「セキュリティのこと、知りたいな」――そんな思いを抱く全国各地の学生に、サイバーセキュリティについて啓発するとともに、前提となるコンピュータやネットワーク、Webの知識を伝え、周囲に広げていく人材として後押しする。これを実践する場として、情報処理推進機構(IPA)が2013年から開催しているのが「セキュリティ・ミニキャンプ」だ。9月23日、24日には山梨県甲府市にて「セキュリティ・ミニキャンプinやまなし 2017」が開催された。

甲府での開催は、昨年に続き2回目となる。今回は、甲信越地域の大学を卒業した2人の若手技術者が専門講座の講師を務めた。その地域で育った若者が知識や経験を還元する、いわば人材の「地産地消」である。

今回のミニキャンプの隠れたテーマは「つながり」だ。1日目の一般講座では、「IoT(Internet of Things)」という言葉に象徴される、さまざまなものが「つながる」時代のセキュリティをテーマとした講演が行われた。

また、2日目の専門講座ではより高度な内容の講義を実施。受講者には、その学びを受講者同士、あるいは受講者と周囲の「つながり」を通して周囲に広げていくこと、ひいては、参加者それぞれの未来に「つなげていく」ことが期待される。

本稿では、そんな思いが込められたミニキャンプの模様を紹介しよう。

IoTで「つながる」時代のセキュリティリスク

初日に行われた一般講座「情報セキュリティ啓発セミナー」の冒頭、挨拶に立ったIPA 理事長の富田達夫氏は「IoTでいろいろなものがつながることで、新しい価値が生まれ、新たな時代が到来しつつあります。一方で、日本の会社はどうも固いところがあり、新しい分野に飛び込むのが遅いです。特にセキュリティの問題となると『心配だから、きっちり解決してから進めよう』となりがちですが、そんなふうにのんびりやっていると、実質的な国境のない(インターネットの)世界では勝ち抜けません」と指摘した。

IPA 理事長の富田達夫氏

富田氏はさらに「普通の企業がITを使って自社のかたちそのものを変えていく、その過程でIT人材とセキュリティ人材が必要とされています」と説明し、ミニキャンプや情報処理安全確保支援士制度といった取り組みを通じて、人材を発掘し、育んでいきたいと意気込みを語った。

また、セキュリティ・ミニキャンプinやまなしの運営を支えた地元の山梨大学総合情報戦略部長、大学院総合研究部の美濃英俊氏は、「IoTとセキュリティ」と題した講演に登壇。「この先、インターネットにはコンピュータよりも、コンピュータではないモノのほうが増えていきます。IoTとは、これまでコンピュータではなかったものがコンピュータのようになるということ。コンピュータになるということは万能性を持つということであり、プログラム次第でいろんなことができてしまうがゆえに、リスクがあります」と警鐘を鳴らす。

山梨大学総合情報戦略部長、大学院総合研究部の美濃英俊氏

美濃氏は、東日本大震災時、テレマティクスサービスを通じて収集した車両の位置情報を基に通行可能な道路情報を示す「通れた道マップ」や、外出先でも来客に対応できる仕組み、スマートフォンと組み合わせて落とし物を防止するタグなど、IoTによって初めて実現されたサービスの数々を紹介した。

だが、先述の指摘のようにIoTとセキュリティリスクは切っても切り離せない。「デフォルトのパスワードのまま、無防備で誰でも見られる状態になっているカメラがたくさんネットワークにつながっています。『うちは別に見られてもかまわない』では済みません。(IoT機器を狙うマルウェア)『Mirai』の例にもあるように、IoT機器が攻撃の踏み台として利用される事件が実際に起こっているのです」(美濃氏)

美濃氏は、IoTにおけるセキュリティに関しては、「ITに比べて膨大な数の多様なデバイスがつながる」「人のいないところで動作しており、侵害されても気付きにくい」「単機能だったものが万能化している」といった特徴があると説明。また、少ない電力で長距離通信を可能にする「LPWA(Low Power Wide Area)」といった技術にも混信や妨害のリスクがある。セキュリティの3要素とされる「CIA(Confidentiality・Integrity・Availability)」は同じでも、よりデリケートな情報に接するIoTでは重み付けも変わってくる。

美濃氏は、「こうしたIoTならではの側面を理解し、相手はコンピュータであることを認識して接してほしい」と強調した。