2024年12月22日( 日 )

日本発の情報セキュリティ国際会議が開幕!(後)

記事を保存する

保存した記事はマイページからいつでも閲覧いただけます。

印刷
お問い合わせ

 「CODE BLUE」は、世界トップクラスの情報セキュリティ専門家による講演と、国や言語の垣根を超えた情報交換・交流の機会を提供する国際会議として有名である。欧米などの著名な研究者を招聘し、最新の成果を参加者で共有する。
 そして、「CODE BLUE」は、もう一つ「日本におけるセキュリティ人材の発掘」という需要な役割も担っている。2012年6月の政府発表で、我が国におけるセキュリティ人材は8万人不足しており、その後もほとんど改善されていない。強靭で活力ある世界を率先するサイバー空間の構築のためには、グローバルに活躍できる人材育成が喫緊の課題となっている。
 今回、この課題解決(人材の発掘、教育、評価など)に役立つと思われる講演が韓国、中国からあった。日本とそれぞれのお国事情は異なるが、参考になる点も多い。

サイバー戦争は仮想のものでなく、日々の現実である

シーンジュー・ガブリエル・キム氏<

シーンジュー・ガブリエル・キム氏

 韓国からは高麗大学校情報セキュリティ大学院教授のシーンジュー・ガブリエル・キム氏が登壇した。同情報セキュリティ大学院は韓国でトップクラスのサイバーセキュリティ教育機関になっている。

 キム氏は冒頭、「韓国の情報セキュリティ事情は北朝鮮との関係で、世界のなかでも極めて特殊で、サイバー戦争は仮想のものでなく日々の現実である」と語り、「北朝鮮は自国のサイバー戦争能力を拡張し続けている」と付け加えた。
 大韓民国国家情報院(NIS、韓国のCIA)は、10年から14年にかけて、政府や公的機関に7万5,472件のサイバー攻撃があったことを公表している。さらに、NISの国家サイバーセキュリティ・センターは、北朝鮮が韓国内の政府機関や民間企業に対して、無差別サイバー攻撃を数百万回企てていることを報告している。

1等級以上の成績を収めた学生から募集を行っている

 韓国政府は今、サイバーセキュリティのエキスパートをより多く育成することに迫られている。キム教授の話から、韓国では、官民一体となって、非常に高いレベルで、情報セキュリティ教育が行われていることがわかった。高麗大学校は、12年に韓国で初めてサイバー国防学科が開設された大学である。同学科の入学生は4年間の学費を免除され、卒業後は将校として、国防部傘下のサイバー司令部に7年間勤務する。学生の質も優秀である。高麗大学校は大学修学能力試験(修能=日本のセンター試験に相当)で1等級以上の成績を収めた学生からサイバー国防学科の募集を行っている。
 キム氏によると、現在、韓国でサイバーセキュリティ研究課程が設置された大学院は36(登録ベースで5,701名)、サイバーセキュリティ課程が設置された大学は32(登録ベースで1,241名)におよび、その数字は年々増加している。

2015年の「DEFCON CTF 23」でも韓国が優勝した

 その教育成果も着実に上がっており、2015年の「DEFCON CTF 23」(ハッカーの世界大会)においては、韓国チーム「DEFKOR」が優勝した。同時に、韓国から4,000以上のチームが予選を通過し、15チームが決勝に残っている。日本で今年2月に行われた「SECCON 2014」でも韓国チームが優勝している。

 教育だけでなく、人材の発掘にも力を入れている。韓国では、「CODEGATE」に代表されるハッキングコンテスト、カンファレンスが年間10回以上開催されている。さらに、ホワイトハッカー予備軍養成のためのクラブが、大学を中心に数多く存在する。

単なるセキュリティ以上の「情報保証の時代」である

 最後に、キム氏は、現在は「情報セキュリティの時代」(1980年代~)から一段階上の単なるセキュリティ以上の「情報保証の時代」(1998年~)になっていると語った。「情報保証」とは、1990年代に米国国防総省によって発案された言葉で、情報システムおよび情報システムにおいて取り扱われるデータの機密性のことを言う。電子計算機情報にアクセスすることを許可された者だけが当該情報にアクセスできることを確実にすることなどがそれにあたる。

高い能力でも、良い給料とキャリア開発が得られない

シャオドゥン・ファン氏<

シャオドゥン・ファン氏

 中国からは、中国における新たな免疫システム「Wooyun」の創設者、シャオドゥン・ファン氏が登壇した。ファン氏は、15歳で大学に進級、大学では化学を専攻、Baiduの情報セキュリティ・テクニカルディレクターなどを経て、Wooyunを創設した。なぜ、ファン氏はWooyunを創設したのか。そこに、世界共通の大きなテーマが隠されている。

 あなたがとても高いハッキング能力を有していた場合、「善意のホワイトハッカーになった方が得か、悪意のクラッカーになった方が得か」を考えてみる。昨今蔓延している「今だけ、金だけ、自分だけ」の論理で考えると、残念ながら後者に軍配があがるかもしれない。これは、世界各国共通の現象である。そのことをファン氏は、「もしあなたがホワイトハッカーだった場合でも、より良い給料とキャリア開発が得られない」し「顧客はセキュリティを理解していないため、企業はあなたに注目しない」と鋭く指摘した。さらに、「民間のセキュリティ・コミュニティでの情報の共有や議論も不足しているので、敵は多くなり仲間が少なくなっていく傾向さえある」と付け加えた。

良いセキュリティ技術を通じて、現在の問題を解決する

 これでは、安全な世界はつくれない。「どうしたら、より良いセキュリティ技術を通じて、セキュリティ問題を解決することが可能になるのか?」――ファン氏が「Wooyun」を作った目的はここにある。中国には10億人のネットユーザーがおり、この膨大なユーザーによる巨大な黒い産業も起こる可能性も考えられるからだ。
 Wooyunは、従来の脆弱性公表のプロセスと異なり、セキュリティ・リサーチャーが脆弱性を報告、ベンダーがフィードバックを返すプラットフォームである。

10万個の脆弱性をインターネット業界のために報告

 成果としては、1万人以上のホワイトハッカーが10万個の脆弱性をインターネット業界のために報告、その結果、ホワイトハッカー・ユーザー+企業+政府との健全なセキュリティ免疫メカニズムを確立した。重要なセキュリティの脆弱性の公表や修正サイクルが数週間、もしくはそれ以下に短縮されたとしている。副次的効果では、中国の経済成長も大きな背景にはあるが、中国におけるホワイトハッカーの待遇、評価が2倍近くに上がったという報告がなされた。

U25枠で2名登壇、又12名の学生が無料招待される

 人材発掘、教育のライン上で、今回まったく新たな試みとして、U25枠が設けられ、満24歳以下の講演者が2名登壇した。黒米祐馬氏(慶應義塾大学在学中)「動的バイナリ計測とファジーハッシュを使用した暗号アルゴリズムの自動識別」と16歳の小池悠生氏「新しいスタックカナリア回避手法の提案」である。
黒米氏は、セキュリティキャンプ(独立行政法人・情報処理推進機構が2004年から実施する、未来のホワイトハッカーを発掘して育てる参加無料の合宿型研修)の最年少講師であり、小池氏はDEFCON CTFファイナリストやCODEGATE CTF Junior優勝などの経験がある。
 また、参加者についても、高校生を含む満24歳以下の12名が、情報セキュリティソリューションを提供する(株)カスペルスキーの発案と主催者の協力によって無料招待された。当日は、主催者によって、U25枠の講師と招待学生とのランチミーティングも行われた。

 
(前)

関連記事