 9 実践科目群(演習) 無線LANセキュリティ リスクマネジメント演習 日時: 2011/9/15-9/16(1日短縮:最新情報セキュリティ特論とセットでの実施) 場所: NICT北陸リサーチセンター:石川県能美市 担当:門林雄基、篠田陽一、NICT北陸リサーチセンター IT危機管理演習 日程: 2012/2/21-2/24 場所: 慶應義塾大学:神奈川県横浜市 担当:JPCERT/CC、NTTコミュニケーションズ、LAC インシデント体験演習 日程: 2011/7/2-7/3 2011/7/2 7/3 場所: 大阪大学:大阪府吹田市 担当: 大阪大学 日程: 2011/9/28-9/30 場所: 京都大学:京都府京都市 担当:NPO法人 情報セキュリティ研究所、和歌山大学、京都大学 システム攻撃・防御演習 シ テ 攻撃 防御演習 / シ システム侵入演習 テ 侵入演習 日程: 2011/7/23-24 ・ 2011/11/19-20 場所: 大阪大学:大阪府吹田市 担当: 大阪大学 インシデント体験演習@北陸 独立行政法人 情報通信研 究機構(NICT)北陸リサ チ 究機構(NICT)北陸リサーチ センターの大規模汎用ネット ワ ク実証実験施設 ワーク実証実験施設 StarBEDを用いたセキュリテ ィテストベッド上で、現実的な 規模と複雑さを持つサイトへ の様々な攻撃と、それらに対 する監視 分析 防御 回避 する監視・分析・防御・回避・ 復旧等の技術を習得 特徴 – 本物のコンピュータウィルスの 検体を用いたサイバー攻撃の 仕組みを実践的に体験するこ とが出来る 11 インシデント体験演習@北陸 12 IT危機管理演習@京都大学 実際に起きうるインシデントとその事後処理について、情報シ ステム管理者の立場でのロールプレイング形式での演習を ム管理者 立場 プ イ グ 式 演習を 行う – グル グループごとに仮想組織のネットワーク部署担当者として、各種障害 プごとに仮想組織のネットワ ク部署担当者として 各種障害 などの技術対応だけでなく想定外の危機管理への対応など幅広い実 践的な業務を体験し、運用者として様々なリスクへ対応できるようにす ることを目指す 13 IT危機管理演習@京都大学 実習オペレーションセンター by 情報セキュリティ研究所、和歌山大学 受講生によるインシデント対応の場面 14 リスクマネジメント演習@東京 本年度は震災の影響により2012 年2月に実施予定 不正攻撃やボット等の悪意のある プログラムの振る舞いを、機械語 レベルで仕組みを理解し、稼働中 のシステムから問題を早期に発 見するためのテクニックについて 、その経験的手法を学ぶ 15 リスクマネジメント演習@東京 外部機関で演習を行うために、受講生自身にNDA(秘密保持契約)を理解させ、 誓約書を記載してもらった上での実施 リスクマネジメント演習@東京 企業見学会の実施 – 平成22年度実施企業 NTTコミュニケーションズ(株) セキュリティオペレーションセンタ NTT武蔵野研究所 LAC株式会社 JSOC – 各所において活発な質疑応答等、受講生の関心の高さ 各所において活発な質疑応答等 受講生の関心の高さ 学生と業界関係者との交流会 17 3つの演習@大阪大学 無線LANセキュリティ演習 システム攻撃 防御演習 システム攻撃・防御演習 システム侵入演習 – インタ インターネット上に潜む様々な攻撃を体験し、実際に自らがネットワー ネ ト上に潜む様々な攻撃を体験し 実際に自らがネ トワ クを構築する上での脆弱性を発見し、今後の対策を検討する 18 受講生の選抜 平成20年度 奈良先端大 大阪大学 京都大学 北陸先端大 合計 平成21年度 奈良先端大 大阪大学 京都大学 北陸先端大 合計 希望者10名 希望者9名 希 者 名 希望者9名 希望者20名 希望者48名 決定者6名 倍率1.67 決定者6名 決定者 名 倍率 倍率1.50 決定者6名 倍率1.50 決定者6名 倍率3.33 決定者24名 倍率2.00 各大学にて、希望者の選抜を実施 各年度4月の講義開始直前に行われるガイダン スにて案内を行い 希望者に対して 動機などを スにて案内を行い、希望者に対して、動機などを 記載してもらうアンケートおよび面談を実施 (数学の試験などのスクリーニングを実施している 大学もある) 平成22年度 奈良先端大 大阪大学 京都大学 北陸先端大 合計 希望者8名 決定者5名 倍率1.60 希望者7名 決定者6名 倍率1.16 希望者7名 決定者6名 倍率1.16 希望者6名 決定者5名 倍率1.20 希望者28名 決定者22名 