サイバーセキュリティ人材育成と 能力向上への取り組み 門林雄基 奈良先端科学技術大学院大学 2016/3/11 背景 セキュリティ対策に求められるもの 16/03/11 コスト最適 リスク低減 「お任せ」では両立は難しい セキュリティ能力向上のための主体的取り組 みが必要不可欠 2 沖縄サイバーセキュリティネットワーク 健康管理にみる 主体的取り組みの有効性 健康 医者任せ 自己管理 不健康 専門家は相当数必要だが、自己管理と主体的取り組みなしには治るものも治らない 16/03/11 3 沖縄サイバーセキュリティネットワーク なぜ人材育成が必要か 最近のサイバーリスクは.. 16/03/11 ガバナンスを強化したところで 太刀打ちできない プロセスを徹底したところで 太刀打ちできない 脅威は末端にやってくる オペレーションで抑えるしかない 4 沖縄サイバーセキュリティネットワーク サイバーセキュリティ → サイバーリスク サイバーセキュリティ: サイバースペース: 16/03/11 サイバースペースにおける安全 ICTと人間の相互作用によって生まれる空間 サイバースペースにおけるICTの誤動作や 人間の誤操作等がサイバーリスクを誘発 する 5 沖縄サイバーセキュリティネットワーク サイバーリスク 16/03/11 価値観の衝突、経済格差、制度的格差、教育格差 誤操作、誤認、設定ミス、機器の紛失 バグ、誤動作 マルウェア感染、エクスプロイト サービス妨害、DDoS 攻撃、機器故障 防御技術、セキュリティ競技は主として下線部に注力 しがち バランスのとれた能力開発の手段としてサイバー演 習や人材育成プログラムに期待 6 沖縄サイバーセキュリティネットワーク 演習等の参加者が理解すべきこと 今日のサイバースペースの屋台骨を構成するインターネッ トは生来的にグローバルな空間であり、問題の 根源を完全に排除することは不可能。 このため、信頼できない第三者とのインタラクションを前提 としてシステムを構成する必要がある。 継続的な脅威を前提として、情報共有によってリスクの発 生源と対峙していく必要がある。 犯罪者を捕まえれば済む、あるいはアンチウイルスの精度が上がれば 済む、という話ではない。 16/03/11 7 沖縄サイバーセキュリティネットワーク サイバーリスクへの俯瞰的視点 16/03/11 価値観の衝突、経済格差、制度的格差、教育格差 誤操作、誤認、設定ミス、機器の紛失 バグ、誤動作 マルウェア感染、エクスプロイト サービス妨害、DDoS 攻撃、機器故障 マルウェア専門家に頼れるのは下線部 ネットワーク専門家に頼れるのは赤文字 ベンダに頼れるのは青文字 SIに頼れるのは緑文字 8 沖縄サイバーセキュリティネットワーク サイバーリスク対処法の正しい理解 セキュリティは健康管理と同じで、何かを買うだけで手に入れることはで きない 主体的かつ継続的な取り組みが必要 盗難・紛失 詐欺 情報漏洩 管理の不備 16/03/11 誤操作 9 沖縄サイバーセキュリティネットワーク セキュリティ原理主義からの脱却 例: Webプロダクト開発における関心事 Logging Analytics Scaling Metadata Testing Certification Mashups Syndication Security Branding Filtering Outsourcing Lifecycle Deployment Authoring Navigation セキュリティしか知らない専門家を育てるのではなく、演習によって 様々な専門家のセキュリティ意識を高め自己変容を促すほうが効果的 16/03/11 10 沖縄サイバーセキュリティネットワーク エクスプロイト原理主義からの脱却 5種の脆弱性 16/03/11 ソフトウェア脆弱性 ハードウェア脆弱性 プロトコル脆弱性 設定の脆弱性 認知の脆弱性 エクスプロイトは技術者にとって面白いためCTFの題 材となりやすいが、問題はむしろそれ以外。 