セキュア・ネットワーク構築のための人材育成
1. はじめに
サイバーメディアセンターでは、IT社会の高度化・複雑化が進む中で、人材不足が深刻化するネットワークセキュリティ専門技術者を養成するため、2001年度より、文部科学省科学技術振興調整費(新興分野人材養成)の助成を受け、「セキュア・ネットワーク構築のための人材育成」(SecureNetプログラム)を立ち上げた。最先端の技術を反映した実践中心のカリキュラムと専門的な知識を十分に備えたスタッフをそろえ、大学院生、社会人を中心にネットワークセキュリティ専門技術者の育成を行っている。本プログラムにおいては、年間10人程度、本プログラムの継続期間5年間で50人程度の専門家を育成することを目標としている。具体的には、カリキュラムは、半期ずつの基礎コース、応用コースから構成される。それぞれのコースでは、セキュリティ技術、セキュリティマネジメント、法制度の3つのテーマを、講義と実験を組み合わせて週1日のペースで実施している。さらに、それぞれのテーマごとに外部講師を迎えての特別講義も併せて実施している。第I期、第II期の基礎コース、応用コースを通して目標を上回る12~15名程度の人材を育成し、これらの修了者は学内で、社会でその成果を発揮している。
また、情報科学研究科と連携し、研究科の正式なカリキュラムである演習において、本プログラムの一部であるネットワークセキュリティに関するテーマを与え、教育している。さらに、大阪大学社会人教育講座と題した社会人セミナーにネットワークセキュリティに関するテーマを拠出し、実施に協力している。
本年度は、プログラム実施から3年目を迎え、文部科学省の中間評価を受けた。それに先立ち、3年間のプログラムの成果を評価するため、10月末に成果報告会を開催した。
2. 本プログラム報告
2003年度においても、前半に応用コース(第II期)、後半に基礎コース(第III期)を実施した。2.1. 受講・修了状況
基礎コース(第III期)では、受講者全員を一般公募によって募集した。募集人員10名を上回る25名の応募があり、選考により12名を受講生とした。受講生の内訳は、社会人8名、大学院生4名であった。表1 受講者内訳と修了者数
| 社会人 | 学生 | 計 | |||
| 民間企業 | 他大学教官 | 博士課程 | 修士課程 | ||
| 応用 第Ⅱ期 |
8(8) | 0(0) | 2(2) | 2(2) | 12(12) |
| 基礎 第Ⅲ期 |
8(8) | 0(0) | 0(0) | 4(4) | 12(12) |
2.2. 講義概要
(1) 応用コース(第II期)応用コースでは、無線LAN、セキュリティ監査、Cyber Warをテーマとして取り上げ、講義・実習を行った(表2参照)。無線LANでは、その問題点を議論し、工学部管理者とともに工学部での無線LAN運用の実態を調査した。さらに、実習環境を用いてアクセスポイントの不正利用やWEP暗号の解読を試みた。そして安全な無線LANの運用に関し議論した。セキュリティ監査では、遠隔から行う脆弱性調査を実習環境で演習し工学部管理者とともに工学部のサーバに対して脆弱性調査を実施した。さらに京都大学の協力を得て、京都大学の特定のサーバに対しても脆弱性調査を行った。調査結果は、それぞれの管理者へフィードバックされている。また、特別講義「情報セキュリティのフレームワーク」「セキュリティ監査演習」を行った。Cyber Warでは、いくつかの攻撃ツールについて解析を行い、その手法について学習し、実習環境で脆弱なシステムが攻撃ツールを用いて侵入可能であることを体験した。また、最近のWormの詳細も学習した。さらに、工学部管理者の協力を得、最近侵入されたシステムのハードディスクを解析し、攻撃がどのように行われたかを特定した。
図1 DDoSシミュレータ
(2) 基礎コース(第III期)
基礎コースでは、ネットワーク上の脅威となる様々な問題を取り上げ、攻撃の詳細、侵入解析のための基礎知識、盗聴技術とその対策、著明なサービスのセキュリティホール、暗号技術、無線LANの問題、ウイルス対策、IPv6での問題点などを講義で展開した(表3参照)。また、実習環境を用い、攻撃されたディスクの解析、ネットワークの盗聴などの実習も行った。さらに、不正アクセス禁止法およびプロバイダ責任制限法を学習し、法的な側面からの理解を深めるとともに、セキュリティマネジメントを考察するために、大阪大学の実運用ネットワークである大阪大学総合情報通信システム(ODINS)における問題を取り上げ議論した。また外部招聘講師による特別講義を行った。
