Mar. 2017No.75

サイバーセキュリティ人材を育てる脅威から学術ネットワークを守るために

Interview

求む、サイバーセキュリティ人材

監視と人材育成の両輪で学術機関を守る

標的型攻撃で情報を盗まれたり、サイトを改ざんされたり――。大学などの研究機関は日々、サイバー攻撃の脅威にさらされている。こうした中、NII が今夏、スタートさせるのが学術情報ネットワーク「SINET5」にきたサイバー攻撃を検知し、その情報を大学などに提供する体制だ。緊急時には対応もサポートし、やり取りの中で大学のセキュリティ人材育成も狙うという一石二鳥の作戦である。喜連川優所長にその狙いを聞いた。

喜連川 優

Masaru Kitsuregawa

国立情報学研究所 所長

若江 雅子

聞き手Masako Wakae

1988年青山学院大学卒業、読売新聞社入社。
社会部を経て2014年から編集委員。

若江 大学のセキュリティ、甘いですねえ。最近も深刻な事故が次々と起きています。

喜連川 悩ましいのは、大学では自由に研究できる風土が重視され、企業のような厳格な情報管理がなじみにくいことです。さまざまな国の研究者を受け入れたり、各自が持ち込んださまざまなコンピュータを大学のネットワークにつないだりする必要もあります。一方で、研究データなど重要な知的財産を保有しており、セキュリティの確保も急務になっています。

若江 大学の中にセキュリティを担う人材が育っていないとの指摘もあります。

喜連川 大学で「IT」というと、かつてはスーパーコンピュータがその象徴でしたが、時代とともに計算サービスよりネットワーク接続サービスの重要性が増し、それに従ってセキュリティの必要性も高まってきました。ところが、そうした需要の変化に組織が十分対応できず、多くの組織ではコンピュータやネットワークの運用担当者が専門外のセキュリティも担う、という状態が生じています。人材育成は急務ですが、国内に1000を数える研究機関がある中で、それぞれの組織がセキュリティのスペシャリストを準備するのは難しい状況です。

若江 そこで考えたのが今回の取り組みですね。

喜連川 大学や研究機関をつなぐSINET5上に、サイバー攻撃を検知するシステムを整備してNIIが24時間365 日通信を観測し、攻撃情報や疑わしい通信先などの情報、分析結果などを各組織に伝えます。各組織で対応が難しいケースには緊急度に応じてNIIがサポートもします。

若江 つまり、NIIにSOC(セキュリティ・オペレーション・センター)を設けて監視サービスを提供するということですね。政府機関の通信はすでに内閣サイバーセキュリティセンター(NISC)が監視していますし、独立行政法人には情報処理推進機構(IPA)が監視サービスを提供することになりましたが、大学にもいよいよ同様のサービスがスタートするのですね。

喜連川 日本でも一部の業界で始まっているセキュリティ情報の共有組織ISAC(Information Sharing and Analysis Center)の大学版をイメージしています。攻撃者は同じ時期に同じような業界を狙う傾向にあるので、一つの大学で攻撃が発覚した時には、実は他の大学も狙われている可能性があります。でも、被害情報はなかなかオープンになりにくいものです。今後は、NIIがマルウェア(悪意のあるプログラム)や疑わしい通信などを検知したら該当の組織に通知した上で、被害組織名を伏せた状態で、防御に有益な情報を他の組織と共有したいと思っています。

若江 被害組織を匿名化すれば情報は流通しやすくなりますね。他の大学も、マルウェアがどんな挙動をするのか、通信先はどこか、といった情報が分かれば対策を取りやすくなります。

喜連川 今回のもう一つの狙いは、各組織のセキュリティ担当者のスキルアップです。まず解析システムの使い方の講習を受けてもらい、その後は日々、NIIから観測データや分析結果の提供を受けたり、問題が発生すれば対処のサポートを受けたりしながら、OJT(オン・ザ・ジョブ・トレーニング)方式で実力をつけてもらうのです。大学の教員や学生を客員研究員やインターンとして受け入れ、トレーニングを実施することも検討しています。

img75-1.jpg

若江 監視サービスの対象は?

喜連川 国立大学と大学共同利用機関法人が対象です。SINET5に加入している国立大学は86、大学共同利用機関は16で計102機関あり、現在、その8割程度が手を挙げています。

若江 SINET5には公立大や私立大、高専など計844組織が加入していますが、1割しか参加できないんですね。

喜連川 今回の事業は国立大学法人の運営費交付金でまかなわれるため、私大や高専などは対象外です。それに予算的にも現状が精一杯。今年度の予算は7.8億円で、検知のための機材すらまだ当初予定の3分の1しか買えていません。

若江 え?SOCルームの賃料も機材も人件費も入れて、たったそれだけですか?

喜連川 お金がない分、知恵を絞って頑張りますよ。

若江 ところで、今回の監視では膨大な攻撃データも入手できますね。

喜連川 それも今回の目玉。監視で得られたデータは、被害者を特定できないよう加工した上で、学術機関の研究者に無償提供します。しかも観測から1週間以内に出すつもりです。今も研究者コミュニティでマルウェアを提供しあう枠組みはありますが、早くても1年はかかっています。1日に数万という新しいマルウェアが作り出される時代、1年もたてば攻撃パターンは大きく変わってしまいます。セキュリティはスピードが命。その意味で、今回のデータ提供の意義は大きいでしょう。

若江 IoT機器への攻撃研究にも役立ちそうですね。

喜連川 例えば、SINET5と商用ネットワークの接点に特定のスキャンを検知するプログラムを組み込めば、IoT機器への攻撃者の狙いも見えてくるかもしれません。今はデータが研究の成否を左右する時代です。大量でフレッシュなデータの提供により、日本のセキュリティ研究に貢献したいと思っています。

(写真=佐藤祐介)

インタビュアーからのひとこと

数年前、大学のセキュリティを考える勉強会に顔を出したことがある。参加者の多くは、それぞれの大学でシステムやネットワーク運用を担いつつ、セキュリティも「ついでに」と任された教職員。なのに、専門的な教育を受ける機会もなければ予算もない。しかも大学の自由な雰囲気の中で厳格な情報管理は嫌われて......。サイバー攻撃が増えるなか、どの担当者も焦っていた。

 そんな悩みを見聞きしていただけに、今回の取り組みには期待している。何より、各大学で孤軍奮闘してきた担当者たちにスキルアップや情報共有の道を開く意味は大きい。残念なのは対象が国立大などに限定されること。私大や高専にも拡大できないのだろうか。

 観測データの研究活用にも期待している。日本のセキュリティを考える時、攻撃データが圧倒的に不足していることはよく指摘されることである。例えば、海外では当然のように構築されているマルウェアのデータベースさえ不十分で、研究者らは海外から高額なデータを買っている。今回の試みが、日本のいろいろな「タブー」を見直すきっかけになるといいのだけれど。

第75号の記事一覧