現在地 HOME > 掲示板 > IT6 > 160.html ★阿修羅♪ |
|
Tweet |
10代の若者に教えるべき「セキュリティ」とは何か? (1/2)
http://www.itmedia.co.jp/enterprise/articles/0408/20/news033.html
2004/08/20 15:20 更新
AnchorDesk
経産省が主催する「セキュリティキャンプ」は先日無事終了した。参加した10代の学生の発表を見ていて、来年以降も継続開催するのであればもう少し検討した方がいいのではないかという点がいくつか目に付いた。
10代の学生に本格的なセキュリティ知識を学んでもらう機会を提供することを主な目的とした「セキュリティキャンプ 2004」が、経済産業省らの主催で、8月3日〜7日までの5日間都内で開催され、無事終了した。
このキャンプは、昨年企画されながらも諸事情により開催を断念せざるを得なかった「セキュリティ甲子園」の事実上の代替企画である。期間中には、Linuxを利用してセキュアなサーバを構築する方法や、クラックを受けたサーバからrootkitなどを検出する方法、さらには実際にマシンをウイルスに感染させてその動作原理やロジックを学習するといった実践的な内容を含んだ実習や、個人情報保護法・不正アクセス防止法などに関する講義などが行われ、参加した学生からはおおむね好評を得ていたようだ。
ただ、最終日に行われた学生たちのグループ討論の発表や、初日に行われた参加者の自己紹介などを聞いていると、このキャンプに足りないものもおぼろげながら見えてきた。そこで本稿では、筆者なりに考えた、セキュリティキャンプに追加して欲しい要素を挙げてみたい。
10代の学生だからこそ基礎固めを
まず筆者が今回のカリキュラムを見て感じたことは、「実習を中心とした、非常に実践的なカリキュラムが組まれている」という点だ。
正直に言って今回の内容は、「お金を払うからぜひ参加させてほしい」と考える20代以上の方も少なくないだろうというもの。それだけに参加者は、サーバ管理業務など非常に実践的な部分で役に立つ知識を得られたと思われる。
ただ筆者としては、カリキュラムをあまりにも実践的な内容に振ってしまったことが、逆に10代の学生にとっては良くない部分を生んでしまっていないだろうか、という点に一抹の不安を覚える。
たとえば、そもそもネットワークセキュリティという分野において「100%安全」ということは基本的にあり得ない。また、安全度を100%に近づけようとすればするほど、それは必ずコスト(ここでは必ずしも金銭的なものに限らず、人的労力なども含めた意味)に跳ね返ってくる。そのため、セキュリティを考える場合はまず「当該システムにおいて扱う情報の重要性の順位付け」を意識した上で、重要度の高い情報がどこから漏れやすいかを把握し、そしてその重要性と防御のためのコストとのバランスを考えながら実際のシステムを構築していく必要がある。
しかし、最終日の学生達の発表を聞いていると、どうもそういった基本的な概念をきちんと理解していないのではないかという疑いを抱かずにはいられなかった。
たとえば「個人情報とWebアプリ」というテーマの発表では、個人情報を扱うWebサイトでSSLがあまり利用されていないなど、通信経路上での暗号化が不十分という点に気を取られていた。そのため、サーバ内に格納された情報がまとめて流出してしまうといった、より危険性の高いケースに対する防御策の検討が抜けてしまった、という具合である。
またセキュリティを守るという意味では、システムの構築もさることながら、日々公になる脆弱性情報への対応をはじめ、でき上がったシステムをいかに適切に運用していくかといった点が重要になる。だが、今回学生が行った発表の多くは構築面にばかり気をとられており、運用面が考慮されていなかったように見えた。
今回最優秀賞を取った「学生による学校ネットワークの利用の手引き」というテーマの発表も例外ではない。たとえば、Webコンテンツのフィルタリングについては、「フィルタリングそのものはやむを得ないが、フィルタに使用するURLリストは生徒自身が管理する」という案が提示されていた。だが、膨大に存在し、しかも日々激しく変化するURLに対する適切なフィルタリストを、果たして本当に学生だけで管理できるのかといった点は考慮されていなかった。
| 1 2 | 次のページ
[佐藤晃洋,ITmedia]
2004/08/20 15:20 更新
AnchorDesk
10代の若者に教えるべき「セキュリティ」とは何か? (2/2)
http://www.itmedia.co.jp/enterprise/articles/0408/20/news033_2.html
