★☆★JNSAメールマガジン 第222号 2021.10.15☆★☆
2021/10/15 (Fri) 15:30
★☆★JNSAメールマガジン 第222号 2021.10.15☆★☆
こんにちは
JNSAメールマガジン 第222号 をお届けします。
JNSAメールマガジンは本号第222号より発信元を sec@jnsa.org に変更させていただきました。
また、これまで全角35文字でいれておりました本文の改行を省いております。
これまでの改行がある場合とどちらが読みやすいかご意見いただけますと有難く存じます。
(メルマガ改行アンケート:googleにリンクします)
https://forms.gle/HUB3qLQ6tcJRgS7CA
今後の配信の参考にさせていただきます。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは九州大学サイバーセキュリティセンター 小出 洋様、藤岡 福資郎 様にご寄稿いただきました。次号と2回にわたりお送りいたします。
【連載リレーコラム】
九州大学におけるサイバーセキュリティ人財育成「ProSec-IT/SECKUN」の取り組みについて【第一回】
九州大学サイバーセキュリティセンター
小出 洋
藤岡 福資郎
国際的にも遅れているとされている日本の情報化を第4次産業革命やSociety5.0といったかけ声とともにさらに進展させるには、それらを牽引する人財育成が不可欠となります。
九州大学では教育と人財育成および社会貢献に関するミッションのひとつとして、社会人のエンジニアのサイバーセキュリティ技術の学び直しを目的とする「ProSec-IT(九大enPiT-Pro)」を2018年から実施しています。
また、サイバーセキュリティにおける情報技術以外の戦略マネジメントの要素を教育コンテンツに新しく付け加え、2020年から新しい教育プログラムである「SECKUN」も展開しています。本稿ではその取り組みの概要と現状についての紹介を行います。
1. 今、どんな人財が求められるか?
令和3年9月1日にデジタル庁が発足しました。
しかし、2021年6月末で全廃する予定だった霞が関のファックスは、各省庁から400件近い反対意見を受け、事実上断念した経緯があります。反対理由には、ハッキングなどサイバーセキュリティ上の懸念が挙げられました。[1]
果たしてファックスは、メールなどの情報技術を用いたメディアよりも、セキュリティ上優れているのでしょうか?また、このことはセキュリティとイノベーションの関係で何を示唆していると言えるでしょうか?
はじめにネット上のなりすましや、大量のデータの持ち出し、ハードディスク破棄の不備による情報漏洩のニュースが話題になり、デジタルの利便性は脆弱性と隣り合わせと認識されています。
しかし、ログや暗号化により、少なくとも痕跡が残り、さらに的確なセキュリティ対策を講じることにより被害を未然に防ぐことが可能です。
反面、ファックスの用紙排出口に放置された重要書類は、暗号化できません。
また、知らぬ間に悪意のある人物にコピーされても痕跡すら残りません。
つまり、被害発生に気づくことも、被害を未然に防ぐことも困難であり、必ずしもファックスがメール等よりセキュリティ上優れているとは言えそうにありません。
また、セキュリティとイノベーションとの関係から示唆されることは、基本的なことではありますが、DX推進以前にセキュリティに対する捉え方や考え方の違いから、業務の迅速化・的確化等のデジタルの恩恵やビジネスチャンスを組織が自ら機会を逃してしまった「乗り遅れ残念な」事例の一つであるということです。
このような「乗り遅れ残念な」事例が日本全国で積み重なっているのであれば、その機会損失は、計り知れないことが示唆されます。
今求められる人財は「紙とデジタルの基本的な違いとメリット・デメリット」のような基本的で初歩的なボトルネックを見極めることができる目利き力を持つ人財であり、自分たちが行いたいビジネスで必要な、あるいは実現しておいた方が良いサイバーセキュリティが担保されることにより、どのような利点が産み出されるということを分かり易く伝えることができる、現場も経営者も巻き込み、ビジネスと事業に必要なサイバーセキュリティを牽引していく「牽引型のセキュリティ人財」です。
九州大学サイバーセキュリティセンターでは、2018年4月から主に社会人の現役エンジニアを対象とした大学院レベルのサイバーセキュリティに関する教育プログラム「ProSec-IT(九大enPiT-Pro)」を開講しています。[2]
さらに、2020年10月からは、技術以外の側面にも着目した「SECKUN」をオンラインで開講しています。[3]本メルマガではそれらの教育プログラムの目的や意義、方向性について紹介します。
2. サイバーセキュリティ教育人財「投資」の意義とは?
