Comments
Description
Transcript
記者発表別添資料『セキュリティトップ人材の 迅速育成への提言』
2015.08.06 記者発表別添資料 大学連携を核とする 産学官連携サイバー空間戦略 セキュリティトップ人材の 迅速育成への提言 平成27年8月6日 東京大学 情報学環 寄付研究部門 SISOC 特任教授 安田 浩 CISSP [email protected] www.mpeg.im.dendai.ac.jp 2015.08.06 サイバーセキュリティトップ人材育成 安田 1 浩 00 2015.08.06 記者発表別添資料 日本のサイバーセキュリティ(CyS)における 課題と解決への提案 ① 人類が活用する空間の進化 陸 → 陸海 → 陸海空 → 宇宙 → サイバー → サイバー空間を支配する者が指導的地位を得る ② サイバー攻撃を防御できる人材が足りない CyS人材不足 → 高度CyS教育体制ならびにキャリアパスの強化 ② サイバー攻撃を防御する国産CyS技術がない 外国製技術では真の防御は不可能 → CyS技術開発環境の強化(費用・環境整備) ③ 国全体(特に産業界)のCySに関する意識が低い CySの強さが組織・活動評価を高めるとの意識無し → CySは文理融合マクロ活動であることを啓発 大学連携による「教育の強化と国への提言」体制が必要 2015.08.06 サイバーセキュリティトップ人材育成 安田 浩 01 2015.08.06 記者発表別添資料 T-CIRP養成プロジェクトの設立(案) 本 計 画 の 育 成 目 標 T-CIRPの育成: (高度専門家: インフラCIRTの責任者相当) CIRPの育成: 少数(数10人) Cyber Incident Response Professional (実践力のある専門家: CIRTの責任者相当) 年1000人以上 経営層・組織指導層のセキュリティ意識啓発 セキュリティエンジニアの育成 日本のセキュリティ 関連技術者26.5万人 16万人がスキル不足! 更に8万人不足! NISC サイバーセキュリティ 戦略 2013/6 より Top-Cyber Incident Response Professional Cyber Incident CIRT: Response Team セ キ ュ リ テ ィ 技 術 レ ベ ル TCIRP CIRP 世界的 トップレベル 人材の発掘 官民全体 で育成 年1,000人 Enlightened Leaders Cyber Security Engineers 新規育成 年1~2万人 スキル強化 年2~4万人 インフラ CIRT指揮 各組織の CIRT指揮 世論形成 & 基盤形成 育 成 タ ー ゲ ッ ト 一般市民 2015.08.06 サイバーセキュリティトップ人材育成 安田 浩 02 2015.08.06 記者発表別添資料 T-CIRP/CIRP養成のための取組 大学連携(CoU) CoU-CyS RC(案) CoU: Cooperation among Universities CyS: Cyber Security CoU-CyS RC: CoU-CyS Research Center 大学連携(CoU) CyS教育研究開発組織 CoU CyS政策 研究組織 CoU CyS教育 実践組織 CoU 協同利用演習用 サイバーレンジ 2015.08.06 サイバーセキュリティトップ人材育成 安田 浩 CIRT: Cyber Incident Response Team CIRP: Cyber Incident Response Professional T-CIRP: Top-CIRP 大学連携(CoU) CyS教育研究開発組織 構築の目的 サイバーセキュリティ(CyS)技術 について、我が国独自技術の研 究開発を積極的に行い、同時に 実用化した技術を活用する、TCIRP/CIRPの育成を行う。 