このページの本文へ

McAfee Blog

サイバーセキュリティ教育最前線!! 将来の“ホワイトハッカー”はこうして育つ

2015年07月31日 18時10分更新

文● McAfee

  • この記事をはてなブックマークに追加
  • 本文印刷

 現在、インターネットやITは、企業や組織、そして社会基盤として欠かすことができないものとなっています。その反面、昨今のサイバー攻撃のニュースでもあるように、顧客情報など重要情報の漏えいや不正入手により企業や組織の信頼性とブランドが失墜する例も後を絶ちません。このようにサイバーセキュリティが日本社会にとって大きな問題となっていることは、皆さんもご存じの通りです。

 その対策には、企業や組織の人材や学生などを対象とした「サイバーセキュリティ教育」が重要であり、特に2020年に東京オリンピック・パラリンピックを控える今、セキュリティ人材の育成が求められています。しかし、一口に「サイバーセキュリティ教育」といっても、どのように実施すればいいのか、あるいは、どういう内容が必要なのかということに悩む方も多いのではないでしょうか?

 このような社会的要請を受けて、インテル セキュリティでは近年、サイバーセキュリティ教育の一環として、大学や専門学校の学生を主な対象に、PC上で実際にサイバー攻撃を行うツールなどを活用したサイバーセキュリティ演習を提供しています。

 今回、東京電機大学から貴重な機会をいただき、2015年6月25日、7月6日の2日にわたり、大学4年生向けのサイバーセキュリティ演習の講義を実施しました。

 今回の演習では、インテル セキュリティの演習担当者が講師となり、近年のサイバー攻撃の潮流や概要、実際にサイバー攻撃を受けた企業の事例を基にして、セキュリティ対策の重要性を講義し、実際のサイバー演習として、ネットワーク接続されたサーバーとPCを使ってのサイバー攻撃および防御演習を中心に構成しました。

 演習当日は、一人一台のPC環境が用意され、演習用としてPC上に仮想化されたLinux環境を活用して、講義と実習を組み合わせながら進行しました。

 サイバーセキュリティの学習には、OSとプログラムが動作する仕組み、データベースとネットワーク、通信プロトコルなど、多岐にわたる知識と環境が必要となります。演習形式で、セキュリティに関する基礎的な知識を深めたい方や、セキュリティには興味を持っているが、どのような勉強から手を付けてよいか分からないと考えている方にとって、学びのきっかけとなるよう、攻撃と防御について、実際の手法を通じて作業することで、サイバーセキュリティに対する知識の共有を図っています。

 サイバー攻撃として、サーバーに残された脆弱性や設定不備を利用するケース、複数のサービスでパスワードを使い回すことに起因する不正アクセスなどの事例などを想定して演習を構成、セキュリティ施策やインシデント対応の有効性を確かめ、課題を確認します。

 そこでは、攻撃担当と防御担当という役割を想定して、攻撃者あるいは防御者の視点で実習を行います。攻撃担当は脆弱性の発見、システムへの侵入、機密情報の入手を、防御担当は状況の認識と問題の発見、原因の追及と対策の検討、そしてインシデント対応を行います。

 そして、今回の演習では特に攻撃を中心とした実習を行いました。

 攻撃担当は、まず、標的対象の調査(システム情報や脆弱性情報など)を実施、ハッキングするための情報を収集するところから始めます。続いて、それらの情報に基づき、ツールを用いてハッキングを行います。システムへの侵入が成功したら、ファイルやデータベースから情報を抜き出したり、パスワードファイルを入手したりします。パスワードファイルは、さらに辞書攻撃などを利用して、ハッシュ化されて読めなかったパスワードをテキストとして入手しました。

 学生からの質問には、演習をサポートするスタッフが支援し、取り残される学生がいないようにすることで、理解を深めてもらいます。

 演習で印象に残ったのは、「パスワードクラック」実習で、ハッシュ化されて読めなかったパスワードにツールを使うことで、コンピューター画面にクリアに表示されたときには、驚きの声が上がったことでした。やはり、実際に手を動かして、経験することの大切さを実感しました。

インテル セキュリティ講師は講義の最後に、今回のサイバー演習のまとめとして、2日間にわたる演習から学ぶことできる教訓を学生に説明し、

 「攻撃側の観点から作業をしてみると、どういった観点で守らないといけないかということがわかり、気づきになると考えています。そして、興味を持っていただければ、さらに広く、深く学習することができます」

 と述べ、講義を締めくくりました。

 今回の演習での窓口となっていただいた東京電機大学 佐々木教授からは、「サイバーセキュリティ演習は、PCやサーバーなどの設定に準備がかかり、うまく動作しないこともあります。今回のような実際のPCなどで確実に動く環境での経験は、重要だと考えています」とのコメントがありました。

 インテル セキュリティでは、日本のサイバー セキュリティを担っていく学生がセキュリティの重要性を理解できるよう、今回の東京電機大学と同様に明星大学などでもサイバー演習講座を実施しています。そして、今後も日本国内のサイバーセキュリティ人材の発展や育成、強化に貢献していきます。

 取材: マカフィー㈱発行 ニュースレター「Intel Security Insight」編集部

カテゴリートップへ