こんにちは、ひろかずです。

サイバーセキュリティシンポジウム道後2019に行ってきたので、セッションログを取りました。
メイン会場は超満員。
ひろかずは、サテライト会場からゆったりと聴講です。
四国の高等専門学校や大学等、9箇所にライブ配信されるそうです。

例によって、リアルタイム執筆です。
誤字脱字、記載漏れ、表記ゆれはご容赦ください。

はじめに

サイバー空間と実空間の融合によるセキュリティがテーマ
実空間では、G20やラグビーワールドカップが控えている
愛媛はテロとは縁遠いが、サイバー空間は場所の関係はない
四国内の高等学術機関の生徒たちにとって貴重な機会である

お品書き

• 【基調講演】「IoT時代のサイバーセキュリティ政策」
• 【講演メイン①】「Society5.0に向けたサイバー・フィジカル・セキュリティ対策の取組み」
• 【パネルディスカッション】「サイバー空間が現実世界へ与える影響が大きいこの時代の人材育成とは」

【基調講演】「IoT時代のサイバーセキュリティ政策」

講 師：竹内　芳明氏(総務省　サイバーセキュリティ統括官)

サイバーセキュリティ上の驚異の増大
2000年以降、政府にも専門組織ができて、取り組むようになってきた。
サイバーセキュリティ室から課に昇格し、専門官が設置されるようになった。
スクラップ・アンド・ビルドされる組織が多い中、体制が強化されている存在。

はじめは愉快犯が多かったが、見つかりにくいものが増えてきた。
経済犯としては、ランサムウェアがある。
IoT機器に侵入して、大規模な攻撃で世の中に大きな影響を及ぼすものも増えてきた。

GSOCの観測は減ってきたが、より巧妙化してきていると見ている。安心できない。
IoT化に対応したものを考えていかないといけない。
ITが実装されていく中で、5GによってIoTがより推進されるだろう。
LPWAが進歩することで、IoTが進んでいき、通信網の話から産業の話になってくる。

政府全体としては、サイバーセキュリティ戦略本部を中心に、NISCが事務局となって、総務省を始めとする関係省庁が連携していく体制になっている。
サイバーセキュリティ戦略の概要として、攻撃を受けて被害を受けることを前提として、連携して行く方針。

目的達成のための施策として、経済成長を観点としたセキュリティ投資という考え方を経営者に持ってもらう。
人材育成や、研究開発の推進も盛り込まれている。

サイバーセキュリティ協議会が設置され、情報共有が重要とされた。
攻撃者は情報強者であるので、情報共有しながら対策を進めていくことが規定されている。

IoT機器を狙った攻撃をNICTERで観測している。
攻撃パケットの件数は、2年で2.8倍になっている。
過半数がIoT機器を狙ったものという分析結果。
IoT機器をどう守るかというのが、重要なポイントである。
最新の分析結果では、過半数から若干減っているが、分類が詳細化されて、その他へ移動しているだけだった。

IoTによる大規模DDoS攻撃

• MIRAIボット
• 初期設定や、簡単なID/PWのものが狙われた。
• 感染しても所有者にはわからないので、対応もできなかった。
• 攻撃の踏み台として使われて、社会全体に影響を及ぼすことがあるということ。

IoTセキュリティ総合対策

• 脆弱性対策に関わる体制の準備
• 研究開発、人材育成の強化
• 民間企業のセキュリティ対策の促進
• 国際連携の推進

脆弱なIoT機器への対策

• NOTICEプロジェクト
• 2/20から始めてる
• NICT法を改正して、NICT業務に業務を追加した
• デフォルト・簡単なパスワードになっていないことを見つけるという調査業務
• 100通りのパスワード（MIRAI亜種が使ったとされるもの）を試す
• NICTが試さなくても、攻撃者が既に試した(であろう)パスワードを試す。
• ログインできることが確認できたら、NICTからお知らせが届く
• 連絡先は？
• ISP(電気通信事業者)を通じて、ユーザーに注意喚起を行う。
• Webカメラのパスワードを変えられても、ルーターのパスワードを変えられないかもしれない
• 国がサポートセンターを作って、一元的にパスワードの変更に関わる問い合わせを受け付ける
• 周知啓発も進めている。
• ポスターには異論反論がいろいろ出た。
• 業務の内容やFAQは、広告にURLを掲載している

