セキュア・ネットワーク構築のための人材育成プログラム
馬場 健一(大阪大学サイバーメディアセンター 応用情報システム研究部門)
1.はじめに
サイバーメディアセンターでは、IT社会の高度化・複雑化が進む中で、人材不足が深刻化するネットワークセキュリティ専門技術者を養成するため、2001年度より、文部科学省科学技術振興調整費(新興分野人材養成)の助成を受け、「セキュア・ネットワーク構築のための人材育成プログラム(SecureNetプログラム)」を立ち上げた。最先端の技術を反映した実践中心のカリキュラムと専門的な知識を十分に備えたスタッフをそろえ、大学院生、社会人を中心にネットワークセキュリティ専門技術者の育成を行っている。本プログラムにおいては、年間10人程度、本プログラムの継続期間5年間で50人程度の専門家を育成することを目標としている。具体的には、カリキュラムは、半期ずつの基礎コース、応用コースから構成される。それぞれのコースでは、セキュリティ技術、セキュリティマネジメント、法制度の3つのテーマを、講義と実験を組み合わせて週1日のペースで実施している。さらに、それぞれのテーマごとに外部講師を迎えての特別講義も併せて実施している。第1期の基礎コース、応用コースを通して目標を上回る15名程度の人材を育成し、これらの修了者は学内で社会でその成果を発揮している。
また、情報科学研究科と連携し、研究科の正式なカリキュラムである演習において、本プログラムの一部であるネットワークセキュリティに関するテーマを与え、教育している。さらに、大阪大学社会人教育講座と題した社会人セミナーにネットワークセキュリティに関するテーマを拠出し、実施に協力している。
2.本プログラム報告
2002年度は、前半に応用コース(第I期)、後半に基礎コース(第II期)を実施した。2.1 受講・修了状況
基礎コース(第II期)は、社会人、学生とも応募人数が多く、受講生の選考を行った。| 社会人 | 学生 | 計 | |||
| 民間企業 | 他大学教官 | 博士課程 | 修士課程 | ||
| 応 用 第I期 |
5 (5) | 2 (2) | 4 (4) | 4 (4) | 15 (15) |
| 基 礎 第II期 |
8 (8) | 0 (0) | 3 (3) | 4 (3) | 15 (14) |
2.2 講義概要
 |
| 図 1 講義の様子 |
ODINS(大阪大学総合情報通信システム)を題材に、技術的な観点およびセキュリティマネジメントの観点から、講義・演習・議論を行った。また、外部招聘講師による特別講義を行った。具体的には、セキュリティマネジメントのための演習として、このコースのためのセキュリティポリシー・規定・ガイドラインの策定、ODINSのセグメント分けポリシー案策定、また、ODINSで用いられている通信機器(スイッチ、ルータ)の設定、攻撃ツールの実演、侵入検知の実習などを行った(表3参照)。
なお、このコースで策定したODINSのセグメント分けポリシー案は、ODINSで「ODINS運用原則とセグメント分けポリシー案」として提案され、概ね了承された。
|
| 図 2 実習室の機器 |
第II期基礎コースでは、ネットワーク上の脅威となる様々な問題を取り上げ、攻撃の詳細、侵入解析のための基礎知識、盗聴技術とその対策、著明なサービスのセキュリティホール、暗号技術、無線LANの問題、ウィルス対策、IPv6での問題点などを講義で展開した。また、実習環境を用い攻撃されたディスクの解析、ネットワークの盗聴などの実習も行った。さらに、セキュリティマネジメントを考察するために、大阪大学の実運用ネットワークであるODINSにおける問題を取り上げ議論した。 外部招聘講師による特別講義を行った(表4参照)。
2.3 評価と今後の課題