03 2015.08.06 記者発表別添資料 CoU-CyS RCの活動内容(案) 最先端ICT国家を形成 安心安全社会ポリシー・技術の形成 CoU-CyS RC 安心安全サイバー空間の確立 サイバーセキュリティ免許制度の確立 政策 研究 サイバー機器の安全認定制度の確立 サイバーソフトの安全認定制度の確立 実践 教育 サイバー監査制度の確立 以上を実現する技術を重点技術として研 究実用化し、マイナンバーシステムの安 全化、オリンピックの安全化に資するとと もに、日本の中核新産業として育成する 協同利用演習用 サイバーレンジ 調査・研究会中心に運営 グローバルな現場で役立つ T-CIRP/CIRP人材を育成 内外学生・院生&社会人・女性等 誰もが参加可能なオープンコース 全講義科目 英語化100%目指す 1PF:サイバーセキュリティ基盤 2CD:サイバーデフェンス実践演習 3IN:セキュリティインテリジェンスと心理・倫理・法 4DF:デジタル・フォレンジック 5MG:情報セキュリティマネジメントとガバナンス 6DD:セキュアシステム設計・開発 連携大学すべてで講義実践・ 単位互換を実現 日本発高度サイバーセキュリティ(CyS)技術を持続的に研究開発 共同研究/実験グループ 共同研究/実験グループ 外部から随時募集 外部から随時募集 セキュアカーネルの研究 ITリスク評価技術の研究 2要素指紋認証の研究 脆弱性監査技術(CTF等実施) の研究 国際遠隔研究室構築の研究 セキュアスマートフォンの研究 ネットワークフォレンジックの研究 2015.08.06 サイバーセキュリティトップ人材育成 安田 浩 04 2015.08.06 記者発表別添資料 T-CIRP養成 大学連携の構築について *各大学はサイバー・セキュリティ講座を自主運用 *大学間共同利用施設として世界最高のサイバー レンジを設置・運営 *各大学はこの施設をインターンシップに利用 遠隔利用も可能とする *各大学のトップ講義と世界最高のセキュリティ技術 を実践することで、T-CIRPを育成する 日本発高度サイバーセキュリティ (CyS)技術を持続的に研究開発 大 学 連 携 単 位 互 換 東京大学 東京電機大学 情報セキュリティ大学院大学 兵庫県立大学 早稲田大学 慶応義塾大学 会津大学 奈良先端科学技術大学院大学 北陸先端科学技術大学院大学 ・・・・・・ インターンシップ 共同研究/実験グループ 外部から随時募集 セキュアカーネルの研究 共同実験 2要素指紋認証の研究 共同研究 セキュアスマートフォンの研究 共同研究 ネットワークフォレンジックの研究 共同研究 ITリスク評価技術の研究 共同研究 脆弱性監査技術(CTF等実施)の研究 共同実験 国際遠隔研究室の構築 共同実験 2015.08.06 サイバーセキュリティトップ人材育成 安田 浩 独 自 技 術 提 供 共同利用 演習用サイバーレンジ (CyRP)の構築 05 2015.08.06 記者発表別添資料 CoU-CyS RC (大学連携サイバーセキュリティ研究センター)の設立から派生する効果 具体的実施策(2) 具体的実施策(1) 実用的セキュアクラウド カーネルの提供 具体的実施策(3) セキュアハードウェア 国際標準制定 国際認定マーク付与 CyS管理基 準の設定と 管理組織の 設立が必要 CyS技術情 報の収集・ 分析・評価 とりまとめ CySポリシー の設定標 準手法の 策定と訓練 が必要 CyS国内政 策・世界情 勢の調査・ 分析・評価 とりまとめ マイナンバー対応を中心に据えた、 指導を伴う実施研究会の開催 具体的実施策(4) セキュアソフトウェア 国際標準制定 国際認定マーク付与 ソフトウェア本体ならびに検査方法に関する 基準作成と標準化必要認定機関の設立必要 ハードウェア本体ならびに検査方法に関する 基準作成と標準化必要認定機関の設立必要 具体的実施策(6) 産業界への 具体的実施策(5) 