11 沖縄サイバーセキュリティネットワーク プロトコル脆弱性 ネットワークにおける安全性: 信頼できない相手・第三者 と安全に通信できなければならない。 プロトコル脆弱性により以下の攻撃を誘発する可能性が ある: 16/03/11 中間者攻撃 盗聴 リプレイ攻撃 セッション奪取 サービス妨害 脆弱性データベースに載っていない ベンダが脆弱性であると認めていない (NTLM等) 12 沖縄サイバーセキュリティネットワーク プロトコル脆弱性への攻防 Spoofing identity Application Tampering Repudiate with data Phishing, spam, … CSRF Session Info. Disclose DoS Elevation SQLI F5 attack Exploits XSS Scanning Transport Network DDoS Datalink MAC spoofing SYN flooding Fragment attack Man in the middle ネットワーク内で、技術的管理策を正しく設置・設定できれば これらの脅威のいくつかを緩和できる 16/03/11 13 沖縄サイバーセキュリティネットワーク 設定の脆弱性 設定ミス(例): 隠したはずのファイルが外部から読める ログイン時になぜか ID, Pass を訊かれない サーバがアプリへのア クセスを制限するはず … 開発 外部からの要求はアプ リが無視するはず... 統合 運用 プロセス全体に携わる人材「セキュリティ・チャンピオン」が必要 16/03/11 14 沖縄サイバーセキュリティネットワーク 認知の脆弱性 16/03/11 15 沖縄サイバーセキュリティネットワーク 認知の脆弱性 http://pay.pal.com.cgi-bin.webscr.cmd.loginsubmit.dispatch.5885d80a13c0db1f8e263663d3fae1g0dfg584d021y7o 0vyw9sjkuxod8m180.c-bus.net.XX/.......... (Old URL is “https://www.paypal.com/cgi-bin/webscr?cmd=login-submit...”) 16/03/11 16 沖縄サイバーセキュリティネットワーク 最近の脅威で狙われる脆弱性 標的型攻撃 DDoS攻撃 16/03/11 一種のフィッシング・メール 認知の脆弱性 x ソフトウェア脆弱性 400Gbps プロトコル脆弱性 x 設定の脆弱性 17 沖縄サイバーセキュリティネットワーク サイバーセキュリティ高度人材育成 16/03/11 文部科学省「先導的ITスペシャリスト育成推進プログラム」 (2007〜2011) 社会的ITリスク軽減のための情報セキュリティ技術者・管 理者育成 “IT Keys” 文部科学省「情報技術人材育成のための実践教育ネット ワーク形成事業」 (2012〜) 実践力のあるセキュリティ人材育成への取組み “enPiTSecurity” 課題解決型学習 (PBL) による効果的な学び 180名のセキュリティ人材を輩出 18 沖縄サイバーセキュリティネットワーク PBL (Problem-based Learning) による人材育成 演習で模擬インシデントを体験し、様々な気づきを誘発 16/03/11 事前 発生 事後 • • • • • • • • • • • • • • • • • • • • • • • • • • 日々の管理 正常状態の把握 監視システム・体制 ツール等情報収集 敵を知る 迂回法等 ロギング ログの見方 事故前提 初動の想定 発見・初動 発見の難しさ 常時監視体制・人員 各種ツールの駆使 多面的な状況把握 不可視性・揮発性 役割分担 コミュニケーション能 力 19 再発防止策 文章化、伝達能力 解析の迅速化 解析→悪意の発見 結果の咀嚼能力 対処の提案能力 報告書テンプレート 日本語力 証拠保全 