データ不正利用、サイバー攻撃が世界的なリスクTop5の今、人材育成の在り方は：夏休みの学生らが体験、RSAの実践的なインシデント対応演習

2019年8月8日、9日にかけて大阪でRSAが「サイバーインシデント シミュレーション チャレンジ」を開催。奈良先端科学技術大学院大学（NAIST）でセキュリティ関連の研究に取り組む学生10人が「セキュリティに関する知識やスキルを身に付けたい」と参加した。

　基本的な知識がなければセキュリティインシデント全体の流れを把握するのは困難だが、書籍や座学で得た知識だけでは、速やかに手を動かそうとしてもおぼつかない。知識と実践、それぞれを補うため、セキュリティの現場で行われている作業を、手を動かしながら体験するワークショップ形式の演習が増えてきた。EMCジャパン（Dell Technologies）の1ブランドであるRSAが開催した「サイバーインシデント シミュレーション チャレンジ」も、そうした取り組みの一つだ。

　文部科学省では2012年度から、情報技術を高度に活用し、社会の具体的な課題を解決できる人材の育成機能を強化することを目的に「成長分野を支える情報技術人材の育成拠点の形成」（enPiT）というプログラムを実施し、産学協同で実践的な教育を推進してきた。この中で、ビッグデータやAI、組み込みシステムなどと並んで重点分野の一つとなっているのが「セキュリティ」で、「SecCap」の名称で、東北大学を中核拠点に14の大学や大学院大学が連携し、産業界が求める実践的なセキュリティ人材の育成に向け、専門的な教育を実施している。

　このSecCapの一環として2019年8月8日、9日にかけて大阪で開催されたサイバーインシデント シミュレーション チャレンジには、奈良先端科学技術大学院大学（NAIST）でセキュリティ関連の研究に取り組む学生10人が、夏休み真っ盛りという時期にもかかわらず、「セキュリティに関する知識やスキルを身に付けたい」と参加した。

　中には、競技形式でセキュリティスキルを競う「Capture The Flag」（CTF）の大会や、守る技術を競う「Hardening Project」への参加経験があり、「リベンジを果たしたい」という学生の姿もあった。逆に「セキュリティ専攻」といっても、専攻内容は物理層のセキュリティで、普段はオシロスコープを相手に漏えい電磁波などを計測しており、「ネットワークセキュリティとなると何となくWiresharkを使ったことがある程度で、こういったツールには触れたことがなかった」という学生もいた。そんな彼らにとって、RSAの可視化製品「RSA NetWitness Platform」を用いたインシデントレスポンスは、新鮮な体験だったようだ。

理論の学習に加え、産業界の協力を得た実践で現場の考え方を体験

　国内で盛んに「IT人材不足」「セキュリティ人材不足」が叫ばれるようになるずっと以前から、アカデミックの世界では「IT Keys」という形で、実践を織り交ぜたIT人材育成のプログラムを進めてきた。その後継となる「enPiT」（大学院生向け）と、2016年度からスタートした「enPiT」（学部生向け）では、業界をけん引するようなトップクラスの技術者の育成と同時に、高度な知識を持った若い人材の裾野を広げる役割を果たしてきた。現にenPiT卒業生の中には、東京大学 情報学環 特任准教授の満永拓邦氏のように、第一線で活躍しているセキュリティ研究者もいるほどだ。

奈良先端科学技術大学院大学 総合情報基盤センター／先端科学技術研究科 情報科学領域 教授 藤川和利氏

　学生らは普段の講義や研究に加え、enPiT／SecCapのプログラムを通じてセキュリティを学んできた。ではなぜ、それらに加えて企業と組んで演習を実施するかというと、「現場でどのようにセキュリティに関する業務が行われているかを知る、貴重な機会になるから」と、奈良先端科学技術大学院大学 総合情報基盤センター／先端科学技術研究科 情報科学領域 教授 藤川和利氏は説明した。

　「大学では理論を体系立てて教えることはできても、現場での知識となると難しい。座学はできるが、大学だけで現場に近い演習環境を用意しようと思ってもなかなか難しいのが現実だ。そこでさまざまな企業と協力し、分析手法や対策、対応の考え方を、実践を通して身に付けてもらえればと考えている」（藤川氏）。企業見学の一環として、セキュリティベンダーが運営するSOC（Security Operation Center）を視察するのもいいが、手を動かし、体験することで得られるものは大きいという。

