セキュリティ教育とイノベーション： SecHack365での取り組み

セキュリティ教育とイノベーション : SecHack365 での取り組み情報通信研究機構ナショナルサイバートレーニングセンター主任研究員 SecHack365 担当横山輝明 1

自己紹介自己紹介横山輝明山口県出身芦屋在住神戸情報大学院大学情報技術研究科特任准教授情報通信研究機構主任研究員サイバー関西プロジェクト, WIDE, AI3 経歴 2007/3 奈良先端科学技術大学院大学情報科学研究科博士課程卒業 2007/4 サイバー大学助教 / 講師 2013/4 神戸情報大学院大学情報技術研究科講師 / 特任准教授 2018/4 情報通信研究機構ナショナルサイバートレーニングセンター主任研究員 SecHack365 担当専門インターネット技術の教育 ( 基盤から応用まで ) 途上国における IT 基盤の整備 SDN, IoT, ネットワーク基盤, サービス基盤 ICT 教育, 産学連携, 共同研究開発など 2

サイバーセキュリティ人材とは? 3

統合セキュリティ人材モデル統合セキュリティ人材モデル実践的なスキルやノウハウを持つ技術者の育成 NEC 日立製作所富士通の 3 社がとりまとめたセキュリティ技術者の共通人材モデルサイバーセキュリティ人材育成スキーム策定共同プロジェクトの成果物 2018 年 10 月育成人材 3 社のセキュリティ対策の技術やシステム構築の実績米国国立標準技術研究所 (NIST) セキュリティ対策基準 NIST SP800-181 で定めるセキュリティ対策への対応 14 種類の人材像必要なスキルセットを体系化 4

人材像統合セキュリティ人材モデル説明 CT セキュリティコンサルタントセキュリティエンジニアリングの上流に位置し経営課題や業務要件からセキュリティに関するシステム仕様や運用仕様の方針を策定する PL セキュアシステムプランナー求められるセキュリティ要件を満たすシステムやアプリケーションの上流設計を担当する対象領域はシステムアーキテクチャーネットワークサーバアプリケーションデータベースなど DV セキュアシステムデベロッパーセキュアシステムプランナーのアウトプットを引き継ぎセキュリティ要件を満たすシステム基盤の開発を担当する対象領域はシステムアーキテクチャーネットワークサーバデータベースなど AD セキュアアプリケーションデベロッパーセキュアシステムプランナーのアウトプットを引き継ぎセキュリティ要件を満たすアプリケーションの開発を担当する対象領域はアプリケーションデータベースアクセスなど MG セキュリティマネージャー ISMS に代表されるセキュリティマネジメントシステムの整備および運用を担当する AU セキュリティオーディター ISMS に代表されるセキュリティマネジメントシステムのマネジメント監査を担当する SR システムリスクアセッサー対象の ICT システムが直面するセキュリティリスクを分析し適切なセキュリティ対策選択の指針を示す PT ペネトレーションテスター対象の ICT システムに対して攻撃者視点で攻撃を試み ICT システムの弱点 ( 脆弱性や危険性等 ) を把握し報告する NR ネットワークリスクアセッサー対象の ICT システムが直面するセキュリティリスクを分析し適切なセキュリティ対策選択の指針を示す RE リサーチャーセキュリティ技術に関する各種の研究を行う FE フォレンジックエンジニアセキュリティインシデント発生時にコンピュータフォレンジックプロセスに基づく詳細な調査を実施するすでに侵害されたディスクイメージなどを採取しまた取得したイメージなどを解析し攻撃者によっていつどのようなことが行われたのか解析を実施する IA インテリジェンスアナリストセキュリティに関する外部情報を収集分析し ICT システムへの影響度を把握するまたインシデント発生時にその背景などを分析しインシデントの重大性に対する判断材料を提供する IR インシデントレスポンダーセキュリティインシデントへの 1 次対処を行う必要に応じてインシデントハンドラーなどの他の人材像へのエスカレーション引継ぎを行う SP セキュリティオペレーター ICT システムのセキュリティに関連する運用を担当する 5

ICT システムの関係者開発者 ( システムの開発者 ) システムを開発した単独複数の開発者開発の内製 / 委託完成物の購入の形態利用者システムの利用者複数の利用者二次的な利用者が存在することも運用者システムの維持管理の担当者複数の運用者が存在することもセキュリティ的な部分の維持管理も含むその他研究者はシステム要素や脅威を対象として研究システムを取り巻く外部環境の調査や分析 6

