2019年3月7・8日に、サイバーセキュリティシンポジウム道後2019(SEC道後2019)に参加してきました(イベントサイトはこちら：http://www.sec-dogo.jp/)。

今回は、前回のレポート(サイバーセキュリティシンポジウム道後2019　イベント参加報告　Part 2「えーあい・みーつ・せきゅりてぃ　後編」)に引き続き、特に興味深かった「サイバー空間が現実世界へ与える影響が大きいこの時 代の人材育成とは」の講演内容をレポートしたいと思います。こちらの講演はパネルディスカッション形式で進み、様々なトピックについて取り留めもなく議論がなされたため、あまり話題の一貫性に拘らず当時の話の流れのまま書いていこうと思います。

その他の講演については、イベントサイトの以下のリンクよりダイジェストを読むことが出来ます。

SecDogo Digest｜サイバーセキュリティシンポジウム道後2017（SEC道後2017）

本ブログをご覧になった方の中で、間違いや不正確な内容があったらご指摘いただけると幸いです。

「サイバー空間が現実世界へ与える影響が大きいこの時 代の人材育成とは」 

コーディネーター：佐藤公信氏（国立研究開発法人情報通信研究機構(NICT)　ナショナルサイバートレーニングセンター主任研究員）

パネリスト：新井悠氏（トレンドマイクロ株式会社）、長谷川陽介氏（株式会社セキュアスカイ・テクノロジー）、冨士﨑真治氏（大阪地方検察庁）

SXSWハッカソンはすごい

SXSWハッカソン2018(24時間でプロトタイプを作るハッカソン)に日本から学生が何人か参加した。ハッカソン以外にも、世界中から来た企業やエンジニアのマッチングの場としても活用されており、意思決定者が東井弁に着て来て、億単位の契約がその場で決まる、取ったことがある。

SXSW Hackathon | SXSW Conference & Festival

サイバーセキュリティに関してうっかり刑事法が適用される問題について(法的視点からの問題提起)(冨士﨑真治氏)

以下のような行為は、サイバーセキュリティに慣れ親しんだ者からは問題なさそうでも、うっかり刑事法の領域に入ってしまうパターンである。

1. 脆弱性調査のつもりが不正アクセス禁止法違反
2. ウイルス公開等で不正指令電磁的記録作成等罪
3. その他，攻撃者へのハックバック，ビーコン追跡等

そのような「うっかり」が起こる原因はフィジカル空間での犯罪(強盗，住居侵入等)異なり、行為自体から違法性の意識を認識しづらい、サイバー空間では生身の相手と対面しないため、行為が相手に与える影響を認識しづらい、サイバー空間の文化では許容される雰囲気があり、その文化に全くなじみのないコミュニティからの評価(行為の法的評価)を想像しづらい、といったことが挙げられる。

サイバーセキュリティという専門分野に携わる者は、自分たちとは異なる分野にも固有の「常識」があることをより強く意識して業務に臨むことが、このような「うっかり」を防ぐ事につながる。

しかし、フィジカル空間と一口に言ってもそこには国内法、外国法、サイバー犯罪条約などサイバー空間、フィジカル空間をカバーする法律が非常に多いため(更に、それぞれの大分類の中に細かな法律やルールがある)、実践するのはたやすいことではない。

「常識」の違いを理解し研究開発を進めている事例(冨士﨑真治氏)

１．ShinoBOT 

ShinoBOTは、Webで登録すれば誰でも無償で使えるセキュリティ対策のペネトレーションテスト（ペンテスト、侵入テスト）向けツール群だ。詳細は以下のリンクに記載されている。

自作攻撃再現ツールを引っさげDEF CONへ、マクニカネットワークス凌氏

 検事という立場から見た時にすごいなと思ったのは、攻撃される側で，遠隔操作パスワード生成を生成できるようになっている点だ。これによって、攻撃者が一方的に遠隔操作して悪用されることを防ぎ、利用するときは被攻撃者の同意を得られる仕組みなので「意に反する動作をするもの」と関連刑罰法規に当てはまらない。法制度を含めた社会の仕組みと技術的仕組みを理解して実装された素晴らしい例だと思う。

