オフィスや家庭で使われるインターネットから、交通や通信などの社会的インフラの制御まで、ITシステムへの依存を高める現代社会。そこでは、コンピュータウィルスを使った情報の窃盗やPCの遠隔操作、不正アクセスなどさまざまなサイバー攻撃が日常的に行なわれている。我々はこのような時代をどう生きるべきなのか。東京電機大学教授で内閣官房情報セキュリティ補佐官を務める、セキュリティ技術研究の第一人者、佐々木良一氏に聞いた。

東京電機大学　未来科学部　情報メディア学科　教授　佐々木　良一　氏
（内閣官房情報セキュリティ補佐官）

＜出口対策手法「デジタル・フォレンジック」＞
　――前回、出口対策手法として、「デジタル・フォレンジック」という名前を聞きました。もう少し詳しくお話いただけますか。

　佐々木良一氏（以下、佐々木）　「フォレンジック・メディシン」（forensics medicine）とは「法医学」のことを意味します。つまり「デジタル・フォレンジック」をわかりやすく言えば、「デジタル・法医学」ということになります。不正アクセスや機密情報漏洩など、コンピューターに関する犯罪や法的紛争が生じた際に、原因究明や捜査に必要な機器やデータ、電子的記録を収集・分析し、その法的な証拠性を明らかにすることができます。NPO法人「デジタル・フォレンジック研究会」というのがあり、私はその会長をしています。

　従来は、サーバのログはよくとっていたのですが、ネットワーク系のログはとっていませんでした。データが流れていってしまった場合は、どこにも証拠が残らなかったのです。しかし、この技術を用いると、侵入時は何日の何時とか、どこから来たのか、どういうやり方でデータが持ち出されたのかを調べることができます。情報がなくなっていても、復元できる可能性さえあります。

＜若い人材の養成は必須であり、急務である＞
　――先生とは、実行委員をしておられた「SECCON2013」（日本最大のセキュリティコンテスト）全国大会の会場でお会いしました。サイバー・セキュリティの問題を解決していくためには、若い人材の養成が必須です。この点に関してコメントをいただけますか。先生の大学の学生も決勝に残っておられました。

　佐々木　日本のセキュリティのレベルを上げていくためには、若い人材の養成が必須です。しかし、サイバー・セキュリティ技術者の教育、養成が学校（高校・大学）においても整っておらず、さらに企業においても明確なキャリアパスが描けていないのが実情です。

　人材の養成は初級、中級、上級の３つのレベルに分けて考えることができます。初級（パッチを当てる等の基本対応ができるレベル）は、IT技術者のセキュリティ技術の底上げです。大学におけるセキュリティ学科の創設等や企業内エンジニアに、セキュリティ教育を推進することなどが考えられます。中級（脆弱性を見つけることができるレベル）はセキュリティ専門家の養成になります。ここまでは、マニュアルを読み、内・外部研修機関で、演習などを含む研修を受ければ、キャッチアップは可能です。

　人材養成で難しいのが、上級（ウィルスの静的分析、動的分析等ができ即座に応急対応が可能なレベル）人材です。この人材の養成はとても難しく、諸外国と比べても日本はかなり遅れています。しかし、このレベルの人材が育たない限り、真のセキュリティ対策はできません。

＜若いうちからセキュリティに興味を持ってもらう＞
　その手段の１つとして今回の「SECCON2013」みたいなものが役立っています。優秀な人材に、若いうちからセキュリティに興味を持ってもらうことができます。SECCONはレベルが高く、セキュリティの能力だけでは入賞はできません。PCのアーキテクチャーもネットワークの仕組みも知らなければなりません。上位入賞者は、大企業のCSIRTチームやセキュリティ専門企業で働くことのできる高い能力があります。

　現在、日本の大学の情報セキュリティの科目では座学が多く、演習等はとても少ないのが実情です。トップクラスの大学でも、高度なサイバー・セキュリティ技術者を養成できる体制は整っておりません。
　一方、アメリカでは、カーネギーメロン大学やスタンフォード大学等充実したセサイバー・キュリティコースを持つ大学・大学院が複数あります。韓国もサイバー・セキュリティ技術者養成にはとても熱心で、複数の大学に専門コースがあり、10年前には1,000人、最近は3,000人を養成目標に掲げています。

　日本も本腰を入れて、企業におけるセキュリティ技術者のキャリアパスの改善を含め、優秀なセキュリティ技術者が育ち、かつ継続して働ける環境をつくり出さねばなりません。

≪　（４）　｜　

※記事へのご意見はこちら