2.3.1. 評価カリキュラムの改善・発展の参考とするために、各コース修了時にアンケート調査を行った。その結果はおおよそ以下のとおりである。
- 総合評価:満足度は全体的に高かった。
- 難易度:応用コースについては適切なレベルであった。基礎コースにおいては、全体的に「やや難しかった」と受け止めた傾向が強い。
- 有益度:全体的に高かった。大半の受講者が今後の研究や業務において有益であると回答している。有益度は総合評価の満足度にも反映されている。
(1) 応用コース(第I期)
① 体系化されたテキストの整備
現状では、特に体系化されたテキストはなく、その場の必要に応じて市販の教科書などを利用している。 今後は、SecureNetプログラム独自でテキストを編纂し、セキュリティを体系立てて教授する一助とするため、現在、本プログラムに参加する複数の研究者によって、テキストの作成・編纂に取りかかっている。
② 実習手順書の整備
セキュリティ技術についての理解を深めるために実習の時間を設けているが、事前に準備された実習手順書(マニュアル)がないため、実験の準備そのものに時間がかかり、満足のいく実験を行うことが必ずしもできていない。今後は、実習手順書を整備することで、受講生がセキュリティ技術を能率よく理解する一助としたい。
(2) 基礎コース(第II期)
技術的テーマに関しては、ほぼカリキュラムとして固まってきた感がある。ただし、座学、議論は十分行えたと考えているが、演習に関して依然として不十分であり、さらに準備の必要性が痛感された。
テキストに関しては、今回は演習問題形式で配布したが、さらなる充実が望まれる。
セキュリティマネジメントに関しては、その時々の話題を取り上げて議論してきたが、カリキュラムとして固めるためには、もう少しテーマを選定していく必要がある。
3.情報系学生教育
大学院情報科学研究科の情報ネットワーク学専攻およびマルチメディア工学専攻の2専攻において、大学院の本カリキュラムである演習II(半期1コマ)に対してテーマを拠出し、SecureNetプログラムを担当する教官がそのカリキュラムを担当した。内容は、SecureNetプログラムの正規カリキュラムのうち、一部を演習課題としている。3.1 受講・修了状況
| 受講者 | 合格者 | 平均点 | |
|
ネットワーク アナライザ演習 |
25 | 24 | 74.6 |
|
コンピュータ ウィルス演習 |
3 | 3 | 80.0 |
|
バッファ オーバーフロー演習 |
8 | 8 | 80.0 |
| 計 | 36 | 35 | 76.3 |
3.2 講義概要
まず、ガイダンスに続き、9つのテーマに分かれてネットワークセキュリティに関するサーベイを行い、発表会を行った。その後、ネットワークアナライザ演習、コンピュータウィルス演習、バッファオーバーフロー演習の3つの演習グループに分かれ、約10週間をかけて演習を行った。各演習テーマに関して成果を発表し、最後に全体を統括したセキュア・ネットワークを構築するための手法に関するレポートを作成し、発表会を実施した。3.3 評価と今後の課題
米国パーデュー大学やカーネギーメロン大学のカリキュラムに比べると見劣りするが、現在の日本の大学院における実習と比較すると、充実した演習であると考えている。ネットワークセキュリティに関する調査、演習、セキュアネット構築のための指針策定等、多くの内容を盛り込むことができた。そのため、学生の負荷がやや高いという指摘もあったが、課題内容自体よりも、基本的なマシン/サーバ設定等の準備段階で時間を取られている部分が多く、学生に基本的な知識がないことがわかった。また、学部学生に対する演習にあるような、課題内容を細かく示して行う演習ではなく、課題設定にある程度自由度を持たせることによって、学生自身に課題内容のブレークダウンを行わせることができたため、大学院生に対する演習にふさわしい内容であったと考える。