沖縄サイバーセキュリティネットワーク PBLによる人材育成 様々な技術的トピックを3日間でカバー 16/03/11 IT資産管理 ソフトウェア脆弱性 設定の脆弱性 脅威モデル構築 コントロール 脅威情報収集 静的解析 動的解析 情報共有 / IOC トリアージ 20 拡散型マルウェア ルートキット SQL Injection エクスプロイト ブルートフォース モバイルマルウェア 水飲み場攻撃 耐解析 難読化 沖縄サイバーセキュリティネットワーク 我が国に求められるセキュリティ人材育成 日本のセキュリティ関連技術者26.5万人 16万人がスキル不足! 更に8万人不足! NISC サイバーセキュリティ戦略案 2013/5 セキュリティ技術レベル 世界的トップレベル 人材の発掘 要 官民全体で育成 年1,000人 要 新規育成 要 年1~2万人 スキル強化 要 年2~4万人 トップ ガン セキュリティ エキスパート セキュリティ実践力のある IT技術者・経営者 enPiTSecurity 2012~ 一般市民 16/03/11 21 協力企業・組織と密な連携による講義と 実践演習 参加大学院候補 参加大学院 参加校(学部・専門学校等) 石川高専 連携協力企業 宮城大 金沢大 東北学院大 福井大 NAViS 北陸先端大 東北大 産総研 金工大 CySol 基礎 知識 学習 阪大 奈良先端大 理論系演習 社会科学系演習 (専攻科/本科) 応用 学習 はこだて 未来大 IBM 技術系演習 NTTコム 早大 JPCERT NEC NTT 情報セキュリティ 大学院大学 東大 中大 神戸大 和歌山大 電機大 慶應大 九産大 東女大 16/03/11 仙台高専 実践演習 NiCT 京大 東北工大 横国大 津田塾大 静大 お茶大 22 連携5大学が共同で開講:SecCapコース (2014年度) 暗号技術,Webサーバ・NWセキュリティから,法制度やリスク管 理まで幅広く最新技術と知識を具体的に体験を通して習得 共通科目: 情報セキュリティ運用リテラシーⅠⅡ 基礎科目: 所属大学指定科目 基礎知識学習 共通科目: 情報セキュリティ運用リテラシー 演習 • 情報セキュリティ演習 • セキュリティ技術入門講座 • ネットワークセキュリティ検査と対策演習 • Webアプリケーション検査と脆弱性対策演習 • デジタルフォレンジック演習 • Capture The Flag(CTF)入門と実践演習 • 無線LANセキュリティ演習 • システム攻撃・防御演習 • システム侵入・解析演習 • リスクマネジメント演習 • インシデント体験演習 • IT危機管理演習 • ハードウェアセキュリティ演習 • ネットワークセキュリティ実践 • インシデント対応とCSIRT基礎演習 • 組織経営とセキュリティマネジメント演習 • 事業継続マネジメント演習 16/03/11 基礎科目: 所属大学指定科目 先進科目 理論系 • 最新情報セキュリティ理論と応用 • 情報セキュリティ技術特論 技術系 • 先進ネットワークセキュリティ技術 社会 • セキュア社会基盤論 科学系 • 情報セキュリティ法務経営論 その他の活動 セキュリティ分野シンポジウム 企業インターンシップ 交流ワークショップ 23 SecCapコースとSecCap認定 基礎科目(4単位)・ 共通科目(2単位) (基礎力) 演 習 (2単位以上) (実践力) 夏休み 期間中心 前期・後期 共通科目 (2単位) (情報セキュリティ運用リテラシー) 技術系 演習 技術系 演習 後期 理論系 演習 + 基礎科目 (2単位) (所属大学指定科目から選択) 基礎科目 (2単位) (所属大学指定科目から選択) 16/03/11 先進科目(2単位以上) (応用力) 技術系 演習 技術系 演習 社会系 演習 技術系 演習 社会系 演習 社会系 演習 先進科目 (理論系) or 先進科目 (技術系) 成果報告 シンポ ジウム or 先進科目 (社会科学系) 24 共通科目:情報セキュリティ運用リテラシー 