情報セキュリティ教育プログラム「enPiT2-Security」における岡山大学の活動 ~岡大セキュリティ人材育成エコシステム~ セキュリティ人材育成法(第1回)
enPiT2とは? そのセキュリティの位置づけと実施体制
IoT (Internet of Things: モノのインターネット)、データサイエンス、AI (Artificial Intelligence: 人工知能)、セキュリティなどの分野の重要性が叫ばれる中、情報技術やネットワーク技術に関する実践的な講義・演習を実施すべきであろうという考えのもとに、文部科学省は、「高度IT人材を育成する産学協働の実践教育ネットワークenPiT (Education Network for Practical Information Technologies)」という教育プログラムを平成24年に立ち上げた。また、enPiTの対象は修士学生であったが、その教育効果がすばらしいということで、平成28年度には学部生(原則3年生以上)を対象とした同じ名前の教育プログラム(以下、enPiT2)を立ち上げた。
enPiT2で教育対象とする分野は、ビッグデータ・AI分野、セキュリティ分野、組込みシステム分野、ビジネスシステムデザイン分野の4つである。岡山大学は、セキュリティ分野(以下、enPiT2-Security)の取組みとして、東北大学を中心とする10の大学と連携して「情報セキュリティ分野の実践的人材育成コースの開発・実施」という取組みを共同で申請し採択された。この取り組みでは、Basic SecCapコース(以下、BSCコース)と呼ばれるカリキュラムを、全国の学生を対象に実施するものとし、平成28年度のトライアルを経て、平成29年度~令和2年度まで実施された。現在、文部科学省の事業としては終了しているが、令和3年度以降も関係大学と連携して自主的にこのカリキュラムを継続しているところだ。
連携校14大学が提供! Basic SecCapコースのセキュリティ開講科目
2021年1月時点におけるBSCコースの実施体制を図1に示す(2023年度もほぼ同様である)。日本全国の多くの大学や高専が参加しており、これらの参加校の所属学生は図中の連携校14大学が提供するさまざまなセキュリティ関係の講義・演習科目を受講することができる。これらの科目の受講を通して、他校の学生と交流できることがBSCコースの大きな魅力の一つとなっている。また、多くの企業の皆様に、講義・演習の実施などに際してご協力と貴重なご意見をいただき、講義・演習の質確保に大きく貢献していただいている。
BSCコースの講義・演習科目は、基礎科目/専門科目/演習科目/先進演習科目の4つから成る。基礎科目は、各参加校の学内科目のうちセキュリティを学ぶための基礎となる科目を意味し、参加校の各学生は、その参加校が指定した基礎科目を4単位以上履修するものとしている。一方、専門科目は連携校のうち重点実施校が提供する科目で、セキュリティに関する総合的な知識を修得させることを目標としている。演習科目は各連携校が提供する問題解決型学習(Project Based Learning:以下PBL)の科目で、セキュリティに関する実践的な知識の習得させるものだ。先進演習科目はより専門的で実践的な演習を経験させるための科目である。令和5年度の専門科目/演習科目/先進演習科目の一覧を表1に示す。
BSCコースにおいて、基礎科目を4単位、専門科目を2単位、演習科目を1単位取得した学生はセキュリティに関する一定の知識を得ていると認定し、「Basic SecCap 7」(BSC7)という修了認定証を授与している(図2)。これらの単位に追加して、さらに先進演習科目を1単位および3単位取得した場合には、それぞれ、BSC8とBSC10という修了認定証を授与している。表2に、これまでの修了者(BSC7以上の修了証を授与された者)の人数を示す。
岡山大学が提供する専門科目/演習科目/先進演習科目の内容
岡山大学では、令和4年度に専門科目として「セキュリティ概論」と「情報セキュリティ」、演習科目として「セキュリティ実装演習B」と「分散データ管理演習」、先進演習科目として「セキュリティ実装演習Aを開講した。令和5年度も、一部の科目名を変更したこと以外、ほぼ同じ状況だ。その内容は以下の通りである。
・セキュリティ概論 (第3、4学期に毎週2時間開講)
現代情報化社会において、情報を他人に盗み見られることなく安全に送受信するために、情報セキュリティ技術は重要な役割を果たす。なかでも、データの秘匿化やユーザー・機器の電子的な認証のための暗号技術、インターネット上で安全に情報通信を実現するためのネットワークセキュリティ技術、そしてWebブラウザーなどを通じてユーザーが安心してサービスを利用できるようにするためのマルウェア検知・解析技術は必須のものである。本講義では、これら情報セキュリティ技術について網羅的に講義する。
・情報セキュリティ (第2学期に毎週2時間開講)
本講義では、安全な情報システムを構築するために必要なセキュリティについて講述する。具体的には、情報セキュリティの基礎概念を説明する。また、サイバー攻撃の概要や、それに関わるインターネット技術、マルウェアの感染方法、メモリ破壊の脆弱性を利用した攻撃、DDoS攻撃、DNS攻撃など、さまざまな攻撃について解説する。また、Webシステムへの攻撃と防御手法、計算機資源の適切な利用を制御するアクセス制御技術、マルウェアの解析技術、および最新のサイバー攻撃の傾向についても説明する。