前のページ | 1 2 |
ここに挙げたものはあくまで一つの例だ。だが、現在の高校までの学校教育において、10代の学生がセキュリティに関する体系的な教育を受ける機会はほとんどないことも合わせて考えると、来年以降は、実践的な内容もさることながら、いわば「基礎固め」に当たる部分の座学を増やすことを検討したほうがいいのではないだろうか。社会人になるとどうしても日々の業務に追われ、基礎的な知識の習得は後回しになってしまいがちなだけに……。
関心に合わせたカリキュラムの多様化も
二つ目は、「カリキュラムの多様化」だ。
繰り返しているとおり、今回のカリキュラムは主にサーバ管理者に求められるセキュリティの知識がメインの内容となっていた。だが、いわゆるセキュリティ分野に該当する知識の範囲は非常に広い。初日の参加者の自己紹介を見ていても「セキュアなプログラミング手法に興味がある」「(チート行為への対策など)ゲームにおけるセキュリティを知りたいと思って参加した」などという具合で、参加者の関心も、必ずしもサーバのセキュリティだけに特化しているわけではない。
他にも、いわゆるソーシャルハッキングに関する分野や、RFIDのプライバシー問題にも絡んでくるトレーサビリティに関する話題、さらには暗号そのものの強度の評価、パスワードや生体認証/長期記憶による認証といったユーザー認証手法など、筆者が思いつくだけでも、学生に教えるべきテーマはいくつも存在する。
とはいえ、そのすべてを一度のキャンプで学生に教え込むのも無理がある。そこで次回以降は、参加者すべてに同じコースを受講させるのではなく、参加者の興味に合わせていくつかのコースを用意するといった手法を取っていくべきではないだろうか。
実際には講師の確保などが問題になりそうだが、何もこのキャンプですべてのカリキュラムをカバーする必要はない。例えば、今年3月にマイクロソフトが早稲田大学と共同で開催した「Writing Secure Code」セミナーのように、民間企業や大学などが開催する同種のイベントに対し、経産省などが学生の参加者に何らかの補助を行うといった手法も考えられる。このあたりは柔軟な対応を期待したい。
開催地/時期など開催形態の多様化も
最後の要望はカリキュラムの問題ではなく「開催地/開催時期など形態の多様化」だ。
今回のように、全国からセキュリティに関心のある学生を一同に集めて合宿を行うという形態は、確かに「同じ分野に関心を持つ同年代の仲間を作る」という点では非常に効果がある。だが、いくら主催者側が宿泊費や交通費を負担するとはいえ、地方からの参加者にとって東京まで往復するというのは決して楽なことではない。学生の親にとっても、子供を一人で東京まで送り出すことへの心配もあると思われる。今回の参加者30人中、女性がわずか2人だったというのは、理系分野における女性の割合の低さだけではなく、この「合宿形式」への不安も背景にあったのではないか。
今後は、そのような地方の参加者にとっての敷居を下げるという意味で、各地方の中核都市レベルでの同キャンプの開催や、夏休みだけでなく冬休みや春休みなどにも開催時期を増やすといったことが求められるだろう。実際、参加者の中からも「もっと気軽に参加できるようにするために、地方でこういうイベントを開いてほしい」との声も上がっていた。特に地方の場合、このような専門的な知識を得る機会が非常に少ないことから、地方での積極的なイベント展開は今後必須ともいえる。
レベルについてもそうだ。一度参加したら終わりではなく、初級者向けから上級者向けまで複数のレベルを用意し、関心の高い参加者については継続的に参加できるような体制作りも必要になるだろう。幸い、今回のキャンプの参加者や講師陣によるOB会の設立準備が進んでいるとの話もあるので(既にMLは稼動しているそうだ)、今後はこのOB会をうまく活用することが、キャンプの成果をより高めるための手段の一つとなるのではないか。
と、まあ、いろいろと苦言を呈してみたが、いずれにせよこのような試みが行われたこと自体は素直に歓迎すべきことであり、その芽を摘むのではなく、今後大きく育てていく方向で支援していくことが必要だろう。実行委員長を務めたラックの三輪信雄社長も、「来年以降いろいろ趣向をこらし、内容も変えていく」との意向を示している。果たして来年はどのような形で開催されるのか期待したい。
関連記事
「セキュリティキャンプ2004」開催――蒔かれた種の広がりに期待
合宿形式で情報セキュリティを学ぶ「セキュリティキャンプ2004」、参加者募集を開始
マイクロソフトを踏み台にしてくれ、春風吹き乱れる早大で古川氏
前のページ | 1 2 |
[佐藤晃洋,ITmedia]