開講大学教員と最前線で活躍する講師による講義 基礎科目(4単位)・共 通科目(2単位) (基礎力) 前期・後期 共通科目 (2単位) 2014年度の開講 情報セキュリティ大学院大学 (土曜日) 奈良先端科学技術大学院大学 (金曜日) 北陸先端科学技術大学院大学 (金曜日) 遠隔サイトからの受講 (情報セキュリティ運用リテラシー) + 基礎科目 (2単位) (所属大学指定科目から選択) 基礎科目 (2単位) (所属大学指定科目から選択) 16/03/11 25 SecCap実践セキュリティ演習 企業等の協力による実環境&実データを使った演習 • セキュリティ技術基礎 基礎科目(4単位)・共 • ネットワークセキュリ 通科目(2単位) ティ検査 (基礎力) • Webアプリケーションセ キュリティ検査 前期・後期 • デジタルフォレンジック 共通科目 (2単位) • CTF (情報セキュリティ運用リテラシー) • 無線LANセキュリティ + • システム攻撃・防御 基礎科目 (2単位) • システム侵入・解析 (所属大学指定科目から選択) • リスクマネジメント • インシデント体験 基礎科目 (2単位) •(所属大学指定科目から選択) IT危機管理 • ネットワークセキュリティ • ハードウェアセキュリティ 16/03/11 演 習 (2単位以上) (実践力) 夏休み 期間中心 技術系 演習 技術系 演習 理論系 演習 技術系 演習 技術系 演習 社会系 演習 技術系 演習 社会系 演習 社会系 演習 先進科目(2単位以上) 目指すキャリアパス (応用力) に向けて、約20種 類の実践演習から 後期 主体的に選択受講 先進科目 (理論系) • 情報セキュリティ演習 or 先進科目 (技術系) 成果報告 シンポ ジウム or • セキュリティマネジメ 先進科目 ント (社会科学系) • インシデント対応マネ ジメント • 事業継続マネジメント 26 2014年度 SecCap共有時間割 曜日 科目名 月 情報セキュリティマネジメントシステム 火 設置大学院 (研究科) 時期 日程 時間帯 遠隔有無 20:00-21:30 × 基礎・選択 情セ大 後期 情報セキュリティ運用リテラシー 宮地・布田他 共通・必修(C) JAIST 通年 セキュアシステム構成論A 辻 基礎・選択 情セ大 前期 14:40-16:10 ○ 暗号プロトコル 土井 基礎・選択 情セ大 後期 10:40-12:10 ○ 濱田・樋地・金谷 先進・選択 東北大 後期 16:20-17:50 ○ 佐藤・後藤 基礎・選択 情セ大 前期 20:00-21:30 ○ ネットワークシステム設計・運用管理 金 区分 原田 水 情報セキュリティ法務経営論 木 担当教員 4/18(*), 4/22, 4/25(*), 5/2(*), 5/13, 5/20, 5/27, 6/3 (※)金曜 [後期は金曜の運用リテラシーⅡ(NAIST)と共通] 〇 特設講義(先進ネットワークセキュリティ技術) 後藤・佐藤 先進・選択 情セ大 後期 10/9, 10/30, 11/13, 11/27, 12/11, 1/8, 1/22, 2/5 18:20-21:30 × 特設講義(セキュア社会基盤論) 湯淺他 先進・選択 情セ大 後期 10/9, 10/30, 11/13, 11/27, 12/11, 1/8, 1/22, 2/5 18:20-21:30 × セキュア法制と情報倫理 林・湯淺 基礎・選択 情セ大 後期 18:20-21:30 × 先進科目講義(情報セキュリティ運用リテラシーⅠ) 山口・猪俣+オムニバ 共通・必修(B) ス NAIST 前期 4/18, 5/16, 5/23, 5/30 13:40-16:50 ○ 先進科目講義(情報セキュリティ運用リテラシーⅡ) 藤川・歌代+オムニ 共通・必修(B) バス NAIST 後期 10/31, 11/28, 12/5, 1/16 13:40-16:50 ○ 情報セキュリティ運用リテラシー 宮地・布田 共通・必修(C) JAIST 