2.3. 評価と今後の課題
2.3.1. 評価カリキュラムの改善・発展の参考とするために、各コース終了時にアンケート調査を行った。その結果はおおよそ以下のとおりである。
- ・ 総合評価:満足度は全体に高かった。
- ・ 難易度:応用コースについては非常に高かった。基礎コースにおいては全体的に「やや難しかった」と受け止めた傾向が強い。
- ・ 有益度:全体的に高かった。大半の受講者が今後の研究や業績において有益であると回答している。有益度は総合評価の満足度にも反映されている。
(1) 応用コース(第II期)
実習に関しては、かなり充実しつつあるが限られた時間内で効果的な実習を行うには、さらに手引や手順書を充実させる必要がある。また教材の数をもっと増やす必要がある。現在は実習環境を完全に外界と切り離した孤立環境を原則としているが、ツールや情報収集、OSの修正パッチなどの導入のために、苦労を強いられたり原則をやぶってしまったりといった場面があった。安全面と利便性を両立させる実習環境の整備が望まれる一方で、ルールの徹底をはかる必要がある。
(2) 基礎コース(第III期)
受講者の選考において、定員を大幅に上回る応募があり、一定の選考基準を有すものの、現在の書類審査だけでは選考が困難になりつつある。ぜひ受講したいといった熱意ある方の要望をすべて受け入れられない状況である。テキストや実習の手引等は、徐々に整備されつつあり第II期と比べるとかなり充実してきたが、まだ試行錯誤の部分も多く、さらなる充実が望まれる。セキュリティマネジメントに関するテーマも議論しやすい形で整備されつつあるが、もっと事例検討などを増やす必要がある。
3. 情報系学生教育
大学院情報科学研究科の情報ネットワーク学専攻の演習科目である情報ネットワーク学演習II(半年)およびマルチメディア工学専攻の演習科目であるマルチメディア工学演習I/II(通年)の2専攻において、テーマを拠出し、SecureNetプログラムを担当する教官がそのカリキュラムを担当した。内容は、SecureNetプログラムの正規カリキュラムのうち、一部を演習課題としている。3.1. 受講・修了状況
受講生は情報ネットワーク学専攻26名、マルチメディア工学専攻2名の28名である。そのうち、27名が単位を取得した。3.2. 講義概要
(1) ネットワークセキュリティホールに関する調査および発表過去 5 年程度のCERT Advisory、Internet Security Systems Advisoryなどをもとに、セキュリティホールに関するサーベイを行う。グループごとにサービスを決め、CERT Advisoryなどへの登場回数、セキュリティホールによる被害総額、セキュリティホールへの対策パッチがどの程度の早さで公開されたかなど、さまざまな観点(特にグループごとの独自の観点を重視)から調査する。また、なぜこのようなセキュリティホールが存在するのかをグループで議論することにより、ネットワークセキュリティホール全体への理解を深める。
(2) 演習
ネットワークアナライザ演習
tcpdumpやetherealなど、フリーのネットワークアナライザに習熟する。普段利用しているネットワークのパケットを収集することにより、どの程度の情報が漏れているかを知り、どのような対策が必要かを考える。さらに、ネットワークアナライザを自作する。まず、bpfやpcapライブラリを用いたバージョンを作成し、SMTPやPOPのセッションを解読するプログラムを作成する。TCP/IPや、SMTP/POPなど代表的な通信プロトコルへの理解を深める。次に、ネットワークのトラヒック量やパケット到着間隔を測定し、それをグラフ化するプログラムを作成する。また、ネットワークアナライザを用いた新たなアプリケーションの設計を行う。
バッファオーバーフロー演習
バッファオーバーフローについてのサーベイを行い、既存のクラッキングツールを参考にして、バッファオーバーフローを用いた攻撃の仕組みを理解する。具体的には、次の演習を行う。1)クラッキングツールを用いた攻撃を模擬する環境を構築する、2)セキュリティパッチから脆弱性を持つ関数を特定し、脆弱性を持つ理由について考察する、3)クラッキングツールの動きを詳細に追跡し、バッファオーバーフローを用いた攻撃の仕組みをアセンブラレベルで詳細に解析する。
(3) 最終発表会
半年間の演習内容を元に、「セキュア・ネットワークの構築に向けて」というテーマに基づいたグループディスカッションを行い、その内容についてのプレゼンテーションを行う。