ICT システム導入利用環境ビジネス目的ワークフロー外部環境法律社会常識技術変化利用者要求仕様機能要件非機能要件開発者開発者開発プロセス 7

ICT システム利用利用サイドの環境外部環境システムの想定環境ビジネス目的ワークフロー利用者その他のシステム群運用維持管理 8

ICT システム運用外部環境の変化ビジネス目的の変化利用環境の変化 ( 利用者想定利用環境 ) システムの変化運用維持管理 9

サイバーセキュリティ人材? システムについて機能要件非機能要件 ( 見えない仕様漏れ ) 状況変化 ( 外部要因脅威の発生 ) リスクコスト便益評価コスト転嫁対応できる人材技術とビジネスの理解デザイン解決の提案リスクアセスメント ( 特定分析評価 ) 人材活用の困難スキルポジション? インソース? アウトソース? 費用対効果? 誰をどこに? 役割分担? 網羅性? 10

SecHack365 について 11

セックハックサンロクゴセキュリティイノベーター育成プログラム SecHack365 の概要未来のサイバーセキュリティ研究者起業家の創出に向けて,NICT の持つサイバーセキュリティの研究資産を活用し, 若年層の ICT 人材を対象に実際のサイバー攻撃関連データに基づいたセキュリティ技術の研究開発を 1 年をかけて本格的に指導する新規プログラムハイレベル層対象者学生, 若手社会人を対象とした早期人材育成一般のシステム開発者層 H30 年度募集概要募集期間 : 2018 年 4 月 2 日 ( 月 ) ~ 2018 年 4 月 20 日 ( 金 ) 応募資格 : 日本国内に居住する25 歳以下の若手 ICT 人材応募数 : 345 名受講決定数 : 50 名 ( 内訳成年 37 名 / 未成年 13 名男性 46 名 / 女性 4 名 2018.5.7 受講者決定時点 ) 開発者全体 12

SecHack365 SecHack365: https://sechack365.nict.go.jp/ U-25 若手セキュリティ系人材育成公募 25 歳以下 50 名程度を選抜セキュリティ技術の研究開発セキュリティ技術を用いたビジネス実現ができる人を育成セキュリティイノベーターの育成プログラム内容 1 年間を通した人材育成プログラム年 6 回 2 泊 3 日の集合イベント講師には研究者実務家などを起用アイデア発想セキュリティ技術開発セキュリティ研究など 13

コースと全体評価進め方の違いに基づく 3 コースを用意コースマスターが主指導を担当他トレーナーも協力コース表現駆動コース : テーマや作品の表現を通じて推進思索駆動コース : テーマへの思索考察を通じて推進開発駆動コース : テーマや関連技術の実装を通じて推進評価アイデア : 新規性や有用性などテーマの方向性技術 : 作品実装における技術力表現力 : テーマや作品を伝える能力 14

2018 年度の審査審査方針名前や所属などは考慮しないブラインド審査各コースでの選考各コースごとに課題を作成して審査各コースの進め方で作品づくりを達成できるか作って見せることについては全体として統一基準応募の流れ募集開始日 : 4 月 2 日 ( 月 ) 課題フォーム提出期限 : 4 月 20 日 ( 金 ) 17 時 4 月 27 日審査 5 月 2 日に連絡 15

応募数 345 件受講決定数 50 件コース別の内訳表現駆動コース 23 名思索駆動コース 11 名開発駆動コース 16 名属性別の内訳成年 37 名 / 未成年 13 名男性 46 名 / 女性 4 名所属別の内訳社会人 6 人大学院 11 人大学 ( 学部 ) 高等専門学校専門学校 1 人高等学校 5 人中学生 2 人 2018 年度の審査結果 20 人 5 人 16

