「ウィルス感染により、日本年金機構から約125万件の個人情報が漏洩」「ネットバンキングに係る不正送金被害額が過去最悪」……セキュリティ脅威が複雑化・深刻化する一方で、ネット上の安全管理「サイバーセキュリティ」の専門家は、量的・質的に不足している。課題解決には人材育成が急務だ。
8月上旬、4泊5日の〈セキュリティ・キャンプ全国大会2016〉が開かれた。その狙いは、サイバーセキュリティ業界の次代を牽引する「尖った才能」の発掘と育成。セキュリティの若きトップエンジニアが集ったキャンプの模様を伝える。(ジャーナリスト・横田増生/Yahoo!ニュース編集部)
2010年11月、イラン中部のナタンズにあるウラン濃縮施設で、8400台の遠心分離器が一斉に停止するという緊急事態が発生した。原因はある技術者がUSBメモリで持ち込んだ「STUXNET(スタックスネット)」というマルウェア(悪意のあるソフトウェア)だった。この「STUXNET」は、同施設の制御権限を奪い、遠心分離器を破壊することが最終目的だったという。遠心分離器の「停止」時点で発見されなかったら、大惨事になっていた可能性がある。
IoT(Internet of Things:モノのインターネット)時代が到来し、インターネットにつながるデバイスの種類と台数が増え続け、発電、水道などのインフラ施設もネットに接続されだしている。こうした施設がハッキングされたら、どうなるか──。いまや世界中どこからでも、世界中あらゆる場所へのサイバー攻撃が可能になっており、実際に攻撃がなされている状況もある。
こうしたセキュリティ脅威に適切に対応するべく、世界各国で高度なサイバーセキュリティの専門家育成が行われている。日本での取り組みの1つが〈セキュリティ・キャンプ〉だ。
期待と不安を胸に集う高校生・高専生・大学生
猛暑が首都圏を襲った8月9日、〈セキュリティ・キャンプ全国大会2016〉の受講生たちが、スーツケースやボストンバッグを手に、会場となる千葉市内のセミナーハウスに集まってきた。
ジョガーパンツに緑のTシャツや、半パンに白のTシャツにサンダル履きといった軽装の受講生たちは、自発的に名刺交換を始めた。このキャンプのために作ってきたかのように箱から名刺を取り出す受講生もいれば、ステンレスのカード入れから慣れた手つきで名刺を取り出す受講生もいた。実はここに来るような若者たちは、ネット上でお互いを知っていることも多い。SNSで、「全国大会で名刺交換しよう」、キャンプの卒業生からも「名刺は持っていけ」、などのやりとりがあって、この光景が展開しているのだ。
4泊5日のキャンプには、42コマの講義に加え、特別講義やグループワーク、CTF(Capture The Flag)という競技大会などが盛り込まれている。一度、セミナーハウスに足を踏み入れたら、キャンプ期間中の外出は許されない。
豊橋技術科学大学4年生の佐藤之斗(ゆきと)さんは、キャンプへの期待と不安が半々だという。
「去年も応募して落ちたので、今年はリベンジという気持ちで受けました。講義にはついていけないものと、はじめから割り切っています。ただ、レベルの高い受講生や講師と知り合いになれるのを楽しみにしています」
受講生は、200人以上の応募者から「ネット課題の成績」「熱意」の2点で選抜された51人の精鋭たち。例年、競争率は約4倍と高く、佐藤さんのようなリベンジ組も少なくない。
期待が7で不安が3というのは、早稲田大学2年生の西田耀(ひかる)さんだ。小学生の時からプログラミングをしていたという西田さんは、講師の1人である川合秀実氏に会うのを楽しみにしている。
「川合さんの書いた『30日でできる! OS自作入門』は私にとってバイブルでした。その本を読みながら、初めてOSを作りました。尊敬する川合さんの講義を受けられると思うと期待で胸がふくらみます」
今年で13回目となる〈セキュリティ・キャンプ全国大会〉の目的は、若年層の人材の発掘と教育だ。参加資格は22歳以下の学生や生徒。受講料や宿泊費、交通費はすべて主催者側が負担し、予算規模は約3000万円という。若年層に特化するのは、技術面のみならずモラル面、セキュリティ意識、職業意識、自立的な学習意識等の向上を図る狙いがあるためだ。もちろん、能力と意欲を持つ若者にサイバーセキュリティの次代を担ってもらう期待もある。
IPA(独立行政法人情報処理推進機構)のキャンプ担当者であるIT人材育成本部イノベーション人材センターの小池雅行センター長は、「キャンプで育成するのは『尖った人材』。狭い分野でも突出した能力を持つ人材のことです。その中から業界を牽引していくリーダーが育ってほしいという願いが主催する側にはあります」と語る。