大学等教育機関への 現場提供 →学位取得基準の国際化 インターンシップ場設定 学位授与条件の策定 学位授与機関の認定 学位と免許との関係を 明確とする必要あり 2015.08.06 サイバーセキュリティトップ人材育成 安田 浩 CoU-CyS RC + 演習用サイバーレンジ(CyRP) (国産技術利活用) セキュアカーネル技術 2要素指紋認証技術 セキュアスマホ技術 等 CyRP: Cyber Range for Practice 実験場提供 →免許取得基準の国際化 トレーニング場設定 免許取得条件の策定 免許授与機関の設立 免許を必要とする 制度改革 06 2015.08.06 記者発表別添資料 サイバーセキュリティ教育戦略 全6科目 シラバス 1 PF 科目名 2 CD 3 IN 基盤技術 サイバーセキュリティ基盤 4 DF サイバーディフェンス実践演習 セキュリティインテリジェンスと心理・倫理・法 サイバーセキュリティを 深く 理解する前提として、アクセス制御・運用セ ローカルエリアネットワーク(LAN), ワイドエリアネットワーク(WAN)、 および セキュリティイン シデン トは、近年多岐にわたる知識により、その予防と キュリティ技術・暗号技術・OS仮想化技術・クラウド管理・ユビキタスセキュ アクセスネットワークについての、セキュリティ技術について深く 学ぶ。こ リティ・ハードウエアに関する脆弱性などの共通基盤技術に関して、知識 れら、ネットワークシステム への攻撃手法やその脅威、およびそれらの対 と演習を 通じて深い理解を 得る必要があ る。 策について議論する。 科目概 要 5 MG インシデントレスポンス、人的、社会問題 6 DD 情報システムと制度デザイン デジタル・フォレンジック 情報セキュリティマネジメントとガバナンス セキュアシステム設計・開発 捜査や裁判(刑事・民事)に必要な情報(たとえばサーバへの侵入経路 情報セキュリティの計画、設計・導入、運用・保守、見直しのPDCAサイ 脆弱なシステム に対する攻撃によっ て、社会的に大きな影響と被害 発生後の対策が必要になっ て来ている。 やメール発信者の真偽など)を 、情報処理技術を 用いて明らかにする技 クルを 実施する方法論として、国際標準にも なっ ている情報セキュリ が発生している。そのため、セキュアなシステム 設計・開発、脆弱性検 本講義は、イン シデン トの犯罪心理学・行動学・最新の手法・ログ や統 術や学問であ るデジタルフォ レン ジックは、CIO補佐、あ るいはCISO補 ティマネジメン トシステム (ISMS)があ る。 査とその対策は、重要性が増している。 計データの解析の概論を 学ぶ。ま た関連する倫理規定や法を 学び、イ 佐にとっ て今後非常に重要な技術になっ ているが十分な講義が行われ 本科目では、企業の事業継続における情報セキュリティマネジメン トと 本科目は、セキュアシステム 設計・開発論について、演習を 通して体 本講義では、セキュリティ基盤技術を 網羅的かつ系統的に学習すると ま た、それらの知識を も とに、セキュアなネットワークシステム を 、デザイ ン シデン トレスポン スの手法を 、グ ループワークにより実践的に、学習し ていない。 ガバナン スについて、ISMSを 中心としたケ ーススタディ(演習)で学ぶ。 得することを 目指す。前半では、プログ ラム 工程での脆弱性を 作り込 伴に最新事例を 演習を 通じて実体験すし、セキュアな情報システム 構築 ン する手法を 身につける。セキュリティ技術・攻撃対策・ネットワークデザイ ていく 。 捜査や裁判(刑事・民事)に必要な情報を 、情報処理技術を 用いて何 本科目の目標は、企業における情報セキュリティを 統括する、CISOに必 みで体験し、対策を 学ぶ。その後、セキュリティのターゲットとなるも の の知識と基礎力を 養う 。 