日本におけるサイバーセキュリティ教育の流れをここで簡単に振り返ってみたいと思います。公的機関による実践的なサイバーセキュリティ教育に含まれるものとしてIPAのセキュリティキャンプ(2004~)、産業サイバーセキュリティセンターが実施している一連の事業(2017~)、JNSAのSECCON(2012~)、NICTのナショナルサイバートレーニングセンターが実施している一連の事業(2017~)などが挙げられます。また、文部科学省の先導的ITスペシャリスト人材育成プログラム(2007~)や高等専門学校の情報セキュリティ人材育成事業(2006~)によるものがあり取り組まれてきました。さらに文部科学省のenPiTは、いままでに大学間の連携により実践的な技術演習教育を提供する教育プログラムで大学院生向けのenPiT-1(2012~)、学部学生向けのenPiT-2(2016~)として取り組まれてきました。さらにenPiT-1、enPiT-2の取り組みの後継として社会人の学び直しに位置付けられるenPiT-Pro(2017~)の取り組みも行われています。本稿で紹介するProSec-IT/SECKUNは、このenPiT-Proの取り組みのひとつに位置付けられます。社会人のニーズに根ざした多くの演習やグループワークが含まれるサイバーセキュリティ教育を提供し、さらに新しいタイプのコミュニティを産官学で構築している点に特徴があります。
日本におけるサイバーセキュリティは、情報技術や暗号技術などの技術的な側面が強調され過ぎており、サイバー攻撃に対する「対策のためのコスト」としての捉え方が強調され過ぎています。
また近年ではWAF、IPS/IDS、FW等のサイバーセキュリティ専用機器が存在しているため、そうした高価な機器を備え、運用できる最少人数の技術者を配置すれば良いという捉え方も、株主資本主義のもとの効率第一経営では、一見成り立ちそうに思えます。
そのような中で、社会人に向けて教育という「投資」をあえて行う意義は、どこにあるでしょうか?これは、「守り」と「攻め」の2つの側面から捉える必要があります。
第一に「守り」の側面から考えてみると、いつの時代でも機器や設備の導入だけを行っても万全の「守り」を構築することはできません。
情報漏洩の要因は約7割が紛失・置き忘れ、誤操作、管理ミスなどの主に人的要因によるものであり、セキュリティホールやバグなどの情報技術を主とする要因を大きく上回っています。[4]
さらに人間は失敗をする生き物です。そのため、どんなに注意喚起を図り訓練を施したとしても、リスクを小さくはできてもゼロにはできません。
さらにIPAが発表したコロナ禍が含まれる2021年の10大脅威[5]では、「テレワーク等のニューノーマルな働き方を狙った攻撃」が新たに3位にランクインしています。
コロナ禍以前であれば、会社の社屋や専用端末などによる防御も可能でしたが、現在はテレワークなどにより、環境も端末も多様化しており、人的要因に関連する脅威がますます高まってきています。
一度インシデントが発生してしまうと金銭的損害だけでなく、内部統制システムの構築が不備と捉えられ経営層の責任を法的に追及される可能性もあり得ます。[6]
つまり経営層を巻き込んだ組織全体の啓発は、機器ではなく人財にしかできないため、「守り」の側面における教育投資が意義を持つことになります。
第二に「攻め」の側面からは、ビジネスチャンスへの影響が挙げられます。
多様な働き方や円滑なコミュニケーションを推進可能なセキュリティを確保できる技術や文化を持つ組織と、そうでない組織では、業務効率だけでなく、新しい発想を生む風土などに大きな差が生まれます。
特に機器の操作や判断を失敗しても事業が継続する壊れにくい組織(=フェイルセーフで持続可能な組織)を作り出し、ビジネスやイノベーションを育むセキュリティを推進するのは、機器ではなく、他でもない人財です。
特に技術以外の素養については、マネジメントセキュリティに関する利用者・攻撃者の心理理解(=Human Element)も含めて理解しておく必要があります。
(出典URL)
[1] https://www.yomiuri.co.jp/politics/20210726-OYT1T50312/
[2] https://cs.kyushu-u.ac.jp/enpit-pro/
[3] https://cs.kyushu-u.ac.jp/seckun/
[4] https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf
[5] https://www.ipa.go.jp/security/vuln/10threats2021.html
[6] https://www.jttri.or.jp/seminar200226-09.pdf
<第二回に続く>
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第222号の感想をお寄せください。
https://docs.google.com/forms/d/e/1FAIpQLSeG4doCP_Pu0kHVaJAwMjsMQNqCEceGLQULdBE7ABPEjmo7-A/viewform?entry.2051377352=%E7%AC%AC222%E5%8F%B7
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★「みんなの「サイバーセキュリティコミック」」シーズン2好評連載中!