3.3. 評価と今後の課題
| ・ | 学部学生に対する演習にあるような、細かく課題内容を示して行う演習ではなく、課題設定にある程度自由度を持たせることによって、学生自身に課題内容のブレークダウンを行わせることができたため、大学院生に対する演習にふさわしい内容であった。 |
| ・ | 演習の目的や演習内容の意味を理解させるための課題設定を行うことにより、プログラミングに終始する従来の演習に比べて中身の濃いものとなった。 |
| ・ | バッファオーバーフロー演習においては、実際に用いられているサーバプログラム(Samba2.2.8)および、それに対する実際のクラッキングツールを題材に用いた。内容は高度であるが、ソフトウエアの脆弱性に対する危機意識を学生に体感させることができた。 |
| ・ | 昨年度は演習環境の設定(仮想端末の設定、トラヒックの発生など)を受講学生に任せた結果、多くの受講学生がそれらの設定にほとんどの時間を費し、肝心の演習がおろそかになったため、本年度は演習環境をあらかじめこちらで準備して与えたため、昨年度に比べると演習をスムーズに行うことができた。 |
| ・ | 昨年度はTAを採用しなかったが、本年度は技術力の高い博士後期課程の学生2名をTAとして採用し、演習環境の整備、学生のサポートをお願いした。 |
| ・ | 全体的には、本演習が2年目ということもあり、昨年の反省を踏まえて課題設定や環境整備を行うことができたため、昨年度に比べて効率のいい、中身の濃い演習が行えたと思われる。 |
4. 社会人教育
大阪商工会議所、社団法人大阪工業会が主催、サイバーメディアセンター、大学院情報科学研究科、IT連携フォーラムOACISが共催する大阪大学社会人教育講座「セキュア・ネットワークセミナー2003」に対し、テーマを拠出した。受講生は55名であった。| (1) | 6月5日(木) セキュア・ネットワーク基礎 |
| (2) | 6月12日(木) インターネット上のセキュリティインシデントとその対応 |
| (3) | 6月19日(木)ネットワーク基礎技術 |
| (4) | 6月26日(木) 要素技術1 「VPNとIPSecのセキュリティ」 |
| (5) | 7月3日(木) 要素技術2 「ネットワークセキュリティのための暗号技術」 |
| (6) | 7月10日(木) 要素技術3 「情報の正当性証明のための認証技術とPKI」 |
| (7) | 7月17日(木)情報セキュリティマネジメントの動向 |
| (8) | 7月24日(木) セキュリティ関連法規とガイドライン |
5. その他報告事項
5.1. 成果報告会
2003年10月31日、大阪大学コンベンションセンターにおいて、セキュア・ネットワーク構築のための人材育成プログラム主催、大阪大学サイバーメディアセンター、大学院情報科学研究科共催、21世紀COEプログラム「ネットワーク共生環境を築く情報技術の創出」協賛で、「成果報告会」を開催した。報告会では、奈良先端科学技術大学院大学教授 山口英先生、およびホームアイランズセキュリティ協議会理事長 唐川伸幸氏の特別講演をはじめ、本プログラムの修了者から4件、各研究室における研究4件について発表、報告を行った。参加者は103名を数え、盛況のうちに報告会を終えることができた。
図2:成果報告会の様子
5.2. 文部科学省中間評価
本年度は、本プログラムが実施されてから3年目を迎え、文部科学省の中間評価を受けた。中間評価において、本プログラムは次の総合評価をいただいた。実践的な人材養成が効果的に進められており、非常に優れた成果が期待できる取組であると評価できる。大学という場を活用し、社会人に対して実践的な人材養成を実施していることは特に評価できる。プログラムの趣旨にも合致しており、養成人数の増員を図りつつ、今後も計画を推進するべきである。
<総合評価:a.非常に優れた成果が期待できる取組である>
(http://www.mext.go.jp/a_menu/kagaku/chousei/hyoka03122701/2/100.pdf および(中間評価)参照)
また、「今後の進め方」評価においてもa評価をいただき、大変高い評価を受けた。本分野の7件のうち、a a評価を受けたのは2件だけである。
5.3. 21世紀COE「ネットワーク共生環境を築く情報技術の創出」
大学院情報科学研究科とサイバーメディアセンターが共同で提案した21世紀COEプログラム「ネットワーク共生環境を築く情報技術の創出」において教育プログラムの一環として協力している。2004年3月1日にアドバイザリー委員会が開催され、本プログラムの本年度の活動報告を行った。5.4. 業績・雑誌・新聞掲載