来年度は、現実に動く攻撃コードで演習を行い、実際に管理者権限を奪取するところを演習させてみたい。
4.社会人教育
大阪商工会議所、社団法人大阪工業会、大阪TLO大阪大学事業部門が主催する大阪大学社会人教育講座「セキュアネットセミナー」に対し、テーマを拠出した。受講生は31名であった。(1) 7 月4 日(木) 「セキュアネットワーク基礎」
(2) 7 月11 日(木) 「VPN, IPsec のセキュリティ」
(3) 7 月18 日(木) 「ネットワークセキュリティのための暗号技術」
(4) 7 月25 日(木) 「セキュリティマネジメントの標準化動向と認証制度の最新情況」
(5) 8 月1 日(木) 「インターネット上のセキュリティインシデントとその現状」
(6) 8 月8 日(木) 「セキュリティポリシー」
5.その他報告事項
5.1 OACIS技術座談会
大学院情報科学研究科とサイバーメディアセンターが協力して民間企業と組織する「IT連携フォーラムOACIS」において、大学と民間企業とのコーディネーションを探る技術座談会が定期的に開催されているが、SecureNetプログラムから「セキュア・ネットワーク構築のための技術ならびに人材育成について」というテーマで第4回技術座談会(2003年1月16日(木))を担当した。内容は、ネットワークを構築・運用する際に考慮しなければならないセキュリティ技術として、具体的ないくつかの例を取り上げ、それぞれの技術に関して概説を行った上で、セキュアなシステムに関する考え方について述べた。その後、SecureNetプログラムについて、カリキュラム編成と特徴、講義・実習内容、実習環境を中心に説明した。
企業からは、企業で使うためにはもっと高度な内容でなければならず、個人が勉強してきたというレベルではいけない、また、他の企業がどう困っていてどう解決したかなどの事例を知りたいという意見があった。他には、育った技術者がさらにその技術を広めることのできる枠組みをつくることも重要であるとの意見もあった。
5.2 21世紀COE「ネットワーク共生環境を築く情報技術の創出」に関するシンポジウム
大学院情報科学研究科とサイバーメディアセンターが共同で提案した21世紀COEプログラム「ネットワーク共生環境を築く情報技術の創出」が採択された。2003年3月10日、11日にシンポジウムが開催され、COEプログラムの教育プログラムの一環としてSecureNetプログラムについての紹介を行った。5.3 雑誌・新聞掲載
(1) 野川裕記, 齋藤和典, 馬場健一, “セキュア・ネットワーク構築のための人材育成”, 日本サイバーセキュリティ研究所 Cyber Security Management, vol.4, no.38, pp.50-55, December 2002.(2) “10月から基礎コース開講 先端の技術を反映した実践的カリキュラム”, 日本サイバーセキュリティ研究所 Cyber Security Management, vol.3, no.33, July 2002.
(3) “大阪大学、「セキュア・ネットワーク構築のための人材育成プロジェクト」応用コースの募集”日本経済新聞(夕刊) 18面, 2003年3月31日.
5.4 プレスリリース
(1) “大阪大学でセキュア・ネットワーク構築のための人材育成プログラムの公募を開始”(第I期応用コースの募集), 2002年4月1日.
(2) “大阪大学でセキュア・ネットワーク構築のための人材育成プログラムの公募を開始”(第II期基礎コースの募集), 2002年7月15日.
(3) “大阪大学でセキュア・ネットワーク構築のための人材育成プログラムの公募を開始”(第II期応用コースの募集), 2003年3月17日.