毎週金曜日夕方に最新話公開/
第11話『 ネットリテラシーに大人も子どもも関係ありません』
KOTB(コツブ)社の体験をお楽しみ(?)下さい。
JNSA公式Twitter >> https://twitter.com/jnsa
★電子署名WG標準原案作成タスクフォースによる
「XAdES長期署名プロファイル国際規格の改定」の発行案内を掲載しました。
https://www.jnsa.org/result/e-signature/2021/standard/index.html
★【JNSAイベント開催日程のご案内】プログラム発表お待ちください。
11月10日(水)開催
情報セキュリティ教育事業者連絡会(ISEPA)主催
情報セキュリティ人材育成セミナー「人材戦略から見たセキュリティ人材」
11月17日(水)開催
マーケティング部会主催「2021年度全国サイバーセキュリティセミナー」
11月26日(金)開催 募集開始!
デジタルアイデンティティWG初セミナー「Enterprise Identity Day」
11月27日(土)オンライン開催予定
JNSAインターンシップ交流会 詳細はJNSAインターンシップサイトで
12月17日(金)開催決定!!
日本ISMSユーザグループ「情報セキュリティマネジメント・セミナー2021」
【事務局からのお知らせ】
★推薦募集|2020年度JNSA賞募集開始
「2021年JNSA表彰」の推薦受付を開始しました。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。ご注意ください。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第222号
発信日:2021年10月15日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第222号 をお届けします。
JNSAメールマガジンは本号第222号より発信元を sec@jnsa.org に変更させていただきました。
また、これまで全角35文字でいれておりました本文の改行を省いております。
これまでの改行がある場合とどちらが読みやすいかご意見いただけますと有難く存じます。
(メルマガ改行アンケート:googleにリンクします)
https://forms.gle/HUB3qLQ6tcJRgS7CA
今後の配信の参考にさせていただきます。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは九州大学サイバーセキュリティセンター 小出 洋様、藤岡 福資郎 様にご寄稿いただきました。次号と2回にわたりお送りいたします。
【連載リレーコラム】
九州大学におけるサイバーセキュリティ人財育成「ProSec-IT/SECKUN」の取り組みについて【第一回】
九州大学サイバーセキュリティセンター
小出 洋
藤岡 福資郎
国際的にも遅れているとされている日本の情報化を第4次産業革命やSociety5.0といったかけ声とともにさらに進展させるには、それらを牽引する人財育成が不可欠となります。
九州大学では教育と人財育成および社会貢献に関するミッションのひとつとして、社会人のエンジニアのサイバーセキュリティ技術の学び直しを目的とする「ProSec-IT(九大enPiT-Pro)」を2018年から実施しています。
また、サイバーセキュリティにおける情報技術以外の戦略マネジメントの要素を教育コンテンツに新しく付け加え、2020年から新しい教育プログラムである「SECKUN」も展開しています。本稿ではその取り組みの概要と現状についての紹介を行います。
1. 今、どんな人財が求められるか?
令和3年9月1日にデジタル庁が発足しました。
しかし、2021年6月末で全廃する予定だった霞が関のファックスは、各省庁から400件近い反対意見を受け、事実上断念した経緯があります。反対理由には、ハッキングなどサイバーセキュリティ上の懸念が挙げられました。[1]
果たしてファックスは、メールなどの情報技術を用いたメディアよりも、セキュリティ上優れているのでしょうか?また、このことはセキュリティとイノベーションの関係で何を示唆していると言えるでしょうか?