ン のそれぞれについて演習を 実施し、セキュアな情報システム の設計・ が行われたかを 明らかにする、技術や学問であ るデジタルフォ レン ジッ 要な基本的な知識と能力を 修得することにあ る。 や、開発の前工程で脆弱性を 作りこま ないよう にする、プロジェクトマ 運用能力を 養う 。 クの考え方や基本技術を 習得するととも に、イン シデン ト発生時に適切 に対応できるよう にする。 ネジメン ト手法を 学ぶ。後半では、プロジェクト開始前の要求事項とし て何を 要求すれば後工程で脆弱性が発生しないかを 学び、コモン ク ライテリアを 一例として一般としての手法を 学ぶ。 最後に演習を 行い、工程ご とのセキュリティ対策のディスカッショ ン を 行う 。 修得で きる能 力 1 サイバーセキュリティ確保に関して必要となる各種技術の理解/ユビキ 通信ネットワークのセキュリティ確保に関して必要となる各種技術の理解 企業における情報セキュリティを 統括するCISO(Chief Information タス技術に関する知識/サイバー攻撃そのも のへの攻撃内容を 理解 /通信ネットワークを 用いた、あ るいは通信ネットワークそのも のへの攻 Security Officer/最高情報セキュリティ責任者)として必要な基礎知識と し、対策を 的確に選択・実施できる能力/セキュアな運用を 可能とする 撃内容を 理解し、対策を 的確に選択・実施できる能力/セキュアな運用 能力/イン シデン トへの基本的な対応能力(上級セキュリティエン ジニ デジタル・フォ レン ジックの考え方や基本技術を 習得し、個人情報漏え 企業における情報セキュリティを 統括するCISO(Chief Information セキュアシステム 設計論の修得/コモン クライテリアに基づく 保証 いや不正侵入などのイン シデン ト発生時に、応急対応を とれるよう にす Security Officer/最高情報セキュリティ責任者)として必要な基礎知識と と評価の実際について演習を 通して体得する/Webアプリケ ーショ るととも に、裁判に備えログ を 適切に収集、分析できるよう にし、必要な 能力/ISMSの継続維持を 可能とする社員教育の基本的能力/コン プ ン の脆弱性検査手法とその基本的な対策の能力 幅広い基盤知識 資料を 法的に問題ないよう に準備できるよう にする。 CISSP講座 暗号技術の基礎 2 を 可能とするネットワークシステム を デザイン する能力 セキュリティ入門基盤とCISSPイントロダクショ 講 総論:サイバーディフェンス実践 脅威の歴 ン 義 史から最新の脅威を踏まえながら 完全性・機密性・信頼性を 確保するための暗号化の原則・手段及 び方式/暗号技術の歴史/暗号方式・アルゴ リズム の原則・特徴 ア) 講 セキュリティインテリジェンス概論 義 インシデント情報の連携と報告書作成 講 義 演 習 コミュニケーション力、コーチング、チームビ ルディング 講 デジタルフォレンジック入門 義 ライアン スならびに監査に関する基本的能力 講 CISSP講座 義 情報セキュリティマネジメントとガバナンス ハードディスクの構造,ファイルシステム 講 総論:セキュアシステム設計・開発 義 企業戦略と社会的責任(CSR) 講 義 講 義 フォレンジックのための 演 OS,Windows概論 習 講 義 講 義 セキュアプログラミング ネイティブアプリケーション① 講 義 演 習 /公開鍵・共通鍵のアルゴ リズム /PKI、システム 上の暗号化アー キテクチャ/暗号への脅威等 3 4 CISSP講座 暗号技術の基礎 ・シーザー、エニグ マ / ・ブロック暗号/ストリーム 暗号 ・ハッシュ、乱数、鍵 / ・共通鍵暗号/公開鍵暗号 CISSP講座 暗号技術の応用 ・認証局/電子証明書/PKI / ・SSL/TLS マルウエアの歴史/解析環境 講 義 ソーシャルエンジニアリング技法 