6.おわりに
今年度で2年目を終えた。今後の課題としては、教育効果を高めるため、情報セキュリティ教育の体系化を進めること、実習環境を整備すること、があげられる。
来年度は3年目に当たるため、これまでの研究教育を行った内容を報告する成果発表会を開催する予定である。
| 日 程 | 時 間 | 内 容 |
| 5/10(金) | 10:30-12:00 | 開講式 |
| 13:00-17:00 | オリエンテーション | |
| 5/17(金) | 10:30-12:00 | 研究室レベルのSecurityPoicyの策定 |
| 13:00-17:00 |
A: 攻撃ツール及び検知システム(基礎)① B: ネットワーク監査(基礎)② |
|
| 5/31(金) | 10:30-12:00 |
(特別講義1)「ODINS組織運営」 ~下條真司教授、ネットワーク運用掛・中島重雄掛長 |
| 6/7(金) | 10:30-12:00 | 研究室レベルの利用者規定 |
| 13:00-17:00 |
A: ネットワーク監査(基礎)① B: 攻撃ツール及び検知システム(基礎)② |
|
| 6/14(金) | 10:30-12:00 |
研究室レベルのガイドライン |
| 13:00-17:00 |
A: 攻撃ツール及び検知システム(応用)① B: ネットワーク監査(応用)② |
|
| 6/21(金) | 13:00-17:00 |
(特別講義2)「IDS運用の実際」 ~KDDI研究所・ネットワークセキュリティグループI 竹森敬祐氏 |
| 6/28(金) | 11:00-17:00 | 「トラフィック監視と異常状態推定①」鶴正人客員助教授 |
| 7/5(金) | 10:30-12:00 | 研究室レベルのガイドライン |
| 13:00-17:00 | A: ネットワーク監査(応用)① B: 攻撃ツール及び検知システム(応用)② |
|
| 7/12(金) | 11:00-17:00 | 「トラフィック監視と異常状態推定②」鶴正人客員助教授 |
| 9/13(金) | 13:00-17:00 |
(特別講義3)「セキュリティポリシー作成の実際」 ~NECシステムソフトウェア事業本部・IT基盤システム開発事業部・セキュリティ技術センター 杉浦昌氏 |
| 9/27(金) | 10:30-12:00 |
(特別講義4)「プロバイダ責任制限法とISPの実務」 ~株式会社日本総合研究所 法務部長 大谷和子氏 |
| 12:30- | 修了式 |
表 4 基礎コース(第II期)カリキュラム
| 午 前 | 午 後 | |
| 10/4(金) | 開講式、オリエンテーション | SecureNetプログラム利用者規定の紹介 |
| 10/11(金) | 攻撃の詳細と実例解析:アドレス書き換えによる不正コード実行の詳細を解説する。 | 攻撃の詳細と実例解析:実際に攻撃されたシステムのディスクを解析し、議論する。 |
| 10/18(金) | 侵入解析のための基礎知識:侵入解析に必要となる最低限の知識を整理する。 | 侵入解析のための基礎知識:tcpdump等のネットワークアナライザに習熟する。ログをいくつか提示し、解析・議論する。 |
| 10/25(金) | LANの盗聴:ARPプロトコル、ARPキャッシュ汚染について考察する。 | LANの盗聴:実験環境において実習を行う。既存のツールなどを検証し、LANの安全性についての考察を行う。 |
| 11/1(金) | 著名なサービスのセキュリティホールのレポート発表(1) | |
| 11/8(金) | 博士後期課程学生(下條研・藤原研)の研究発表 | (特別講義1)「セキュリティインシデントの最近の傾向と手法」~奈良先端科学技術大学院大学・山口英教授 |
| 11/15(金) | 著名なサービスのセキュリティホールのレポート発表(2) | |
| 11/22(金) | 著名なサービスのセキュリティホールのレポート発表(3) |
「攻撃と侵入手法の詳細」 谷川哲司客員講師 |
| 11/29(金) | 著名なサービスのセキュリティホールのレポート発表(4) | (特別講義2)「セキュリティマネジメント」~NECソリューションズ・セキュリティ技術センター・杉浦昌氏 |
| 12/6(金) | 「TCPプロトコルとセキュリティ」 鶴正人客員助教授 | |
| 12/13(金) | ODINSにおける運用の実際 |
セキュリティマネジメントに関する 阪大での問題(1) |
| 12/20(金) | セキュリティマネジメントに関する阪大での問題(2) | |
| 1/10(金) | 「ネットワークセキュリティのための暗号技術」 石原靖哲助教授 | |
| 1/17(金) | 阪大におけるコンテンツに関する規定 | |
| 1/24(金) | 無線LANの安全な運用に関する考察 | |
| 1/31(金) | 「サイバーテロ」 谷川哲司客員講師 | |
| 2/7(金) | ウィルス対策 運用時の問題 | |
| 2/14(金) | IPv6のセキュリティ | |
| 2/21(金) | (特別講義3)「倫理法制関係」~国立情報学研究所・岡田仁志助教授 | |
| 2/28(金) | 「トラフィック監視と異常状態推定」 鶴正人客員助教授 | |