２．あるオランダでの研究の進め方（研究倫理）

オランダでは、産官学の連携が良い意味で密に行われている国。そのような背景のもと、DDoSに関する研究をする際，検察に研究の意図を説明(法と公益の尊重(※ メンロレポートICT研究倫理))したり、研究成果をハイテク犯罪ユニットが証拠収集に使用したり(サイバーセキュリティの研究を官が享受することで、 恩恵の最大化と危害の最小化につながる)、といったことを行っている(参照元：マルウェア対策研究人材育成ワークショップ（MWS）CSS2018企画セッション　サイバーセキュリティ研究のグレーゾーン 吉岡克成 准教授　https://www.iwsec.org/mws/2018/20181024/4_css2018-yoshioka.pdf))

青少年による サイバー犯罪について

新井悠氏(以下、新井)：サイバー犯罪に走るのは自己顕示欲・認めてほしいという欲が満たされないからだと思う。会社としても色々やっているが、個人的にもそういう人たちにリーチするにはどうすれば良いか模索している。

長谷川陽介氏(以下、長谷川)：富士崎さんの話通り、我々(大人)の常識と彼ら(青少年)の常識が違うということをちゃんと伝えるべき。

冨士﨑真治氏(以下、富士崎)：身近に、認めて・理解して常識の違いを伝えてくれる人がいるといいが、現実問題いないことも多い。

佐藤公信氏(以下、佐藤)：エストニアでは、保護者が電子機器を子供に与えるとき、その際の教育観念(責任感)をしっかり持っている。

長谷川：保護者が、子供がやっていることを理解すべき。「得体が知れないからやらせない」という認識をまず大人から消させるべき。そのためには、専門家やエンジニアが彼らに啓蒙する取り組みをしていく必要がある。

佐藤：エストニアには、公的機関で利用されている教育コンテンツをすべて公開していて、保護者も教育者も見ることが出来て子供が何をしてるのか理解できる。

富士崎：そういうところに上げても、すでに漠然とした不安感を持っている大人はどうせ見ないのではないか？そういう人たちを変えるのは難しいと思う。

 セキュリティ教育は何歳からするべきか？ 

佐藤：イスラエル、アメリカ、イギリスなどは14歳からセキュリティ教育を行っていた。フランスでは、やっと高校生向けのプログラミング・セキュリティ教育が最近始まる(2019年9月にカリキュラムに導入予定)。デジタルセーフティはもっと小さい年齢からさせるべきだと考えている(安全なスマホやインターネットの使い方など)。

新井：自分の子供には、コンテンツで縛っている。それから、親の目が届くところで使わせようとしている。自分の周りでは、そういう感じで安全な使い方を小学生から教えている人達が多い。

長谷川：今の時代は、デジタル空間と現実空間の境界は明確になくて融合している、なので具体的な年齢で切って教育するのはナンセンスだと思う。例えば、現代で、デジタル空間と物理空間は切っても切り離せないのだから(セットでリアルな空間)、小学校の「社会科」の授業などで地域社会の勉強と一緒にサイバー空間についても教える感じが良いと思う。

富士崎：架空請求とか、自分でパソコン直して失敗するとか、ちょっと怖い(しかしダメージは小さい)思いをして実学的に学ばせるのも良いのかなと思う。そいうことを学べる教育機関・大学とかはあるのか？

新井、長谷川：ないと思う。何でもできるけど実害のないサイバー空間を持っている期間はない。CTFとかがそれに近いと思う。しかし、擬似的にするとリアリティがなくなってうまくいかないかもしれない。

長谷川：定期的に、「ウイルスに感染しました」という偽のメッセージを出すとか？

佐藤・長谷川：自分たちが冒険するのではなく、危険なものを他人に周知させる(その過程で自分たちも脅威について学ぶ)ためのシステムを作るようなハッカソンがあると面白いと思う。

佐藤：海外を見て回った時、「子供のインターネット利用を監視すべき」と考える傾向の国と、逆に「子供の自主性を妨げるので監視すべきでない」と考える傾向の国がそれぞれあった。どっちが多いかは統計的なデータはないと思う。フィンランドでは、BYOD(Bring Your Own Device)が発達していた。一般的なBYOD(Bring Your Own Device)の問題として、予算や技術力の違いによって導入レベルが学校によって全然違ってしまうことが挙げられる。

 セキュリティ設備にばらつきがある問題について

 長谷川：セキュリティ設備にばらつきがある問題について、家庭用でネット環境が持てないとき、公共回線を利用してストレスなく利用しようとする子供が出てくると思う。そうなると、犯罪抑止のためにまず解決すべきは教育ではなく、ストレスなくネットを利用するための整備になる。

佐藤：日本でも、タブレットやスマホなどの利用の進み具合も学校ごとに格差がある。その辺の格差がデジタル犯罪につながっている可能性はある。