通年 後期: 10/31, 11/28, 12/5, 1/16 13:40-16:50 ○ 最新情報セキュリティ理論と応用(※1) 宮地・布田・面・蘇 先進・選択 JAIST 13:30-16:40 ○ 情報セキュリティ技術特論 砂原・山内+オムニバ 先進・選択 ス 慶應大(KMD) 13:40-16:50 ○ 情報セキュリティ演習 宮地・布田・田中・陳 演習・選択 JAIST セキュアシステム構成論B 辻 基礎・選択 情セ大 特設講義(情報セキュリティ運用リテラシーⅠ・Ⅱ) 後藤 共通・必修(A) 情セ大 土 セキュリティシステム監査 10/2, 10/23, 11/6, 11/20, 12/4, 12/18, 1/15, 1/29(5限の みの可能性あり) 6/13, 6/27, 7/4, 7/25, 8/1, 8/8, 8/22, 8/29, 9/5, 9/12, 9/19, 9/26 通年 4/25, 5/9, 10/17, 10/24, 11/7, 11/14, 12/12, 12/19 [座学+演習] 6/6, 6/20, 7/11, 7/18, 8/1 [合宿]9/5(金) 11:00~18:30, 9/6(土) 9:20~12:30 ○ 後期 20:00-21:30 × 前期 4/12, 4/19, 4/26, 7/19 13:00-16:10 ○ 後期 10/11, 10/25, 11/15, 11/29 9:00-12:10 ○ 堀江・丸山 基礎・選択 情セ大 前期 10:40-12:10 × セキュアプログラミングとセキュアOS 柴山 基礎・選択 情セ大 後期 10/4 ~(隔週開講) 9:00-12:10 ○ 不正アクセス技法 森井 基礎・選択 情セ大 後期 10/4 ~(隔週開講) 13:00-16:10 ○ (※1) 「最新情報セキュリティ理論と応用」は「情報セキュリティ演習」を履修していることを受講条件とする。 16/03/11 27 2014年度 SecCap実践演習リスト 連携大学 日程 北陸先端科学技術 大学院大学 東北大学 慶應義塾大学 16/03/11 科目名・ その他 7/25(金), 7/26(土) 情報セキュリティ大学院大学 (I-01)セキュリティ技術入門講座(技術系:単位なし) 8/1(金), 8/2(土), 8/8(金), 8/9(土) 情報セキュリティ大学院大学 (I-02)ネットワークセキュリティ検査と対策演習(技術系:1単位相当) 8/22(金), 8/23(土), 8/29(金), 8/30(土) 情報セキュリティ大学院大学 (I-03)Webアプリケーション検査と脆弱性対策演習(技術系:1単位相当) 9/19(金), 9/20(土), 9/26(金), 9/27(土) 情報セキュリティ大学院大学 (I-04)デジタルフォレンジック演習(技術系:1単位相当) 情報セキュリティ大学院大学 (I-05)Capture The Flag(CTF)入門と実践演習(技術系:1単位相当) 8/1(金), 8/4(月), 8/5(火), 8/6(水), 8/7(木), 8/8(金) (8/7は学外演習) 情報セキュリティ大学院大学 他 (I-06)インシデント対応とCSIRT基礎演習(社会科学系:1単位相当) 8/19(火), 8/21(木), 8/26(火), 8/28(木), 8/30(土) (8/28は学外演習) 情報セキュリティ大学院大学 他 (I-07)組織経営とセキュリティマネジメント演習(社会科学系:1単位相当) 9/16(火), 9/18(木), 9/22(月), 9/25(木), 9/27(土) 情報セキュリティ大学院大学 (I-08)事業継続マネジメント演習(社会科学系:1単位相当) 6/14(土)~6/15(日) 大阪大学 セキュリティPBL演習A(無線LANセキュリティ演習)(1単位) 6/28(土)~6/29(日) 大阪大学 セキュリティPBL演習B(システム攻撃・防御演習)(1単位) 8/25(月)~8/28(木) 東京 