“ゼロ”から立ち上げた育成プログラム「社会全体のモデルケースを目指す」

高専初「サイバーレンジ」も、都立産技高専のセキュリティ人材育成が目指すもの

2017年05月29日 07時00分更新

文● 谷崎朋子　編集● 大塚／TECH.ASCII.jp

「倫理観と正義感」「コンピューター科学」を中軸に据える

　プログラムを構築するにあたり、同校では「2つの柱」を中軸に据えた。

　1つは「倫理観や正義感を養うこと」だ。セキュリティに限った話ではないが、これは犯罪かもしれない、犯罪を犯してはならないという意識が身に付かないまま、テクニックの面白さだけにのめり込んでしまうと、そのままダークサイドに堕ちて人生を台無しにしてしまう可能性もある。「技術を磨きたいという純粋な思いに対し、いかに倫理観を持たせてから社会に輩出できるかは、教育機関として重要な役割でもある」（小早川さん）。

　その取り組みの一環として、同プログラムを履修する学生は4月の新年度開始前の3月下旬、東京都弁護士会法教育センターの法教育プログラムで実施されている「刑事裁判傍聴講座」に参加することになっている。

　第1期生のとき、岩田さんの担当グループは薬物事件で逮捕された被告人の裁判だった。「刑務官に誘導されながら手錠をかけられ法廷に入ってくる被告人や、憔悴した様子で淡々と今後の更生を支えると誓う母親を目の当たりにして、最初はヘラヘラしながら裁判所に出向いた学生も、裁判後には顔つきがまったく変わっている」（岩田さん）。

　法を犯すとどうなるのか、誰を悲しませてはならないのか。“あちらの世界”を垣間見ることで、ぼんやりとした使命感が学生の中で少し鮮明になったように感じたと、両氏は口をそろえる。

　もちろん、ただ怖がらせているのではない。明るい日の下で活躍する人材に育ってもらいたいという思いが根底にある。警視庁や警察庁、セキュリティ技術者による講話などでも、学生の成長を全面サポートするという意思を積極的に発信してもらっているという。「高専という閉鎖された空間ではなく、社会全体が自分たちを支援してくれていると実感することで、学生が心を強く持つための支えになっていれば嬉しい」と、小早川さんは述べる。

主催イベント後、情報セキュリティ技術者育成プログラムの履修生たちなどが記念撮影

　2つめの柱は「コンピューターサイエンスの理解と習得」だ。

　セキュリティ業務に従事する人材の、質的／量的な不足――。そんな課題が提示されてから久しいが、いま必要とされるスキルや職種だけを求めて人材を育成することは、教育機関にとって本望ではない。人工知能や自動化技術が進化し、セキュリティ業務の一部が機械に取って代わられる、そんな未来においても、弾力性を持って生き残るために「コンピューターサイエンス」という芯を備えてほしい。そのうえで、セキュリティという鎧を身にまとうべきだ。

　前出の佳山さんも、内覧会で学生たちに言い添える。「攻撃によってバッファオーバーフローが発生すると聞いたとき、スタックの考え方やレジスタの仕組みを理解していないと、つまづいてしまう。コンピューターサイエンスの土台がしっかりしていると、学習の加速度は全然違う」。

　小早川さんは、「ハンズオンで楽しみながら（コンピューターサイエンスという）コアの部分を鍛えられるよう、カリキュラムを組んでいる」と語る。

プログラム履修生主催で中学生向けセキュリティイベントを開催

　情報セキュリティ技術者育成プログラムは、この4月で2年目を迎える。1年間実施して手応えはあったのだろうか。

　「学生の人間力は確実に成長していると思う。特にチーム力が向上したのではないか」と、小早川さんは断言する。

　起爆剤の1つは、品川キャンパスの文化祭「産技祭」で中学生向けに実施したCTF（Capture the Flag）ではなかったかと、岩田さんは振り返る。「準備に参加した履修生と参加しなかった履修生の間に、はっきりとしたスキル差が出た。それを感じ取ったのか、参加した履修生たちは全員で成長できるよう手を差し伸べ、参加しなかった履修生たちも奮起した。コミュニケーション能力も少しは……上がったかな？」。

　それを受けて小早川さんは笑いながら、「自分たちが多くの人にサポートされていることを知っているので、もらったものを還元したいと自然に動いているのかもしれない」と分析する。

　3月11、12日に履修生が主催した中学生対象のセキュリティイベント「Cyber Security Tokyo for Junior」（http://www.tmcseec.net/cyber_security_tokyo/）には、履修生全員が自主参加を申し出て、一丸となって取り組んだ。

履修生たちが主催した「Cyber Security Tokyo」の様子

　目標は、参加する中学生たちに、情報システムのセキュリティ対策の重要性を体感してもらうこと。そこで、「Raspberry Pi」やモーターなどを使って遠隔操作できる監視カメラを制作し、それを使ってCTFに挑戦、セキュリティの基本をクイズ形式で学びながら、運営側が仕掛けるハッキング攻撃にどう対策すべきかを最後にディスカッションする構成にした。

　1日目は、セキュリティと倫理に関する講話を聴講し、その後はカメラ制作に没頭した。講話は、保護者同伴で参加することが必須条件だった。理由は、サイバーセキュリティ方面に進みたいと子供に言われたとき、得た知識や技術を正しく使うための倫理観を養ううえで、保護者の協力や理解が必須だからだ。

　2日目は、CTF大会が開催された。教室内の参加者からは見えない廊下の壁に次々と文字が映し出されるので、壁前の監視カメラでこれらを確認し、所定の個所に入力すれば問題が出題される。この問題は、ファイルの中身を見るにはどのコマンドを使えばよいかなど、監視カメラを遠隔操作するための設定や操作で学んできた基礎知識。正解すればフラグ（得点）ゲットだ。

参加者が作成したリモート監視カメラ。壁際に配置され、CTF開始を待つ

白黒の格子状の隙間を泳ぐ文字

　このとき、文字はさまざまなスピードで飛び回るため、監視カメラを上下左右に操作する必要がある。しかも運営側が、途中で電源を引き抜く、モーターを動かすためのファイルの権限を変更する、映像配信アプリの強制終了コマンドを実行する、謎（？）の人物がカメラを覗き込んで邪魔をするなどの「攻撃」を実行するので、フラグ獲得は簡単ではない。

カメラを覗き込み、文字を見せないよう邪魔をするアノニマス（？）

　攻撃の中には、産技祭のCTFで経験した失敗も盛り込まれている。「OAタップにどんどんPCをつなげていたら、突然電源が落ちて（笑）」。そう笑う履修生の菊池雄一さんと小障子尚太朗さんは、低レイヤー（物理レイヤー）を含め、広い視野で設計を考えることが大事であることを実感したという。

イベント前日のリハーサルでは、機材の動作チェックが入念に行われた

　CTF終了後は、セキュリティについて考えるディスカッションが行われた。「監視カメラはどんなところにある？」「セキュリティ対策がされていないと、どんなことが起こりうる？」「システムに侵入されてコマンドを実行されたとき、どうすればそれを調べられる？」「他人にファイルを見られないようにするには？」「アカウントの権限を奪われたら一番ヤバいユーザーは？」。履修生たちはこうした質問を投げかけながら、サイバー攻撃の実社会への影響や、守る側になることの大切さを伝えた。