2012年11月1日木曜日

セキュリティ人材育成ブームの危うさ

SNSを模したフィッシングサイトを作るプログラムを公開した、そしてそれを使ってサイトを開設しID,パスワードを盗んだとして、中学生があいついで補導されました。目立ちたかった、というのが動機だとされていますが、行為の危うさもさることながら、その動機の単純さに驚かされます。

SNSのようなWebアプリケーションを作ることは、実際それほど難しいことではありません。基本部分は、あちこちにあるサンプルをコピペすればできてしまいます。もしかしたら、すこしプログラミングの知識があれば、小学生でも作れるかもしれません。たとえば、高校生くらいになればプロ顔負けのソフトウエアを作ることもできるでしょう。そして、今はその環境があります。

しかし、問題は、そうした技術やその使い方を正しく指導できる教師やそれを行える場が、ほとんどないということです。インターネットを含むIT技術についてのみいえば、教育現場は完全に後手にまわっています。今、子供たちに必要なのは、技術を教えることではなく、その正しい使い方を教えることなのですが、教える側に技術知識がないこともあって、いわば腰が引けた(つまり、覚えた技術をあまり使わせない)ような指導の仕方になっているのではないかと危惧します。それではせっかく覚えた技術が無駄になるばかりでなく、子供たちに、教える側への不信感も芽生えさせかねません。こうした教師を育成することは、簡単ではありません。むしろ、民間のIT専門家をうまく活用して、行政がそうした場を、課外授業でもいいので作っていく必要があるのではないかと思います。IT技術に興味を持つ子供たちが、そうした場に参加して、ITを使う楽しさや正しい使い方を覚えていけるようにしていく必要があります。補導された子供たちも、そういう場があれば、たとえば一定期間、そこへの参加を義務づけて再教育する、といったことも考えられるでしょう。

実は、同様の問題が、昨今声高に叫ばれているセキュリティ人材育成についても存在しているのではないか、そんな危惧を抱き始めています。このところ、コンテスト形式のイベントが目白押しです。CTF(Capture The Flag)というのは、もともと、セキュリティコンファレンス等でのイベントとして、コンピュータへの攻撃、防御技術を競う競技として行われていたものです。米国のDEFCONでのCTFなどが代表格です。こうしたCTFでは、一般にネットワーク上で実際に近い戦いが繰り広げられます。特に世界各地から腕利きが集まるイベントでは、新しい攻撃方法や防御方法が登場したり、興味深い戦術が使われたりと、実際のネット上での対応を考える上で非常に有益な情報が得られます。一方、こうしたイベントでは、実際のハッキング技術が使用されるため、「ハッカー育成」ではないかという批判が常につきまといました。かつて、日本国内で同様のイベントをやった際にもこうした危惧はありました。そのため、形態を少し変えて、実際にコンピュータを攻撃するのではなく、ネットワーク上に点在しているセキュリティに関する問題を解いていくような形のCTFが考え出されました。最近、国内で行われているCTFの多くがこの形のものです。解いた問題の数で得点を競うような形です。しかし、問題の解決には実戦的な知識が問われますから、当然、参加者はこうした知識や経験を必要とされます。つまり、形が変わっただけで、本質的には、あまり変わらないのです。

善玉ハッカー、ホワイトハッカー、そうした言葉も最近メディアに流れ始めています。現在、技術的には攻撃側、つまりダークサイド有利の状況だと言われているので、防御側がそうした人材の育成に血眼になるのは、わからないでもありません。しかし、こうした技術はそれを持つ人の考え方次第で、いずれの道具にもなり得ます。こうした面での動機付けなくして技術のみを高めれば、極めて危うい人材を作り出してしまう可能性もあります。さらに、気になるのは、最近の人材育成ブームです。数万人規模で人材を作るのだ、というかけ声で、全国津々浦々でCTFが開かれるのですが、こうした競技に参加するモティベーションと、セキュリティを高めるのだというモティベーションは明らかに違います。競技の場合、冒頭の子供たち同様の「目立ちたい」というモティベーションが強く働くことも否めません。たとえば、その頂点に立ったチームを重点的に教育して、そうしたモティベーションを植え付けていくことは考えるのでしょうが、そこに至るまでに敗退していった多くのチームに対するケアは、はたして行われるのでしょうか。それが最も危惧する点です。この点を誤ると、少数のセキュリティ高度人材を育てるために、多くの危うい人材を取り残してしまうことになりかねません。

CTFは、それを行うことよりも、行った後のフォローが重要だろうと思うのです。たとえば、地域ごとに参加者をあつめて継続的なコミュニティーを作り、アフターケアを行っていくとか、そうした人材がボランティアとして子供たちの教育にあたるとか、そういう場を作っていくことが必要です。そのための指導的役割をになう人材も用意しなくてはいけません。

さらに、高度人材も働く場がなければその力は活きません。現在のセキュリティ産業にはその規模で高度人材が働く場は残念ながらありません。業界をどれだけ活性化してもムリでしょう。こうした人材が働く場を作るためには、すべての企業がこうした人材を最低限雇用し、自社のセキュリティを企画しつつ、アウトソース先であるセキュリティ業界、IT業界企業とのパイプ役をはたすような形が必要です。そして、それが今、日本企業の情報セキュリティ強化に最も求められていることだと思うのです。一日も早く、こうした状況をつくり、職にあぶれた「高度人材」がダークサイドからの誘惑にさらされることを防ぐことが必要です。人材の需要と供給のバランスを考えて人材育成を行う必要があります。そのためには、いたずらに海外では何十万人・・・といった話を強調することはやめて、国内の実態にまず目を向けるべきでしょうね。

0 件のコメント:

コメントを投稿