はじめにネット上のなりすましや、大量のデータの持ち出し、ハードディスク破棄の不備による情報漏洩のニュースが話題になり、デジタルの利便性は脆弱性と隣り合わせと認識されています。
しかし、ログや暗号化により、少なくとも痕跡が残り、さらに的確なセキュリティ対策を講じることにより被害を未然に防ぐことが可能です。
反面、ファックスの用紙排出口に放置された重要書類は、暗号化できません。
また、知らぬ間に悪意のある人物にコピーされても痕跡すら残りません。
つまり、被害発生に気づくことも、被害を未然に防ぐことも困難であり、必ずしもファックスがメール等よりセキュリティ上優れているとは言えそうにありません。
また、セキュリティとイノベーションとの関係から示唆されることは、基本的なことではありますが、DX推進以前にセキュリティに対する捉え方や考え方の違いから、業務の迅速化・的確化等のデジタルの恩恵やビジネスチャンスを組織が自ら機会を逃してしまった「乗り遅れ残念な」事例の一つであるということです。
このような「乗り遅れ残念な」事例が日本全国で積み重なっているのであれば、その機会損失は、計り知れないことが示唆されます。
今求められる人財は「紙とデジタルの基本的な違いとメリット・デメリット」のような基本的で初歩的なボトルネックを見極めることができる目利き力を持つ人財であり、自分たちが行いたいビジネスで必要な、あるいは実現しておいた方が良いサイバーセキュリティが担保されることにより、どのような利点が産み出されるということを分かり易く伝えることができる、現場も経営者も巻き込み、ビジネスと事業に必要なサイバーセキュリティを牽引していく「牽引型のセキュリティ人財」です。
九州大学サイバーセキュリティセンターでは、2018年4月から主に社会人の現役エンジニアを対象とした大学院レベルのサイバーセキュリティに関する教育プログラム「ProSec-IT(九大enPiT-Pro)」を開講しています。[2]
さらに、2020年10月からは、技術以外の側面にも着目した「SECKUN」をオンラインで開講しています。[3]本メルマガではそれらの教育プログラムの目的や意義、方向性について紹介します。
2. サイバーセキュリティ教育人財「投資」の意義とは?
日本におけるサイバーセキュリティ教育の流れをここで簡単に振り返ってみたいと思います。公的機関による実践的なサイバーセキュリティ教育に含まれるものとしてIPAのセキュリティキャンプ(2004~)、産業サイバーセキュリティセンターが実施している一連の事業(2017~)、JNSAのSECCON(2012~)、NICTのナショナルサイバートレーニングセンターが実施している一連の事業(2017~)などが挙げられます。また、文部科学省の先導的ITスペシャリスト人材育成プログラム(2007~)や高等専門学校の情報セキュリティ人材育成事業(2006~)によるものがあり取り組まれてきました。さらに文部科学省のenPiTは、いままでに大学間の連携により実践的な技術演習教育を提供する教育プログラムで大学院生向けのenPiT-1(2012~)、学部学生向けのenPiT-2(2016~)として取り組まれてきました。さらにenPiT-1、enPiT-2の取り組みの後継として社会人の学び直しに位置付けられるenPiT-Pro(2017~)の取り組みも行われています。本稿で紹介するProSec-IT/SECKUNは、このenPiT-Proの取り組みのひとつに位置付けられます。社会人のニーズに根ざした多くの演習やグループワークが含まれるサイバーセキュリティ教育を提供し、さらに新しいタイプのコミュニティを産官学で構築している点に特徴があります。
日本におけるサイバーセキュリティは、情報技術や暗号技術などの技術的な側面が強調され過ぎており、サイバー攻撃に対する「対策のためのコスト」としての捉え方が強調され過ぎています。
また近年ではWAF、IPS/IDS、FW等のサイバーセキュリティ専用機器が存在しているため、そうした高価な機器を備え、運用できる最少人数の技術者を配置すれば良いという捉え方も、株主資本主義のもとの効率第一経営では、一見成り立ちそうに思えます。
そのような中で、社会人に向けて教育という「投資」をあえて行う意義は、どこにあるでしょうか?これは、「守り」と「攻め」の2つの側面から捉える必要があります。
第一に「守り」の側面から考えてみると、いつの時代でも機器や設備の導入だけを行っても万全の「守り」を構築することはできません。
情報漏洩の要因は約7割が紛失・置き忘れ、誤操作、管理ミスなどの主に人的要因によるものであり、セキュリティホールやバグなどの情報技術を主とする要因を大きく上回っています。[4]
さらに人間は失敗をする生き物です。そのため、どんなに注意喚起を図り訓練を施したとしても、リスクを小さくはできてもゼロにはできません。