FAQ例

• グローバルIPv4でインターネットにアクセスできるものが対象
• NICTの行為を不正アクセスから除外する措置を取っている
• 通信の秘密は侵害しない(ログイン可否を見るだけで、ログとかは見ない)
• IPとタイムスタンプをISPを伝えるだけ。本人特定は、ISPが契約に基づいてメールなどで行う。
• 結果は、実施状況を公表する予定。セキュリティ確保の観点には留意する。
• 公表する情報は、慎重に精査する。

並行して、ネットに接続する機器のセキュリティ要件を定めることを進めている

• アクセス制御機能を持っていること。所有者じゃないとログインできない。
• SWやファームの更新ができること
• 初期PWの変更を促す機能
• スマホなど、利用者が随時・用意にSWを導入できるものについては対象外
• 2020年4月に施行予定

NOTICE的な取り組みは、海外には見られない。

• 外国でできないことが、日本でできるのはなぜ？
• ACTIVEプロジェクトのように、マルウェア感染した人へリーチする注意喚起など、仕組みが整っていたから。

AIを活用したサイバーセキュリティの研究

サイバーセキュリティ対策に関する情報開示

• ほとんどが同業他社と同レベルでいいと考えている
• 18%程度はCSRで自主的に発信している
• 有価証券報告書に記載義務まではいけてない。
• 手引きを作ろうとしている。

情報共有分析センターISAXを通じた事業者感連携の強化
TELECOM-ISACをはじめ、様々な分野での情報共有を進めたい

セキュリティ人材の不足

• 2020年には、19万人が不足する観測
• 主にユーザー企業において、不足している
• ナショナルサイバートレイニングセンターを設置している
• CYDER(実践的サイバー防御演習)では、疑似環境で起きたインシデントをどのように調査して、報告するのかということを丸一日かけて行う。
• 年間100回開催していて、合計3000人が参加している
• サイバーコロッセオでは、攻撃者の立場に立って学んでもらうアプローチ
• SecHack365では、25歳以下の人材を50人選抜して、一年間かけて教える(メンターも付く)
• やりたい内容で選抜している。最年少は10歳だった。

中小企業におけるサイバーセキュリティ対策の現状

• 50万円以下が79%
• 担当者が1人以下がほとんど

国際連携の推進

• ASEAN各国、他2国間での連携
• CYDERの簡易版を提供
• イスラエルと連携

国際安全保障

• サイバー空間と国際法の適用関係
• 米国政府における攻撃元の特定
• 安全保障の観点でどうするか
• サプライチェーンで使われる製品に、セキュリティ
• IT調達手続きに関する申し合わせでは、NISCやIT室と協議の上対象としたものについて、サプライチェーンリスク対策を実施するということ。

【講演メイン①】「Society5.0に向けたサイバー・フィジカル・セキュリティ対策の取組み」

講 師：後藤　厚宏氏(情報セキュリティ大学院大学　学長)

Society5.0がもたらす価値創造

ざっくりいうと、いろいろなものを駆使して、豊かになっていこう
最後は幸せのために価値創造することを見出すこと

サイバー空間とフィジカル空間の高度な融合
サイバーセキュリティは、90兆円の価値創出を支えるものの一つ。

• 第一期SIPは、重要インフラ等のサイバーセキュリティ確保

サイバー攻撃の動向

ランサムウェアWannaCryの猛威

• 身代金と欧州企業のサプライチェーンが狙われた

ATMマルウェア攻撃事例

• 海外支店のネットワーク侵入を切り口として、ATMを遠隔操作

ダークウェブのブラックマーケット

• ブラックマーケットという経済原理がある
• こっちのほうがよほど情報連携されている

攻撃者は国レベルシステムレベルでそれぞれ弱いところを狙ってくる
攻撃者は経済原理に基づいて、同じ攻撃手法を別の標的に執拗に繰り返す
経済社会のシステムのグローバルなつながり
ダークウェブ内での密連携による情報共有