・セキュリティ実装演習A(第2学期集中)
IoT時代において情報を他人に盗み見られることなく安全に交換するために、暗号技術は重要な役割を果たす。その中で楕円曲線暗号やRSA暗号など公開鍵暗号は、ユーザーや機器を電子的に認証するために用いられており、その鍵長などセキュリティパラメータは、計算量的な安全性評価に基づいて適切に設定されなければならない。本演習では、楕円曲線暗号を具体的なターゲットとして衝突型の暗号解読攻撃プログラムを実装し、その計算量的な安全性の評価方法について学ぶ。
・セキュリティ実装演習B(第3学期集中)
IoT時代において情報を他人に盗み見られることなく安全に交換するために暗号技術は重要な役割を果たす。その一方で、暗号計算のハードウェア実装の仕方によっては、理論的な解読困難さにも関わらず、物理的な手段によって短時間で解読できる攻撃(サイドチャネル攻撃)が知られている。本講義では、暗号技術の歴史と原理、用途について学ぶとともに、ハードウェアに実装された暗号計算に対するサイドチャネル攻撃による解読を体験し、攻撃原理とその防御のための基礎知識を学ぶ。
・分散データ管理演習(第2学期集中)
近年では故障耐性や秘匿性のバランスの良さから、分散型のデータ管理手法が盛んに研究されており、秘匿したいデータを復元することなくデータ解析を行えるようなシステムの開発なども進められている。本科目では、とりわけデータを分散・管理するために必要な秘密分散共有法に関する理論を学び、実装と脆弱な例を攻撃することで適切な利用方法について学ぶ。また、効果的なセキュリティ対策を講じられるように、攻撃者がもつ技術や視点をゲーム形式(CTF: Capture The Flag)で学習する。
令和4年度では流行症の感染拡大へ配慮しつつも、適切な感染対策をとったハイブリッド形式で希望学生が集中して実習に取り組めるよう工夫して実施した。具体的には、セキュリティ実装演習Aでは先進的な内容を扱うため、あらかじめLMS(Learning Management System)上で予習資料を配布するとともに、演習中も理解度を確認する小テストを設けることで、ステップバイステップで理解を深められるように配慮した。
また、セキュリティ実装演習Bでは実際に機材へはんだ付けを行う必要があるなど、実物が不可欠なことから受講者数の多い九州地方では北九州市立大学の担当教員と連携することで、物品の配送や現場でのサポートを行った。これにより、岡山で現地学生への指導と同時に、九州地方で受講する学生へも十分な学習環境を提供した。
さらに分散データ管理演習では、学生が速やかに学習へ移行できるように、演習環境をクラウドプラットフォーム上で再構築し、容易にプログラムを動作させながら理論を学べるようにした。
上記の5つの開講科目に対し、岡山大学工学部のほかにも、静岡大学、和歌山大学、岡山県立大学、北九州市立大学、長崎県立大学、岡山理科大学などから受講者が参加している。図3、4は講義・演習の風景である。理論ばかりでなく、攻撃手法・攻撃者の視点なども交えながらPBL演習やプログラミング実装などハンズオン形式により、安全性の評価手法や攻撃への対策実装などを具体的に習得することが大切である。さらに情報セキュリティの確保やプライバシーの保護などに携わる研究者・工学者・エンジニアとしての倫理感も合わせて育てることが重要となる。
岡山大学では、産学官が連携することにより、情報セキュリティについて多様な視点・立場からも学べる実践フィールドを提供し、知識・スキル・工学者倫理を合わせ、より実践的な情報セキュリティ人材育成のエコシステムを構築している。
enPiT2、enPiT2-Securityおよび岡山大学のenPiT2-Securityについては、以下のWebサイトに詳しい情報を掲載しているので、確認いただきたい。
enPiT2: https://www.enpit.jp/
enPiT2-Security: https://www.seccap.jp/basic/
岡山大学のenPiT2-Security: https://www.eng.okayama-u.ac.jp/enpit2-sec/
<セキュリティ人材育成法:参考記事>
横平徳美 岡山大学ヘルスシステム統合科学研究科
(岡山大学工学部兼担)
「コンピュータやネットワーク,使うのは大好きです。いろんなアプリを一杯使っています。それ以上に大好きなのがコンピュータやネットワークの新たな仕組みを考えること,機能を改善することです。
この好きが発端となり,40年くらい前から,インターネットの解析,性能改善について研究しています。
一般の人からすれば,インターネットはブラックボックスであり、クリック一発でいろいろな情報や動画をさっと見ることができます。
しかし,そのブラックボックスの中ではいろいろな技術ががんばって一生懸命働いています。
皆さんも是非そのブラックボックスの中身に興味を持って下さい!!!」
「セキュリティ人材育成法」の最新話公開は、メールマガジンでもご案内致します。是非JAPANSecuritySummit Updateのメールマガジンにご登録ください。
メールマガジンの登録はこちらからお願いします