講 義 脆弱性検出技法(ファジング、リバースエンジ セキュリティ経済学 講 ニアリング) 講 義 義 内部統制 及び IT統制 フォレンジック作業の基礎 国際標準にみる情報セキュリティ 講 義 講 義 フォレンジック作業 データ保全 フォレンジック作業 データ復元 講 フォレンジック作業 義 データ解析① 講 フォレンジック作業 義 データ解析② 講 リスクマネジメントとリスク分析 義 講 リスクマネジメントとリスク分析 演習(ケース 義 スタディ) 講 情報セキュリティマネジメントの国際標準 義 (ISO27000)とISMS セキュアプログラミング 講 ネイティブアプリケーション② 義 演 習 セキュアプログラミング 講 Webアプリケーションン① 義 演 習 ・PGP デジタル署名 他 5 6 7 8 9 10 11 12 13 14 CISSP講座 セキュリティアーキテクチャ CISSP講座 アクセス制御 CISSP講座 ソフトウエアデベロップメント マルウエア解析演習① マルウェアの発見(検出手法)と表層解析 マルウエア解析演習② 動的解析とヒューリスティック検知 講 マルウエア解析演習③-1 義 静的解析(アセンブリ) 制御システム、組み込み機器のセキュリティ 演 マルウエア解析演習③-2 習 静的解析 演 CISSP講座 習 法・捜査・コンプライアンス 演 セキュリティ倫理 習 講 CSIRT(CSIRTの目的、意義、組織連携) 義 演 サイバー犯罪と心理学 習 CISSP講座 講 エクスプロイトライティング 演 企業の情報資産防衛と法制度・政策の交錯 ネットワークセキュリティ 義 習 ― 米国の例を参考に CISSP講座 講 エクスプロイトライティング 演習 演 データプロテクションと国際訴訟 物理セキュリティ 義 習 CISSP講座 講 脆弱検出方法(Webアプリケーション、スマー 講 サイバーセキュリティと通信の秘密 運用セキュリティ トフォン) 義 義 ユビキタス技術とセキュリティ 講 脆弱検出技法(Webアプリケーション、スマー 演 セキュリティコンサルティング概論とその技法 義 トフォン) 演習 習 (事例を踏まえたケーススタディー) Unix,LinuxOSのセキュリティアーキテクチャ 講 サイバーセキュリティ実践演習 演 インシデントハンドリング (SELinux含む) 義 (CTF) 習 ワークショップ① モバイルOSとセキュリティ セキュリティ基盤総合 15 16 履修 資格 (前提) 評価 方法 講 義 講 義 講 サイバーセキュリティ実践演習 義 (CTF) 攻撃の検知、解析(IDS/IPS/相関分析・ 講 SIEM) 義 演 インシデントハンドリング 習 ワークショップ② サイバーインテリジェンスvs 演 セキュリティインテリジェンス総括発表会 習 講 義 講 義 講 義 講 フォレンジック作業 演 義 演習 習 講 ネットワークフォレンジック(攻撃法,マルウェ 講 義 ア,ログの取り方),Webの構造2 義 講 上記の演習 演 義 習 講 代表的な対象におけるDFの方法① 講 義 義 代表的な対象におけるDFの方法② 演 講 習 義 法リテラシーと法廷対応 演 講 習 義 デジタルフォレンジックの今後の展開 演 講 習 義 情報セキュリティポリシー 情報セキュリティ監査 情報セキュリティ監査 演習 インシデントレスポンス演習① インシデントレスポンス演習② CISSP講座 事業継続と災害復旧の計画 リスクコミュニケーション 演 習 講 義 講 開発手法 コモンクライテリアの評価方法 義 論および演習(ケーススタディ) セキュアプログラミング 総合 演 セキュアな開発のライフサイクルと脆弱性 習 を作りこまない開発 演 習 演 習 講 義 演 習 総合演習試験 最終論述試験 ネットワーク、OS、セキュリティ関連技術に関する学 部卒業レベルの知識を有すること 分散処理、コンピュータネットワーク、TCP/IPおよび セキュリティ関連技術に関する学部卒業レベルの知 識を有すること UNIX系OSの操作に習熟していること プログラミング経験を有すること アセンブリ知識を有していること(x86) 1PF サイバーセキュリティ基盤の先修を推奨する. 