総合的に判断・実行できる人材を

　サイバーセキュリティ人材育成プログラムの端緒は、平成27（2015）年6月に日本年金機構で発生した、マルウェア感染による情報漏洩事件にまで遡る。当時、NIIでは、SINETにおいて、さらなるセキュリティ強化に向けた議論を開始していた時期であり、このタイミングで起こった日本年金機構の情報漏洩は、大学関係者にとって大きな関心事となった。

　事件を受けて、文科省は、各国立大学にマルウェア感染がないかを確認するために協力を要請。その結果、複数の国立大学で、同様のマルウェアに感染していた疑いが浮上した。

　だが、ここで最も大きな問題だったのは、感染そのものではない。感染が疑われた大学に共通していたのは、それを大学の経営側に報告していなかった点だった。

　NIIサイバーセキュリティ研究開発センター長の高倉教授は、「どんな大学でも、月に数件はマルウェアに感染しています。でも、駆除できたのは最初に感染したマルウェアだけ、そのマルウェアが後から持ち込んだマルウェアは駆除されていないことが多い。

それを完全に駆除できたと判断して、報告をあげなかった例が相次いでいました。深刻な事態に至ってから、慌てて報告していたのです」と指摘する。

　ネットワーク管理者やシステム管理者のサイバーセキュリティに対する基本認識に問題があったと言わざるを得ない。

　もう一つ、現場における問題は、大学の経営層に対して、マルウェア感染や情報漏洩の危険性について、適切に報告できるスキルを持つ管理者が少ない点であった。

　「現場のエンジニアは、マルウェアや攻撃そのものの特徴に関心を寄せてしまう。それが新種のマルウェアともなればなおさらです。ですが、大学の経営層が知りたいのは、現在の状況が大学の経営や運営に、どの程度の影響を及ぼすかという点。そこを的確に報告できる管理者が求められているのです」

　学生のデバイスがマルウェアに感染しただけなのか、それとも重要情報を取り扱うサーバーが攻撃を受けたのかによっても、対策の優先度や重要度は異なってくる。何を優先し、どのような対策を施すべきなのか、大学経営への影響はどの程度あるのかを明確に判断し、報告できる体制づくりが、すべての大学に求められているのだ。そうしたことから、サイバーセキュリティ人材育成プログラムは、サイバーセキュリティを理解し、適切に行動できる人材を大学に配備することを目的としている。

　「必要なのは、現場で交通整理ができる人。ネットワーク技術、セキュリティ技術の知識と実務経験を持ち、断片的な情報からでも総合的に判断し、状況の変化に応じた的確な措置を実行できるとともに、法的な知識にも通じ、経営層との意思疎通ができるような"橋渡し人材"を育てたい。各大学で最低2人は育ってほしいですね」と、高倉教授は語る。

NIIは何を提供するのか

　NIIが構築・運用する学術研究ネットワーク「SINET」は、現在、新たなセキュリティ対策強化に取り組んでいるところだ。サイバーセキュリティ人材育成プログラムは、その一環として推進される。現在、取り組んでいるのは、「NII-SOC（セキュリティオペレーションセンター）」（仮称）の開設であり、この動きが本格化したのも、日本年金機構の情報漏洩事件がきっかけだった。

　日本年金機構の例では、NIIにも情報漏洩の発端となったマルウェアが約半年間も潜伏していた疑いがあるとして、NIIのアクセス履歴を半年前まで遡って確認することにした。だが、マルウェアに指令を出していたサーバーのIPアドレスが転々としていることや、有名サイトへのアクセスログが含まれることなどから、膨大な情報を解析する必要に迫られ、NIIのシステム環境では、データを抽出するだけで約1週間もかかっていた。もはや、一つの機関ですらすべてのアクセス情報を対象に解析するには限界ともいえる状況にあった。

　一方、サイバーセキュリティ基本法の制定により、中央省庁に加えて、独立行政法人や特殊法人などが、内閣サイバーセキュリティセンター（NISC）の制度に基づく監視・監査対象に追加された。国立大学法人等はその対象から外れたが、独自の対策強化が法律で求められることになった。

　これらの状況を踏まえて、NIIでは、平成27年からSINETを俯瞰する新たなサイバーセキュリティ対策の構想に着手した。平成28（2016）年4月にSINET5の運用開始に合わせて、サイバーセキュリティ研究開発センターを発足。同センターを中心に、構想の実現に向けてNII-SOCの構築を開始した。

　ただし予算が限られていることから、取り組みには限界があった。そこで、NII-SOCでは、約90の国立大学機関に限定した運用としたほか、まずは平日運用や時間枠を設定した形での運用から始めること、また国立大学には新たなセキュリティ人材の雇用を求めず、各大学の協力を得ながら、サイバーセキュリティ人材を育成することも盛り込んだ。
　NII-SOCでは、大学のファイアウォールの外での通信を監視対象にし、それに対応した検知パターンを設定。監視によって不審な通信を検知すると、該当IPアドレスに加え、関連した疑わしい通信情報をまとめて解析し、解析結果を大学側に通知することになる。大学側では、これをもとに対策を検討、判断し、各種対策を実行する。このときに、現場での判断と対策を実行するのが、サイバーセキュリティ人材育成プログラムによって育成された人材ということになる。

　サイバーセキュリティ人材育成プログラムの正式なスタートは、平成29年7月の予定だが、同3月から、大規模校から小規模校までさまざまな15大学が参加して、試行を開始している。ここでは、NII-SOCで開発したツールの使い勝手や最適化に向けたチューニング作業なども実施し、人材育成プログラムがスムーズに実行できるかどうか、約3週間に渡って検証する。また、4月からは、対象となる国立大学を約60校にまで拡大し、正式スタートに向けた準備を一気に進める。

サイバーセキュリティ全体の底上げも

　サイバーセキュリティ人材育成プログラムに関連して、高倉教授は、NII-SOCを通じて、いくつかの新たな取り組みを開始しようとしている。一つは、マルウェアそのものの検体を大学側に提供する試みだ。

　これまで、日本の大学機関が最新の検体を国内で入手することは困難だった。そのため、海外のセキュリティ関連機関およびセキュリティベンダーが早い段階に検体を入手して研究、開発をしてきたのに比べて、日本の大学での研究活動は大幅に制約されていた。「NII-SOCでも配布先に制限はあるが、研究者がフレッシュかつリアルなデータを入手する仕組みをつくることで、いま起きている事象を研究対象にできます。これにより、日本におけるサイバーセキュリティ研究を加速したい」とする。

　もう一つは、大学生や大学院生へのインターンシップだ。各種情報を提供することで、将来のサイバーセキュリティ人材の育成に向けた後方支援を、各大学に対して行う考えだ。実践型ともいえるサイバーセキュリティ人材育成プログラムが、人材育成だけでなく、日本のサイバーセキュリティの底上げを実現できるかどうかも注目される。

（ 取材・文＝大河原克行　写真＝佐藤祐介）