表の社会で活用したいことを、攻撃者やブラックマーケットでやられてしまっている。

重要インフラにおけるサイバーセキュリティの確保

講義のIoTがもたらすう価値創造の多様性
第一期のSIP
2015-2019

第二期は、IoT社会に対応したサイバーフィジカルセキュリティ
2019-2022

SIPとは、戦略的イノベーション想像プログラム
他には、ImPACTやPRISMというのがある

サイバー攻撃の驚異が現実になっているので、国内インフラの強さは投資を呼び込む要件だったりインフラ輸出小競争力の源泉となる。
東京オリンピックの最大リスクは日本のレピュテーションの向上・失墜
重要インフラの特性に適合したセキュリティ確保技術は世界的に未解決であり、技術と運用の自給が必須

グローバル技術を活用したICT領域の対策としては、キャリアやISP、クラウド側で対策している。
一方で、重要インフラ設備の特性(長寿命、鍼灸設備混在、大規模・広域)に即した対策
免疫力、運用できる組織力で対応する必要がある。

技術開発の進捗と今後の展開としては、重要インフラ事業者と共同検討体制を布いて、オリパラ2020に向けて

大規模システムの真贋判定技術

• 新規の場合
• セキュリティモジュールを機器に埋め込んでいき、機器内のモジュール全てに改ざんがないことを確認
• 原本管理センターから、改ざんがないことが確認できたモジュールを起点として、新しい原本を配布していく
• 新旧機器混在下での異常検知
• ネットワークセンサーをボルトオンして、ネットワーク上の些細な変化をキャッチする

これらはSociety5.0の土台になる

• ICTとは異なる基準であり、世界的に未解決である
• 国内事業者で実装、運用できるように研究開発、人材育成していく

IoTリスクとサプライチェーンリスク対応は緊急の課題

• IoTリスクでリスクで3兆円損失
• サプライチェーンリスクに対するNIST SP800-171

Jeep事例は、IoTとサプライチェーンの両方のリスクが組み合わさって発生したもの

サプライチェーンリスク

• 混入、改ざん、漏洩
• 営業秘密の漏洩
• 不正なハードウェアの挿入や、不正な部品の混入、不正なソフトウェアの混入

サプライチェーンのセキュリティ確保ができていないと、IoTシステム・サービスのセキュリティ確保が成立しない。

• その逆も真。一体として捉えないといけない。

信頼チェーンによるセキュリティ確保

• 信頼の創出・証明
• 信頼チェーンの構築
• 信頼チェーンの検証・維持

信頼の創出・証明

• プロシージャ保証
• 真贋判定
• 信頼の起点となる部品やファームウェア

信頼チェーンの構築

• 信頼チェーンの構築
• データ

信頼チェーンの検証・維持

• MSS

なにかあれば、逆算していける信頼
実フィールドで実証して実社会での展開を進めている

IoTサプライチェーンセキュリティのグローバル動向

• IoTセキュリティは、米王日でフレームワーク議論が活発で、技術開発が個別で行われている
• サプライチェーンセキュリティは、

グローバルな協調と競争

• NIST SP800-171, NIST CSFW
• これらと協調していく

Society5.0に向けたサイバーフィジカルセキュリティ対策

• 日本の産業構造の特性に適合(SIP1)
• 国際情勢経済動向に対応できるレジリエントな信頼チェーン(SIP2)

【パネルディスカッション】「サイバー空間が現実世界へ与える影響が大きいこの時代の人材育成とは」

コーディネーター：佐藤　公信氏（国立研究開発法人情報通信研究機構(NICT)
　　　　　　　　　　　　　　　　　　　　ナショナルサイバートレーニングセンター　主任研究員）
パネリスト：新井　悠氏（トレンドマイクロ株式会社　上級スレットディフェンスエキスパート）
　　　　　　長谷川　陽介氏（株式会社セキュアスカイ・テクノロジー　取締役CTO）
　　　　　　冨士﨑　真治氏（大阪地方検察庁　刑事部兼総務部　検事）