ひたすらサイバーセキュリティに取り組む4泊5日
セキュリティ・キャンプは、難産の末に船出した。2003年夏に始まる予定だったが、直前になって新聞に「『ハッカー甲子園』に疑問の声 10代に〝犯罪まがい〟の手口を学ばせても」という記事が載ると、当時、主催者だった経産省に抗議が寄せられ、中止に追い込まれた。
翌2004年、目的を人材の発掘と育成と明確にすることで、ようやく産声を上げた。その後も、2010年には事業仕分けの対象となったが、民間との共同開催に変更して存続の危機を乗り越えた。
授業は、「セキュリティのプロさえも受けたくなる」という高いレベルで、コンピュータの専門用語が飛び交うのはもちろんのこと、講義によっては大学レベルの数学も欠かせない。41人の講師がプログラムを担い、キャンプの卒業生10人強からなるチューターが、講師と受講生の間を取り持つ。
起床時間は午前6時で消灯時間は午後11時。講義以外の時間はグループワークに費やす。グループワークは、4、5人のグループで「子どもたちに正しいIT技術を身につけさせるために」や「10年後のIT社会のセキュリティのあるべき姿」などの課題を議論し、最終日に発表を行う。
善悪の境界線
「インターポールの福森です」
キャンプ初日の特別講義で、登壇者が開口一番、そうあいさつすると、会場から拍手が起こった。
(株)サイバーディフェンス研究所の福森大喜氏は、セキュリティ界の「若手の先駆者的な存在」。2014年から、インターポール(国際刑事警察機構)のシンガポール総局に出向している。今年2月に発生した、バングラデシュ中央銀行から8000万ドルがネット上で不正送金された事件では、米FBI、インターポールなど6人のチームの一員として捜査に関わった。
インターポールに加わるまでは、ネット上の脅威は、ロシアと中国といった社会体制の異なる軍事国家という大枠でとらえていた福森氏だが、今では「サイバー犯罪の現場は混沌としていて、時には善悪の境界線さえあいまいになる」と考えるようになった。
「あるとき、イスラム国、つまりISの大物が、マルウェアをネット上でばらまいているという情報があり、捜査を始めると、ISの大物になりすましたクルド人が、犯行を行っていることが分かりました。ISは通常、加害者であることが多いのですが、この件に関して言えば、メールアドレスを乗っ取られた被害者であったわけです」
インターポールや警察庁の講師による特別講義を初日に設定するのは、受講生に技術を悪用しないように釘を刺すという主催者側の意図があり、毎年のように行われてきた。軽い気持ちでサイバー犯罪に手を出したら、厳しい懲役刑に服したり、巨額な賠償金を請求されたりし、人生を棒に振ることもあると最初に教える狙いがある。
講演後の福森氏に、同じく高い技術力を持ちながら、犯罪を防ぐ人と罪を犯す人との境界線はどこにあるのか、と尋ねた。
「犯罪者はルールもなく、何でもありの世界で動いているわけです。でも、僕はルールがあった方がおもしろいと思うんです。ネットの犯罪者の世界というのは、サッカーをやっているのに、手を使ってゴールを決めるようなもの。簡単なんですけれど、それじゃおもしろくないでしょう。僕は、いろいろな制限やルールで縛られながらも、そうした犯罪者と対峙するときが、おもしろいって感じるんです」
2日目からは、講義中心のプログラムに移行する。もちろん、最新の話題と技術が満載だ。
例えば「スマートフォン向けゲームのセキュリティ」では、「ポケモンGO」などのゲームの弱点を突いて、日本にいながらアメリカにしかいないポケモンを捕まえたり、実際は取っていないのにポケモン全142体を捕まえたりする、〝チート〟という裏技をどう防ぐのかを学んだ。
また「人工知能とセキュリティ」では、今年3月にマイクロソフトが発表した人工知能が、TwitterなどのSNSでのわずか数時間のやりとりで、「ヒトラーは正しかった」や「フェミニストは嫌いだ」といった差別主義的な発言を「学習」した問題などを取り上げ、人工知能の弱点とその対策についての講義が行われた。
卒業生が講師・チューターとしてキャンプを支える
キャンプの1つの山場は、2日目の夜、受講生全員が参加するCTF(Capture The Flag)だ。一般にCTFは、チームごとにサーバーを持ち、自陣のサーバーを守りながらほかのサーバーに攻撃を仕掛け、旗(flag)を取り合って勝敗を競うが、ほかにもいろいろな種類があり、このキャンプでは、セキュリティに関連する問題を解いて得点を競う形で行われた。