倍率1.27 希望者16名 希望者10名 希望者15名 希望者 名 希望者16名 希望者53名 決定者6名 決定者6名 決定者6名 決定者 名 決定者6名 決定者24名 倍率2.67 倍率1.67 倍率2.50 倍率 倍率2.00 倍率2.21 大幅に増加 平成23年度 奈良先端大 大阪大学 京都大学 北陸先端大 合計 希望者7名 希望者16名 希望者10名 希望者12名 希望者45名 毎年、修了生による評価、および 本プログラムの成果により、受講 生の希望者が 決定者6名 決定者6名 決定者6名 決定者6名 決定者24名 倍率1.17 倍率1 17 倍率2.27 倍率1.67 倍率2.00 倍率1.88 19 平成23年度 課題演習の実施 課題:A市では、今後、新たに市のサービスとし てスマートフォン用のアプリケーションを提供し、市 てス ト ン用のアプリケ シ ンを提供し 市 民にとって便利なサービスを提供したいと考えて いる。各自、本サービス提供のための主担当に任 命されたと想定し 次ページに指示された内容を 命されたと想定し、次ペ ジに指示された内容を もとに新たな情報セキュリティ方針(各種基準)を 策定し、様々なセキュリティインシデントを考慮し、 想定されるリスクとその対策について自由に論じ て欲しい 欲 A市が目指したいこと ・クラウドを利用したコスト省力化 ・大幅な節電対策 ・ペーパーレス化 ・全職員へのAndroid端末の提供 市民 提供 ・市民へのAndroidアプリの提供 ・税金の申告あるいは支払いのオンライン化 ・それ以外にも自由に考えてみて欲しい 課題キーワード 個人情報管理 住民 個人情報管理、住民 基本台帳、情報公開、 情報開示、条例、 ISO27001/ISMS セ ISO27001/ISMS、セ キュリティポリシ、情報 セキュリティ対策基準、 情報セキュリティ実施 手順、情報セキュリ ティ管理基準、リスク 評価 情報セキュリ 評価、情報セキュリ ティ監査 課題演習の期間 約2ヶ月 課題演習の期間:約2ヶ月 20 PBL教材作成と活用 PBL教材作成 – 講義ごとにビデオ映像を収録 し、NAIST電子図書館にて提 供中の授業アーカイブシステ ムへ随時登録 授業ア カイブの活用 授業アーカイブの活用 – 受講生は好きな時間に好き な形態で講義を復習すること が出来る – 講義を見直すことで受講生自 身での問題解決能力の育成 Flash版によるコンテンツ (最新情報セキュリティ特論のコンテンツ一例) 21 修了認定証 IT Keys修了要件 – – – – 基礎科目群:2科目4単位以上 基礎科目群 2科目4単位以上 先進科目群:全科目(2科目4単位) 実践科目群 科目 単位以 実践科目群:2科目4単位以上 各大学院において実践的な情報セキュリティ問題に関連した課題研究もしく は修士研究を習得すること 修 証授与式 2012/3/15予定 修了証授与式 定 22 公開と成果 公開 奈良先端科学技術大学院大学総合情報基盤センター電子図書館「 奈良先端科学技術大学院大学総合情報基盤センタ 電子図書館「 授業アーカイブシステム」による公開 国立情報学研究所「いつでもどこでも学べるポータルサイト(次期 edubase cloud)」による授業アーカイブの公開 成果 – 社会(企業・官公庁・大学)の要請の吸収:各演習実施による機関毎の密 接な連携体制の確立 – プログラムの評価と改善:文部科学省による中間評価により4段階中最 高の評価 – コース利用者の確保:4大学全体の平均競争倍率(例年増加)の実績 – 人材の就職先の確保:実地演習による経験を活かし、修了生の就職実 就 確保 実 演 経験を 修 就 実 績(進路確定率)95%(就職65%:進学30%) – 人的ネットワークの形成:ISSスクエアとの連携(演習の共同実施や遠隔 人的ネットワ クの形成:ISSスク アとの連携(演習の共同実施や遠隔 講義)や学生主体のセキュリティコミュニティの形成 これからの情報セキュリティ教育 サーティフィケートとブランディング – 学位、免許、資格等 人的ネットワークの構成と活用 – 教育側: 日本でのインターネット構築に携わった人的ネットワークの成果 (IT Keys, ISS Square) – 学生側: プログラム修了後のネットワーク 自己学習、関係コミュニティでの勉強会等 一つの考え方 – 大学連合での教育 スタ トレベルをそろえる スタートレベルをそろえる 深い教育 繰り返しによる実践演習 – プログラム修了後のネットワークと自己研鑽 プ グ 修 後 学会等でのフォローアップ 認定制度、更新等 27