1PF サイバーセキュリティ基盤の先修を推奨する. 1PF サイバーセキュリティ基盤の先修を推奨する. 5MG 情報セキュリティマネジメントとガバナンスの先 学部卒業程度の情報セキュリティに関する基礎知識 3IN セキュリティインテリジェンスと心理、倫理、法 修または同時履修を推奨する. を前提とする の先修または同時履修を推奨する. 学部卒業程度の情報セキュリティに関する基礎知識 学部卒業程度の情報セキュリティに関する基礎知 を前提とする 識を前提とする 1PF サイバーセキュリティ基盤の先修を推奨す る. 学部卒業程度の情報セキュリティに関する基礎知 識を前提とする 基本的なプログラミング能力,基礎的な HTML/DBの知識を前提とする ・ 試験 50% ・ 講義中に行う演習の成果とその報告 50% ・ 講義中に行う演習の成果とその報告 ・ 試験 50% ・ 講義中に行う演習の成果とその報告 50% ・ 講義中に行う演習の成果とその報告 ・ 講義中に行う演習の成果とその報告 最終論述試験 演 習 講 義 演 習 演 習 講 義 最終論述試験 2015.08.06 サイバーセキュリティトップ人材育成 安田 浩 総合演習試験 ISMS演習 講 セキュアプログラミング 義 Webアプリケーション② 演 セキュアインフラ構築(ネットワーク) 習 講 セキュアインフラ構築(サーバ) 義 演 セキュリティ脅威分析 習 講 セキュリティ脅威分析 演習 義 講 プロジェクト・マネジメント 演習 義 演 セキュリティ要求仕様と分析手法 習 演 セキュリティ要求仕様と分析手法 演習 習 演 開発手法 コモンクライテリア 習 (ISO/IEC15408) ・ 試験 50% ・ 講義中に行う演習の成果とその報告 50% 総合演習試験 07 2015.08.06 記者発表別添資料 演習用サイバーレンジ(CyRP)構想 CyRP: Cyber Range for Practice 大学間共同利用 全国共同利用施設CySRC内 ⑦ Dell PowerEdge R630 CyS: Cyber Security 外部 (国内/外)大学・教育機関 ⑫開発中 CyS関連 ソフトウェア A大学端末 ・・・ ⑩汎用各種 CyS関連 ソフトウェア 搭載 ⑧ 管理サーバ ・ ・ ・ 搭 載 被攻撃PC/サーバ (物理:実機) N大学端末 ・・・ ⑨Cisco ASA5545X インター ネット ・・・ VPN接続用 ファイアウオール /ルーター ⑤ Cisco Catalyst 3750X 収容 筐体 ⓪ 設計 構築 ⑪ 大学以外の組織内教育機 関 ・・・ 既存技術の演習担当部分 新技術による演習と 研究開発担当部分 2015.08.06 サイバーセキュリティトップ人材育成 安田 浩 ⑬ 建屋 & システム 整備 端末 T-CIRP 育成機関 による利活用 T-CIRP: TOP Cyber Incident Response Professional L3SW (1GbE:VLAN 演習用ネットワーク /管理/操作用 ネットワーク) ④ Dell PowerConnect SAN Switch N4032F ⑥ Cisco ASA5515X 演習環境用 ファイアウオール/ ルーター ②Dell PowerEdge R630 高速コンピュータB (演習管理システム) ① Dell PowerEdge R630 SAN SW(10GbE/iSCSI) EqualLogic ③Dell PS6210XS 高速ストレージ装置(13TB) 高速コンピュータA (演習用仮想基盤) 疑似インターネット 08