| (1) | 今瀬真, 金田哲也 監修, “新ブロードバンド教科書(下)”, (株)IDGジャパン, 第3章, October 2003 (共著). |
| (2) | “ネット保全技術者養成(基礎コース案内)”,日刊工業新聞 5面,2003年8月4日. |
| (3) | “セキュア・ネットワーク構築のための人材育成プログラム(紹介)”,日本サイバーセキュリティ研究所 Cyber Security Management,Vol.4 No.4 September 2003. |
5.5. プレスリリース
| (1) | “大阪大学でセキュア・ネットワーク構築のための人材育成プログラムの公募を開始”(第III期基礎コース),2003年7月24日. |
| (2) | “大阪大学でセキュア・ネットワーク構築のための人材育成プログラムの公募を開始”(第III期応用コース),2004年3月15日. |
6. おわりに
文部科学省の中間評価において、人材育成の項目評価の中で、「企業からの旺盛な需要に応えるために、コース新設を行うなど、受講生の定員を増員するような方策を期待したい。」との意見をいただいた。これに応えるために、2004年度より、e-Learningを用いた教育についての試行を行う予定である。(馬場 健一)
表2 応用コース(第Ⅱ期)カリキュラム
| 午 前 | 午 後 | |
| 5/9(金) | 開講式 | オリエンテーション、課題割り当て |
| 5/16(金) | 無線LAN実習(1) | 無線LAN実習(2) |
| 5/23(金) | 無線LAN実習(3) | |
| 5/30(金) | 無線LAN実習(4) | |
| 6/6(金) | 【特別講義1】 「情報システム・セキュリティ総論 -情報システムの脆弱性から技術・法律・倫理的セキュリティ-」 大阪市立大学 大学院創造都市研究科 都市ビジネス専攻 松田貴典教授 |
|
| 6/13(金) | セキュリティ監査(1) | セキュリティ監査(2) |
| 6/20(金) | セキュリティ監査(3) | セキュリティ監査(4) |
| 6/27(金) | セキュリティ監査(5) | |
| 7/4(金) | 【特別講義2】「セキュリティとプライバシーのポリシーを守ることの難しさ ~悪意あるポリシーハッカーと曖昧な条文解釈から重要サービスを守る」 国立情報学研究所 岡田仁志助教授 |
|
| 7/11(金) | ネットワーク監査 | |
| 7/18(金) | 【特別講義3】「セキュリティ監査演習 -システム監査的アプローチ-」 帝塚山大学 経営情報学部 高瀬宜士教授 |
|
| 7/25(金) | 講義「ネットワークセキュリティと統計的推定」 鶴正人客員助教授(九州工業大学) |
|
| 9/5(金) | 講義「大規模拡散型ワームに対する緊急対応方法」 谷川哲司特任教員(日本電気株式会社 セキュリティ技術センター) |
|
| 9/12(金) | Cyber War 実習(1) | |
| 9/19(金) | Cyber War 実習(2)+谷川哲司特任教員(日本電気株式会社 セキュリティ技術センター) | |
| 9/26(金) | 講義「パケットフィルタの基本と設定実習」 鶴正人客員助教授(九州工業大学) |
|
表3 基礎コース(第Ⅲ期)カリキュラム
| 午 前 | 午 後 | |
| 10/10(金) | 開講式 オリエンテーション | SecureNetプログラム利用者規定の紹介 |
| 10/17(金) | 攻撃の詳細と実例解析 | |
| 10/24(金) | 侵入解析のための基礎知識 | |
| 10/31(金) | 【成果報告会】 @大阪大学コンベンションセンター 講演「セキュリティインシデントの発生動向と対策について」奈良先端科学技術大学院大学 教授 山口英氏/「社会セキュリティの為の国際協力と標準化」ホームアイランズセキュリティ協議会 理事長 唐川伸幸氏 |
|
| 11/7(金) | LANの盗聴 | |
| 11/14(金) | 著名なサービスのセキュリティホールのレポート発表(1) | |
| 11/21(金) | 著名なサービスのセキュリティホールのレポート発表(2) | |
| 11/28(金) | 著名なサービスのセキュリティホールのレポート発表(3) | 講義「攻撃と侵入手法の詳細」 谷川哲司特任教員(NEC セキュリティ技術センター) |