　こうした背景からenPiTのプログラムでは、Wiresharkを利用したネットワークパケット解析やバイナリの静的解析、あるいはハードウェアのセキュリティに関する演習の他、「危機管理コンテスト」を下敷きに、SOC担当者の立場でインシデント対応能力とコミュニケーション能力を培う演習に至るまで、幾つかのセキュリティベンダーと協力しながらさまざまな形の演習を実施してきた。

EMCジャパン RSA事業本部 マーケティング部 部長 水村明博氏

　今回のサイバーインシデント シミュレーション チャレンジもその一環として行われたものだ。RSAはシンガポールやマレーシアなど海外でセキュリティ人材育成を支援してきた他、国内でも社会人向けの演習を実施してきた。また、情報セキュリティ大学院大学での講義も実施したことがあり、その流れでenPiTにも協力する機会を得たという。

　EMCジャパン RSA事業本部 マーケティング部 部長の水村明博氏は「サイバーセキュリティ強化のためには、経営層と現場、双方でまだまだ育成や教育が必要で、両輪での取り組みが必要だ。経営層向けにはデジタルリスクマネジメントの観点から説明し、啓発する機会があるが、現場向けにも今回のようなワークショップスタイルの演習を通じて人材育成を支援し、『サイバーリスクに対し、技術者がどのような姿勢で臨むべきか』という実践的なポイントを伝えていければと考えている」と述べた。

競技形式でインシデントレスポンスを疑似体験

　最近はサイバー攻撃関連のニュースが取り上げられることが増えたが、インシデントに遭遇し、調査する経験をした人は、そう多くはないだろう。RSAが用意したのは、それを体験するプログラムだ。「ワークショップを通して現場のセキュリティを担う層に実際の流れを体験してもらい、点と点をつないで1つのシナリオを読み解いていく醍醐味（だいごみ）を体得し、セキュリティという仕事に魅力を感じてもらえれば」と水村氏は説明した。

　1日目の演習では、偵察から侵入、横展開といった「サイバーキルチェーン」と表現される攻撃の各ステップを紹介しながら、ネットワークでのログ解析を行う「NetWitness Log＆Network」と、エンドポイントのプロセスを掘り下げて調査していく「NetWitness Endpoint」の操作方法を説明。攻撃者の行動によってどのようなログや痕跡が残されるかを解説していった。

　午後はその説明を踏まえ、3時間半のCTF形式で演習を実施した。2人1組のチームでSOCの役割を担い、エンドポイントとネットワーク、メール、DNS、Active Directoryなどのログを調査して情報を集め、「この端末が通信しているIPアドレスは？」「このユーザーはどこにファイルをダウンロードした？」といった設問に答えることでスコアを得ていく形だ。

CTF形式で行われたインシデントレスポンス演習

　演習の背景にあるストーリーは、典型的な標的型攻撃をなぞったものだ。社員の1人が、うっかりマルウェアが仕込まれた添付ファイルを開いてしまって感染し、そこから本体のマルウェアがダウンロードされ、C2（Command and Control）サーバと通信し、システム内部での侵害を広げて最終的に外部に重要なファイルを転送してしまう……というシナリオに対し、学生らは攻撃者の一連の行動によって残ったログやシステム内の痕跡を、NetWitnessを用いて追いかけていく形だ。

答えが明らかになると次の謎が見えてくる。正解を入力するまで試行錯誤するチームも

　オープンソースソフトウェアならばともかく、学生が商用のセキュリティソリューションに触れる機会はそう多くない。「最初のうちは操作に慣れるだけで精いっぱい」という感じだった学生たちだが、徐々に勘所をつかみ、攻撃者の痕跡を探っていった。終盤はトップ争いも最下位争いも接戦となり、中には少しでも順位を上げようと、総当たりで回答を入力する「ブルートフォースアタック」を仕掛けるチームもあるほど白熱した。

競技時間が終わると、早速集まって自主反省会の輪が広がった

解析作業で見えてきた点をつなぎ、サイバーキルチェーンという1つの線に

　演習の2日目には、「前日の演習で自分たちがどんなことを試し、何がうまくいって何が課題だったか」、そして「SOC業務でどんなことが必要だと考えるか」といった事柄を資料にまとめ、各チーム15分程度のプレゼンテーションを行った。