さらにIPAが発表したコロナ禍が含まれる2021年の10大脅威[5]では、「テレワーク等のニューノーマルな働き方を狙った攻撃」が新たに3位にランクインしています。
コロナ禍以前であれば、会社の社屋や専用端末などによる防御も可能でしたが、現在はテレワークなどにより、環境も端末も多様化しており、人的要因に関連する脅威がますます高まってきています。
一度インシデントが発生してしまうと金銭的損害だけでなく、内部統制システムの構築が不備と捉えられ経営層の責任を法的に追及される可能性もあり得ます。[6]
つまり経営層を巻き込んだ組織全体の啓発は、機器ではなく人財にしかできないため、「守り」の側面における教育投資が意義を持つことになります。
第二に「攻め」の側面からは、ビジネスチャンスへの影響が挙げられます。
多様な働き方や円滑なコミュニケーションを推進可能なセキュリティを確保できる技術や文化を持つ組織と、そうでない組織では、業務効率だけでなく、新しい発想を生む風土などに大きな差が生まれます。
特に機器の操作や判断を失敗しても事業が継続する壊れにくい組織(=フェイルセーフで持続可能な組織)を作り出し、ビジネスやイノベーションを育むセキュリティを推進するのは、機器ではなく、他でもない人財です。
特に技術以外の素養については、マネジメントセキュリティに関する利用者・攻撃者の心理理解(=Human Element)も含めて理解しておく必要があります。
(出典URL)
[1] https://www.yomiuri.co.jp/politics/20210726-OYT1T50312/
[2] https://cs.kyushu-u.ac.jp/enpit-pro/
[3] https://cs.kyushu-u.ac.jp/seckun/
[4] https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf
[5] https://www.ipa.go.jp/security/vuln/10threats2021.html
[6] https://www.jttri.or.jp/seminar200226-09.pdf
<第二回に続く>
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第222号の感想をお寄せください。
https://docs.google.com/forms/d/e/1FAIpQLSeG4doCP_Pu0kHVaJAwMjsMQNqCEceGLQULdBE7ABPEjmo7-A/viewform?entry.2051377352=%E7%AC%AC222%E5%8F%B7
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★「みんなの「サイバーセキュリティコミック」」シーズン2好評連載中!
毎週金曜日夕方に最新話公開/
第11話『 ネットリテラシーに大人も子どもも関係ありません』
KOTB(コツブ)社の体験をお楽しみ(?)下さい。
JNSA公式Twitter >> https://twitter.com/jnsa
★電子署名WG標準原案作成タスクフォースによる
「XAdES長期署名プロファイル国際規格の改定」の発行案内を掲載しました。
https://www.jnsa.org/result/e-signature/2021/standard/index.html
★【JNSAイベント開催日程のご案内】プログラム発表お待ちください。
11月10日(水)開催
情報セキュリティ教育事業者連絡会(ISEPA)主催
情報セキュリティ人材育成セミナー「人材戦略から見たセキュリティ人材」
11月17日(水)開催
マーケティング部会主催「2021年度全国サイバーセキュリティセミナー」
11月26日(金)開催 募集開始!
デジタルアイデンティティWG初セミナー「Enterprise Identity Day」
11月27日(土)オンライン開催予定
JNSAインターンシップ交流会 詳細はJNSAインターンシップサイトで
12月17日(金)開催決定!!
日本ISMSユーザグループ「情報セキュリティマネジメント・セミナー2021」
【事務局からのお知らせ】
★推薦募集|2020年度JNSA賞募集開始
「2021年JNSA表彰」の推薦受付を開始しました。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。ご注意ください。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第222号
発信日:2021年10月15日
発 行:JNSA事務局 sec@jnsa.org
*************************************