新井さん、長谷川さんは人材育成もやっているので、呼ばれたそう。
富士崎さんは、暴走ストッパー役とのこと

NICTでSecHackという事業をやってる

• SXSWハッカソンに人を送り込んでる
• 2018では、スポンサー賞を取れた

自己紹介を通じてテクノロジやセキュリティにどう向き合ってきたかという話

佐藤さん

• Lotus123で関数作るところがはじまり
• cakewalkで音楽作ってた(MIDI検3級)
• いかに軽く、レイテンシなく音楽を流すかというところでのめり込んだ

新井さん

• ウィルス対策ソフトを作る会社で、ウィルスを解析することをやってる。
• 自分で解析するより、解析する方法を教えて、もっとたくさんの人ができるようにする取り組み
• 産学連携担当として、非常勤講師(プログラミング)をしている
• プログラムか機械学習を使って、マルウェアを見つけるかとか、教えてる
• 子供時代はファミコンをやってたが、中学校の技術の先生の影響で(学級委員だから)巻き込まれた。やってくうちで面白いと感じるようになった。
• 卒業文集で、「目指せハッカー」と書いた

長谷川さん

• Webセキュリティの会社で
• ブラウザで無限にアラートを出すような仕事をしているｗ
• 教育方面では、千葉大学の非常勤講師をやっている。
• 千葉大学は、学内の許可されたサーバーに対して脆弱性を見つけてハッキングするコンテストをやってる
• 脆弱性が見つかった時のレスポンスについて教えてほしい(新井)
• 学生は、OSSのツールの使い方を調べて、レポートを作る。
• 見つかったものは、運用保守をやっている業者に速やかに対応をしてもらってる
• 電子工学をやっていたが、テクノロジーに対してあまり興味はなかった
• IoTのご先祖さまのようなものを作ってた時に、セキュリティが気になってきた。やってみたら向いてそうだったので今に至る。

富士崎さん

• NICTで佐藤さんと1年ほどいっしょにやってた
• 検察庁から一年間行っていた。新しい試み
• 無限アラートは、立場上絡みづらい
• 音響映像系のSE会社で勤務していた
• 坂の上の雲を読んで、なにか教育的なことをやりたいような気になっていた頃
• 法科大学院精度で弁護士資格を取って、検事に任官した
• 遠隔操作事件があった頃
• サイバーを模擬裁判選手権をやったりもしていた
• デジタル・フォレンジックセンター担当兼教育担当

富士崎さんの法的視点からの問題提起

• 法律業界で働く元SEの問題提起
• サイバーセキュリティと刑事法
• うっかり刑事法の領域に入るパターン
• 脆弱性調査のつもりが不正アカウセス禁止法
• ウィルス公開とか
• うっかりの原因としては、フィジカル空間での強盗や住居侵入と違って違法性の認識がし辛い
  生身の相手と対面してないので、行為が相手に与える影響を認識しづらい
• サイバー空間の文化では、行為の評価が許容されるような雰囲気で、フィジカルの時との違いを感じにくい

行為の法的評価

• 法律が適用される時、行為を法的に評価される
• 評価には、社会通念が適用され、フィジカル空間の感覚が適用される
• サイバー空間と距離がある人の評価は、ずれてくる？
• 相手が自分と認識を同じくしていないということ
• ややこしいことに書く領域のルールがどこまで入っているかわかりにくい

どうしよう

• ShinoBOT
• あるオランダでの研究の進め方

仕組みを理解することと客観的視点の重要さ

ShinoBOT

• 攻撃される側で遠隔操作用パスワードを生成するので悪用されないし、意に反する動作をするものと評価されない(同意があるので)

あるオランダでの研究の進め方

• DDoSに関する研究をする際、検察に研究の意図を説明して、認識のすり合わせを行っておく。
• 研究成果をハイテク犯罪ユニットが証拠収集に仕様している
• 脅威より利益の方が遥かに大きい時の進め方

相互理解のためのコミュニケーションと！
サイバー空間を使ってグローバルな範囲で議論をしていきたい。

佐藤さんの問題提起

• エストニアから人材育成のフェーズについて、一言言われた
• 発掘して、育成するというアプローチ

セキュリティ合宿をやってる(長谷川さん)