2018 年度 SecHack365 運営体制 NICT メンバトレーナー SecHack365 実行委員会実行委員園田道夫池田克巳衛藤将史笠間貴弘小泉力一 ( 実行委員長 ) (IPU 環太平洋大学 ) 井上博之 ( 広島市立大学 ) 猪俣敦夫 ( 東京電機大学 ) 柏崎礼生 ( 大阪大学 ) 推進委員加藤大貴金濱信裕佐藤公信花田智洋佳山こうせつ ( 富士通株式会社 ) 川合秀実 ( サイボウズラボ株式会社 ) 坂井弘亮 ( 富士通株式会社 ) 服部祐一 ( 株式会社セキュアサイクル ) 安田真悟横山輝明 ( トレーナー長 /NICT 主担当者 ) 久保田達也 ( 株式会社イッツ ) 今佑輔 ( トレンドマイクロ株式会社 ) 仲山昌宏 ( 株式会社 WHERE) 神薗雅紀 (PwC サイバーサービス合同会社 ) 事務局 NICT ナショナルサイバートレーニングセンター塩山英里香五十里治美島田弘一ほか ( 事業運営全般 ) 平田真由美鎌田広子 ( 広報担当 ) 石川大樹 ( インフラ担当 ) ほか運営支援事業者株式会社ナノオプトメディア 17

SecHack365 の活動開発テーマ IoT モニタリング自動車ハックマルウェア解析攻撃トラフィックの可視化ハニーポットなどなどセキュリティ技術 / セキュリティ関連 / サービス開発作る見せる評価される ( 繰り返し ) 18

SecHack365 全体スケジュール 2018 19

コース制の説明 : コース制と集合イベント @ 横浜園田 + 安田 @ 札幌笠間 + 衛藤 @ 福岡花田 + 加藤 @ 山形横山 + 石川 @ 松山加藤 + 佐藤 @ 沖縄金濱 + 池田 @ 東京笠間 + 鎌田表現駆動コース ( 安田佐藤 ) 思索駆動コース ( 柏崎 ) 開発駆動コース ( 川合坂井仲山 ) イベント ( 黒 ) が前面に出ている集合イベントではコース別の進め方よりも全体としてのイベントを重視コース ( 黄緑青が前面に出ている集合イベントではコース別の進め方を重視しイベントは少な目にするここで中間発表のようにコースをまたいだ全体発表交流のような取組み (10 月にも ) 優秀修了者を決める内部最終発表会外部参加者ありの最終成果発表会 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 1 月 2 月 3 月 20

テーマ例セキュリティ技術機械学習を用いたダークネットトラヒック解析囮ファイルによる攻撃検知システムの開発シグネチャ共有に基づく分散フィルタ基盤 SNS における個人情報プライバシーに配慮した画像共有セキュリティ啓発セキュリティに対する意識向上 ~AR によるゲームアプリ ~ Python で学ぶ情報セキュリティ入門本の執筆ペンテスト学習プラットフォームの開発についてサービス開発 Alt RequestBin の開発家事情報共有サービス UTIPS の進捗報告教育用 ( 初心者向け )CanSat の開発環境をつくる 21

最終成果発表会優秀修了生の発表作品デモの展示ポスターの展示 22

成果発表会 ( 秋葉原 ) 2018/3/24 2017 年度の成果 WEB: SecHack365 2017 年度修了生作品 https://sechack365.nict.go.jp/2017artifact/ 氏名名称上原瑛美視て聴いて触るセキュリティ小野諒人ダークウェブ統合分析プラットフォーム篠岡祐太 Mail Total - 分析可視化でわかるスパムメール高岡奈央, 三須剛史 OS 実装の自動化安田昂樹 Secussion セキュリティについて議論するディスカッショントレーナー青木克憲シンボリック実行エンジンTritonのマルチアーキテクチャ対応珊瑚彩主紀サーバー管理をしてくれるLINE BOT 彼女千葉裕也 Raspberry Pi 組込みOS 中村綾花ネットワークカメラハニーポット小林滉河, 仲地駿人深層学習を用いたフィッシングサイト検知システム青池龍, 市川友貴, 小野輝也, 澤田拓弥, 田中千尋, 早坂彪流 IoTデバイス管理システム大平修慈, 草野清重, 手柴瑞基, 室田雅貴車の情報クラウドを使って安全快適なカーライフをしたい! 酒井蓮耀光を媒体とする電波を使わない無線通信の開発湯川大雅レーザポインタを使って便利に / 安全に`モノ`を操作しよう古謝秀人機械学習を用いたマルウェア検知システム江川達翔 Intel-PTを用いたバイナリのトレース竹村太一, 藤井翼 LOG VISUALIZATION ~ 攻撃の脅威度の分析と可視化 ~ 石黒健太仮想環境検知プログラムの解析環境の構築榎本秀平サンドボックス解析のための機能追加三嶋秀宗 American Fuzzy Lopのheap canaryランダム化の実装井上紘太朗, 木下嵩裕 RasPiを用いたARM 簡易プロトタイピング環境の構築中島千咲カラフルちゃん ~あなたの暮らしに彩りを~ 澤佳祐, 丸山泰史分散 Webプラットフォーム二ノ方理仁プログラミング言語開発北村拓也, 青木克憲, 川島一記 Cyship: 仮想空間でサイバー攻防を体験できるゲーム 23

