McAfee Blog

サイバーセキュリティ教育最前線!! 将来の“ホワイトハッカー”はこうして育つ

2015年07月31日 18時10分更新

文● McAfee

　現在、インターネットやITは、企業や組織、そして社会基盤として欠かすことができないものとなっています。その反面、昨今のサイバー攻撃のニュースでもあるように、顧客情報など重要情報の漏えいや不正入手により企業や組織の信頼性とブランドが失墜する例も後を絶ちません。このようにサイバーセキュリティが日本社会にとって大きな問題となっていることは、皆さんもご存じの通りです。

　その対策には、企業や組織の人材や学生などを対象とした「サイバーセキュリティ教育」が重要であり、特に2020年に東京オリンピック・パラリンピックを控える今、セキュリティ人材の育成が求められています。しかし、一口に「サイバーセキュリティ教育」といっても、どのように実施すればいいのか、あるいは、どういう内容が必要なのかということに悩む方も多いのではないでしょうか？

　このような社会的要請を受けて、インテルセキュリティでは近年、サイバーセキュリティ教育の一環として、大学や専門学校の学生を主な対象に、PC上で実際にサイバー攻撃を行うツールなどを活用したサイバーセキュリティ演習を提供しています。

　今回、東京電機大学から貴重な機会をいただき、2015年6月25日、7月6日の2日にわたり、大学4年生向けのサイバーセキュリティ演習の講義を実施しました。

　今回の演習では、インテルセキュリティの演習担当者が講師となり、近年のサイバー攻撃の潮流や概要、実際にサイバー攻撃を受けた企業の事例を基にして、セキュリティ対策の重要性を講義し、実際のサイバー演習として、ネットワーク接続されたサーバーとPCを使ってのサイバー攻撃および防御演習を中心に構成しました。

　演習当日は、一人一台のPC環境が用意され、演習用としてPC上に仮想化されたLinux環境を活用して、講義と実習を組み合わせながら進行しました。

　サイバーセキュリティの学習には、OSとプログラムが動作する仕組み、データベースとネットワーク、通信プロトコルなど、多岐にわたる知識と環境が必要となります。演習形式で、セキュリティに関する基礎的な知識を深めたい方や、セキュリティには興味を持っているが、どのような勉強から手を付けてよいか分からないと考えている方にとって、学びのきっかけとなるよう、攻撃と防御について、実際の手法を通じて作業することで、サイバーセキュリティに対する知識の共有を図っています。

　サイバー攻撃として、サーバーに残された脆弱性や設定不備を利用するケース、複数のサービスでパスワードを使い回すことに起因する不正アクセスなどの事例などを想定して演習を構成、セキュリティ施策やインシデント対応の有効性を確かめ、課題を確認します。

　そこでは、攻撃担当と防御担当という役割を想定して、攻撃者あるいは防御者の視点で実習を行います。攻撃担当は脆弱性の発見、システムへの侵入、機密情報の入手を、防御担当は状況の認識と問題の発見、原因の追及と対策の検討、そしてインシデント対応を行います。

　そして、今回の演習では特に攻撃を中心とした実習を行いました。

　攻撃担当は、まず、標的対象の調査（システム情報や脆弱性情報など）を実施、ハッキングするための情報を収集するところから始めます。続いて、それらの情報に基づき、ツールを用いてハッキングを行います。システムへの侵入が成功したら、ファイルやデータベースから情報を抜き出したり、パスワードファイルを入手したりします。パスワードファイルは、さらに辞書攻撃などを利用して、ハッシュ化されて読めなかったパスワードをテキストとして入手しました。