試験会場のような静かな環境かと思えば、まったく逆で、会場の前方では漫談まがいのやりとりが続いたり、ハウスミュージックがうるさいほどの音量で流れていたり、アニメのヒロインのコスプレで歩き回るチューターがいたりする。競技会というより、お祭りの色彩が強い。受講生は、自前のキーボードを叩いたり、スマホを使ったり、ノートをとったりと、それぞれのやり方で問題に取り組む。
午後9時30分、「5秒前。4、3、2、1」とカウントダウンがアナウンスされ、終了した。約2時間の競技の末、最多得点を取ったのは沖縄高専3年生の安里眞夢(あさと・まさむ)さんだった。
「自信は全然ありませんでした」と、本人は言うが、高専に入ったころから、社会人や大学生とチームを組んで、オンラインやオフラインでのCTFに参加して腕を磨いてきた。その世界では、すでに名の知られた存在だ。セキュリティの世界に興味を持ったのは、小学生の時にはまったオンラインゲームがきっかけ。このキャンプには、卒業生が海外のひのき舞台で活躍する姿に憧れて参加した。
5年制の高専の3年生とあって、将来の進路はまだ決めていないが、「セキュリティの仕事に就くのも、選択肢の1つに入っています」と言う。
キャンプは卒業生の協力なしには成り立たない。チューターは全員卒業生だし、講師にも複数の卒業生がいる。
3日目の「フィジカル・リバースエンジニアリング入門」の講師は、卒業生の木藤圭亮(けいすけ)氏。この春、三菱電機(株)に入社し、情報技術総合研究所でサイバーセキュリティの担当部署に籍を置く。
小山高専(栃木県)の3年生の時にキャンプに参加し、理系の大学院に進むのと前後して、チューターとして参加。就職活動では、これらの実績を買われた木藤氏は、企業に対して「働きはじめてもこのキャンプに関わり続ける」という条件を出していた。
「こんな高いレベルのキャンプは日本でもここだけ。その意義が分からない会社なら、入らなくてもいいという気持ちでした」。その約束通り、木藤氏は会社から4泊5日を「出張扱い」で、このキャンプに派遣されてきた。
閉講式は育成の「スタート」
キャンプの最終日の閉講式。主催者の1人が、「このキャンプで悔しい思いをした人は?」と尋ねると、ほとんどの受講生の手が挙がった。
東海大学2年生の森下彩さんは、「サイバーセキュリティに関して自分がどれだけ無力な人間であるのかが分かりました。これまで調子に乗っていたのを、叩きのめされた感じです」と話す。
大学でネットワークやセキュリティを専攻していることで自信を持って臨んだが、周りのレベルの高さに圧倒された。話についていけないこともしばしばあった。プレッシャーもあり、体調を崩す場面もあった。しかし、落ち込んでいるわけではなく、そうした今までの自分を反省しているだけだ。1年後には今以上の実力のある存在になりたい、と付け加える。
楽しかった講義には、3日目の「システムに新機能を追加したときのセキュリティを考えよう」を挙げた。午前8時30分から昼食と夕食をはさんで、午後8時25分まで続く集中講義だ。
「その講義を聞いて、講師の方の職場の自由闊達な社風や、自分の技術を社会のために役立てようとしている社員の姿勢が、はっきりと伝わってきました。自分の目標に邁進しながらも、会社に貢献している様子も分かりました。私も将来、こういう会社で働けるようになれれば、と思うようになりました」
舞鶴高専(京都府)4年生の玉林亜喬(たまばやし・あきょう)さんは、「キャンプに参加できたことは楽しかったけれど、授業は正直、僕には難しすぎて楽しめたとは言えません。けれど、ここで知り合った仲間たちと、ネット上でつながりながら、自分の技術を高めていきたい。そうしたモティベーションを与えてくれました。ゆくゆくは、チューターや講師として、キャンプに帰ってくることが1つの目標です」と話す。
サイバーセキュリティのすべてを学ぶには、4泊5日の日程は短すぎる。関係者が口を揃えるように、キャンプは動機付けにすぎない。同期生だけでなく、卒業生やチューター、講師からなるコミュニティの一員となり、切磋琢磨していくことが大切になる。ネット上や実際に顔を合わせて、技術上の問題をクリアしたり、倫理の問題を話し合ったり、進路を相談したりしながら、受講生たちは、さらに大きく成長していく。
ここで学んだ51人の受講生たちが、将来の日本のサイバーセキュリティの守護神となる日がくることを願いながら、彼らがキャンプ会場を後にする姿を見送った。
横田増生(よこた・ますお)
1965年福岡市生まれ。関西学院大学卒。アイオワ大学ジャーナリズム学部で修士号。著書に『潜入ルポ アマゾン・ドット・コム』や『ユニクロ帝国の光と影』、『評伝 ナンシー関』など。
[写真]
撮影:千賀健史、鬼頭志帆
写真監修:リマインダーズ・プロジェクト
後藤勝