Cyship SecHack365 2017 年度受講生たちの作品サイバー攻防をモチーフ攻撃防御技術のイメージ Unity 利用の Web ゲーム 3 名のグループによる作品 WEB: https://cyship.jp/ 24

2017 年度の成果 WEB: SecHack365 2017 年度修了生作品 https://sechack365.nict.go.jp/2017artifact/ 25

2017 年度の成果 WEB: SecHack365 2017 年度修了生作品 https://sechack365.nict.go.jp/2017artifact/ 26

2017 年度の成果 WEB: SecHack365 2017 年度修了生作品 https://sechack365.nict.go.jp/2017artifact/ 27

オンラインでの活動チャット等を通じてオンラインでの開発各コースやトレーナーからの指導日常のなかでの継続的な開発活動全体進行の管理テーマや状態の共有 28

SecHack365 での活動インプット各トレーナーからの知見考え方発想法など長期の開発を続けるための習慣化自分たちが作り上げるものに責任をもつ倫理など企業等での事例見学ディスカッションアウトプットに対するフィードバックアウトプット持ち込む作りたい作品テーマ作品を説明する発表プレゼンテーションポスターデモンストレーション進め方イベント回にて発表イベント回の間の期間は自主的に活動オンラインでサポート 30

全体の進行 5 月神奈川回の実施 (2018 年 5 月 18 日 ~20 日 ) 顔合わせとキックオフオリエンテーション ( 目標の確認進め方 ) 自己紹介テーマ 6 月北海道回の実施 (2018 年 6 月 29 日 ~7 月 1 日 ) 長期ハッカソンへの参加の習慣化の促進最初のスプリントオンラインコミュニケーション / 開発さくらインターネット見学 8 月福岡回の実施 (2018 年 8 月 22 日 ~24 日 ) 発表練習テーマや作品の説明テーマの共有ディスカッション指導見せる練習フィードバック Nulab 見学 31

全体の進行 10 月山形回の実施 (2018 年 10 月 12 日 ~14 日 ) ポスターとして作品を明示的に説明可能なトレーニーにはデモも求める作品に対しての意見などフィードバックの開始 12 月愛媛回の実施 (2018 年 11 月 30 日 ~12 月 2 日 ) 最終発表に向けての練習デモやポスターの展示 2 月に向けて相談と意見をもらう大きな機会 2 月沖縄回の実施 (2019 年 2 月 1 日 ~3 日 ) 最終発表デモやポスターとして完成品の展示優秀修了者の選抜 3 月最終成果報告会 (2019 年 3 月 8 日 ) 優秀修了者による発表修了者によるポスターやデモを予定秋葉原 UDX で実施一般公開なのでぜひご参加ください 32

作ることの変化作ることがスタート昔は作ることがゴール今はただ動かすだけなら簡単作ってからが大変何が売れるかわからないマーケットニーズへの適合や変化機能要件の変更作ったあとから見つかる欠陥 = セキュティ対応 33

作る見せる作るプロトタイプ仮説検証作りすぎない作る目的の自覚デモの工程管理手抜きする非機能要件の絞り込み本当に必要な作業をしているのか? 拡張性使い捨てを考慮した設計見せる ( アイデア検証 ) 見せ方ストーリークエスチョンの明確化心理的安全面の皮の厚さ途中でも見せる正直に見せる締め切りよりも早くてよい意見の受け取り方取捨選択見せるのが目的コードは手段捨てる勇気セキュリティ / イノベーションへのプロセス ICT の社会実装と維持を実現できる人材育成 34

今後の連携の可能性についてキャリアパス研究開発応用への発展就職などスキルや経験の活用の場既存の教育カリキュラムとの親和学業との両立連携学業側からの利用今後ともよろしくお願いいたします 35

セキュリティ教育と イノベーション： SecHack365での取り組み

セキュリティ教育とイノベーション： SecHack365での取り組み