| 12/5(金) | 講義「TCPプロトコルとセキュリティ」 鶴正人客員助教授(九州工業大学) | |
| 12/12(金) | ODINSにおける運用の実際 | 【特別講義】「セキュリティマネジメント」NECソリューションズ セキュリティ技術センター 杉浦昌氏 |
| 12/19(金) | セキュリティマネジメントに関する阪大での問題(1) | |
| 1/9(金) | 集中講義「ネットワークセキュリティのための暗号技術」 情報科学研究科 藤原融教授、石原靖哲助教授 |
|
| 1/16(金) | 【特別講義】「倫理法制関係」国立情報学研究所 助教授 岡田仁志氏 | |
| 1/23(金) | セキュリティマネジメントに関する阪大での問題(2) | |
| 1/30(金) | 講義「トラフィック監視と異常状態推定」鶴正人客員助教授 (九州工業大学) | |
| 2/6(金) | 無線LANの安全な運用に関する考察 | |
| 2/13(金) | ウィルス対策 運用時の問題 | |
| 2/20(金) | 【特別講義】「システム監査基礎」ネットワークKOBE 代表 喜多陽太郎氏 | IPv6のセキュリティ |
| 2/27(金) | 講義「サイバーテロ」谷川哲司特任教員 (NEC セキュリティ技術センター) 【修了式】 | |
(中間評価)
セキュア・ネットワーク構築のための人材養成
(実施期間:平成13~17年度)
実施機関:大阪大学サイバーメディアセンター(代表者:岸野文郎)
人材養成の概要本課題は、IT 社会の高度化・複雑化が進む中で、人材不足が深刻化するネットワークセキュリティの高度専門技術者を養成することを目的とする。
大阪大学大学院情報科学研究科、および民間企業(NEC)と連携を図り、大阪大学において実運用されているネットワークを用いたトレーニングを中心に行うことにより、理論的知識の習得から実践的な運用スキルまでの幅広い教育を行い、ネットワークセキュリティに関する最新の知識を伝授する。このことにより、今後科学のあらゆる分野で必要とされるネットワーク運用の核となるリーダー的人材の育成を行う。
具体的には、大学院生、社会人などを対象に年間カリキュラムとして、半期ずつの基礎コース、応用コースを設け、高度な知識と技術力を有するネットワークセキュリティ専門技術者を育成する。
(1)総評
実践的な人材養成が効果的に進められており、非常に優れた成果が期待できる取組であると評価できる。大学という場を活用し、社会人に対して実践的な人材養成を実施していることは特に評価できる。プログラムの趣旨にも合致しており、養成人数の増員を図りつつ、今後も計画を推進するべきである。
<総合評価:a.非常に優れた成果が期待できる取組である>
(2)評価結果
①進捗状況(目標達成度)
所期の目標を上回る人数の人材を養成しており、順調に進捗していると評価できる。
②計画の妥当性
大学のネットワークシステムを活用しており、セキュリティのように実践的な分野においては、効果が大きい。妥当な計画であると言える。
③人材養成の成果
企業からの受講希望が多いことをみると、社会的にも高い評価があるものと評価できる。一方で、企業からの旺盛な需要に応えるために、コース新設を行うなど、受講生の定員を増員するような方策を期待したい。ホームページの整備状況もよい。
④実施体制
代表者の指導性は十分に発揮されている。機関としても、インフラの提供など積極的に関与していると評価できる。
⑤実施期間終了後における取組の継続性・発展性の見通し
地域振興との結びつきを進めており、実施期間終了後も、十分に継続・発展が期待できる。
(3)評価結果
| 総合 評価 |
今後の 進め方 |
進捗 状況 |
計画の 妥当性 |
人材養成の成果 | ||||
| 人材の有用性 ・将来性 |
実施内容の 有用性・効果 |
人材養成の 方策 |
ユニットの 波及効果 |
情報 発信 |
||||
| a | a | - | - | - | - | - | - | - |
| 実施体制 | 継続性・ 発展性 |
||
| 代表者の 指導性 |
実施機関の 組織的な関与 |
関係機関 との連携 |
|
| - | - | - | - |
※新興分野人材養成については、「総合評価」及び「今後の進め方」の2項目のみについて、各評価項目に関する議論を踏まえた上で、WGとしての評価結果を決定した。しかしながら、他のWGと異なり、他の評価項目については、WGにおいて意見の集約を行わなかったため、この部分を空欄としている。