セキュリティPBL演習C(リスクマネジメント演習)(1単位) 9/2(火)~9/4(木) 北陸先端科学技術大学院大学 セキュリティPBL演習D(インシデント体験演習)(1単位) 9/15(月)~9/17(水) 奈良先端科学技術大学院大学 セキュリティPBL演習E(IT危機管理演習)(1単位) 9/9(火)~9/11(木) 奈良先端科学技術大学院大学 セキュリティPBL演習F(ハードウェアセキュリティ演習)(1単位) 12/6(土)~12/7(日) 大阪大学 セキュリティPBL演習G(システム侵入・解析演習)(1単位) [座学+演習]6/6, 6/20, 7/11, 7/18, 8/1 [合宿] 9/5(金)~9/6(土) 北陸先端科学技術大学院大学 情報セキュリティ演習(2単位) 9/3(水)~9/5(金) 東北大学 ハードウェアセキュリティ演習(2単位) 10月~1月 仙台ソフトウェアセンター ネットワークセキュリティ実践(2単位) 5/31(土)~6/1(日) 慶應義塾大学 セキュリティ基礎演習(単位なし) 6/14(土)~6/15(日) 慶應義塾大学 セキュリティPBL演習A (1単位) 6/28(土)~6/29(日) 慶應義塾大学 セキュリティPBL演習B (1単位) 情報セキュリティ大学院 9/5(金), 9/6(土) 大学 奈良先端科学技術 大学院大学 場所 28 障害注入による人材育成: GameDay 16/03/11 価値観の衝突、経済格差、制度的格差、教育格差 誤操作、誤認、設定ミス、機器の紛失 バグ、誤動作 マルウェア感染、エクスプロイト サービス妨害、DDoS 攻撃、機器故障 Amazonから始まった取り組み サイバーリスクの中でも赤文字に注目 実動するシステム、ソフトウェア、人間をテスト 耐障害性(レジリエンス)の向上を目的 29 沖縄サイバーセキュリティネットワーク クラウドを用いた簡易な演習 16/03/11 30 沖縄サイバーセキュリティネットワーク Hardening 競技内容 16/03/11 あらかじめ用意された、脆弱なeコマースサイトを8時 間の間ハードニング(堅牢化)しつつ運営 複数チームがハードニングの強さを総合的に競う 31 沖縄サイバーセキュリティネットワーク Hardening 競技内容 セキュリティ専門家によって構成されるペンテスト・チームがさまざ まな手法と視点でハードニングの強さを評価 競技開始から終了までに、e コマースサイトのあちこちで発生する インシデントを乗り越えつつ、サイト運営を維持する総合力を評価 16/03/11 堅牢性、売り上げ、ダウンタイム、コミュニケーションスキル 32 沖縄サイバーセキュリティネットワーク Hardening 競技環境 チーム1 . . . 評価チーム “Kuromame6” チーム8 売り上げ推移 16/03/11 33 沖縄サイバーセキュリティネットワーク 競技と振り返り Hardening Day Softening Day 16/03/11 競技 トークライブ 懇親会 振り返り 表彰式 Streaming + Twitter 34 沖縄サイバーセキュリティネットワーク Hardening Project のねらい 堅牢化スキルの向上、経験知の共有 原則論からボキャブラリへ 現場で通用する頭脳筋肉力 矛盾や欠点を孕んだシステムを取り扱える精神力 他者と隔絶された「学び」から知的スポーツへの転換 最終的には.. 億単位の情報漏洩の撲滅! 16/03/11 35 沖縄サイバーセキュリティネットワーク まとめ コスト最適とリスク低減を両立するための人材育成 サイバーリスクへの俯瞰的視点 バランスのとれた能力開発 変化する脅威: 5種の脆弱性、それらに対する複合攻撃 インシデント体験演習による人材育成 実システムへの障害注入による人材育成 クラウドを用いた簡易な演習 ビジネス価値につなげる総合演習 16/03/11 36 沖縄サイバーセキュリティネットワーク
© Copyright 2024 Paperzz