• トップガンを発掘してスカウトから始まった
• 底上げ的取り組みもしている
• 将来的に教える側に立てそうな人を育てるような取り組み

授業で教えるのは、今の自分のやり方を教えるのではダメだと思ってる(新井さん)

• 普通にやると10年前のやり方と変わらない
• 新しいやり方を教えるように気をつけている

青少年のサイバー犯罪を憂慮している(新井さん)

• 自己顕示欲、承認欲求のためにやってて、エスカレートしてしまう
• 褒めると、本当に嬉しそうにする
• そういう人たちにリーチして、理解する取り組みを模索している
• 場に出てこない人にどうリーチしていくか

周囲に認めてあげる大人がいれば...
常識の違いを認識して、日常的に伝えていくということが必要なのでは(長谷川さん)

法的には、腕を試そうとする人たちへリーチする仕組みはない。
新井さんのオタク先生のように、身近に理解できる人がいるといい。
相手から見てどう見えるかを客観的考えられるようにするような教育も必要(富士崎さん)

SecHackとかで、法倫理のトピックを扱っているが、興味がある人が見れるようにするのはいいのでは(富士崎さん)

• 周囲のひとが理解できるようにするのも必要
• 理解できないものを遠ざけるのではなく、理解できない大人にリーチしていくのが必要なのでは(長谷川さん)

セキュリティ教育は、何歳くらいから始めたほうが良い？(佐藤さん)

• セキュリティは、14歳からが適齢期としているのがいいとされている(イギリスとか)
• セーフティは、早いうちからがいいとされている

見るなというのは簡単だけど、コンテンツを縛ればいいと思った(新井さん)

• うちはヒカキン縛りにしている
• スマホを与える時は約束を作っている。自分の部屋では使わせないとか。
• 実体験的には、小学生くらいからセーフティを始めて、セキュリティは
• ギガ縛りがあるので、そんなにコンテンツで問題にならないかも
• PCを使うようになってからかもしれない

社会の授業では、自分の周囲の地域から外へ目を向けるようなアプローチだが、インターネットはいきなり身の回りにある。
なので、インターネットだけを分離して教えるのではなく、いっしょに教えるのがいいのではないか（長谷川さん）

• 年齢で区切って画一的ではないアプローチには賛成（富士崎さん）
• 怖い思いの疑似体験とかはどうか？
• 大学とかそういう環境はない？
• あまりなさそう（新井さん）
• 練習環境を用意しておくと、自発的に取り組むかも？
• 与えられたものは臨場感がないかも(長谷川さん)
• 自分たちで、注意を喚起する環境を作るのはどうか？(長谷川さん)
• そういう発想はすごく強いですね(新井さん)
• ヒカキン見てたら、ランサム画面が出てびっくりさせるとか、それを親御さんが提供できるとかだと面白い(富士崎さん)

エストニア以外の国はどうだった？(新井さん)

• フィンランドは、親のネット監視は、自立性の育成を妨げるという意見があった。(佐藤さん)
• 統計を取って、その結果どうだったかということがわかれば、取り組みがみえてくるかも(長谷川さん)
• フィンランドは、バランスがとれている感じはある。

衣食足りて礼節を知るのよう、インフラが整備されていないことでインターネットに繋げない場合、
インターネットに繋ぎたいという欲望が優先されてしまうと辛い(長谷川さん)

ネットの情報は膨大なので、触れている情報によってバイアスがかかってくる可能性はある(長谷川さん)

• 検索キーワードの使いようによって、順位が変わるので、知らず知らずのうちに偏っていく(富士崎さん)
• 膨大な情報があっても、読解力が低くて理解できないという問題もある(富士崎さん)

子供が適当なものを選びなさいという問いに対して、テキトーに答えて誤った話があった(新井さん)

• AIも条件次第で選択するものが変わってくる(富士崎さん)
• AIがなぜそれを選択したのかを説明可能にするという研究も進んでいる(新井さん)
• その仕組は、人間の教育に落とし込めないか？(富士崎さん)
• AIは、必ず数学に落とし込むので、教育のアプローチ(反復とか)とは違う(新井さん)

今日はここまでです。
お疲れ様でした。