“法的にもセキュアな”システムを作れるエンジニアになろう：「＠ITセキュリティセミナー 〜迷宮からの脱出〜」レポート（2）（2/2 ページ）

[廣瀬治郎，＠IT]

“リーガルセキュア”なエンジニアになろう

デジタルフォレンジック研究会 会員の“ハッカー検事”こと大橋充直氏

　続く特別講演では、デジタルフォレンジック研究会に所属する検事であり、“ハッカー検事”として知られる大橋充直氏が、「リーガルセキュアなエンジニアになろう(^o^)/ 裁判におけるデジタルフォレンジックはいかにして行われるか（個人的見解）」と題した講演を行った。「最低限必要となるサイバー犯罪の基礎を学び、“法的にも”セキュアなシステム作りを学ぼう」というのが、同氏の主張だ。

　はじめに大橋氏は、時間や場所の隔たりを廃するインターネットを“人類史上最大最高の至福のインフラツール”として絶賛する。そして「それだけに、インターネットに関する凄惨な事件や、ネットいじめの被害者、あるいは情報漏えいによって多額の賠償金を請求された被害者による自殺が発生してしまうことが悲しい。こうした事件は『遺族から一生恨まれ続ける最悪のシナリオ』だ」と述べ、情報漏えいなどのインターネットにまつわる事件を防ぐための個人／企業での対策の必要性を訴えた。

　次に大橋氏は昨今のサイバー犯罪の傾向について、「昨今のサイバー犯罪には、詐欺や児童売春、窃盗、いじめなどの一般犯罪が含まれるようになってきています。ツールを使えばPC1台で“組織的な”犯罪を実行することができ、若い、技術的には“素人”の犯罪者も増えています。豪州では、無線LANを通じて病院のシステムに侵入され、投薬データを改ざんされたという例もありました。無線で人を殺めることができるのです。また、今後クラウドとIoTの技術がさらに進展すれば、遠隔操作犯罪、国境越え捜査という形で、捜査や公判にも大きな影響を与えることになるでしょう」と述べ、現代を「SMRC＆BTT（Social, Mobile, Remote access control, Cloud & Big data analytics, IoT, cyber Terrorism）」の時代だと定義する。

　その上で大橋氏は、このSMRC＆BTTの技術が非常に有用であると同時に、弊害を生み出していると指摘。例えばSNSは、「1人で数台の街宣車を保有するようなもの」であり、被害情報の拡散には有効だ。しかし、そのログは比較的短期間で削除されるため、問題が起きた際の管理提出も不完全なものになってしまう危険性がある。また、モバイルはいつでもどこでも使える一方で、公判中にマスコミへ情報をリークしてしまうなどの犯罪に悪用されることがある。さらにクラウドが普及することで、国境を越えたリモートアクセスが一般的に行われるようになり、捜査・公判が難しくなっている。

　ただし大橋氏は「ビッグデータ」に関しては、解析に活用することで、「“前足後足（犯行前と犯行後の容疑者の行動・挙動）”」の科学的証拠化が容易になったと評価する。同氏によれば、サイバー犯罪捜査の基本はログ読みだ。例えば、攻撃と思しきトラフィックから、「2秒で100文字も入力している」「通常はあり得ないような国外からの接続が行われている」といった情報を読み取り、犯意や手口を客観的に推論するのだという。実際に検察の世界では「技術の再現性」が重要だと考えており、大橋氏はこれを「論より証拠」ならぬ「論よりRUN」と表現する。つまり、サイバー犯罪者を追い詰めるためには、防犯カメラやドライブレコーダーのように、システムが時系列で事実を推認できる証跡を残すことが必要ということだ。

　「さすがに、『六法全書』を持っているエンジニアの方は少ないと思いますが、ぜひ興味があれば、“リーガルセキュア”の考え方について学び、スキルアップを図っていただきたいと思います」（大橋氏）

セキュリティ人材育成に「資格」を活用しよう

CompTIA日本支局 シニアコンサルタント 板見谷剛史氏

　グローバルに人材育成を推進する非営利業界団体のCompTIA日本支局でシニアコンサルタントを務める板見谷剛史氏は、「効果的なセキュリティ人材の育成をゼロベースで考える」と題した講演を行った。

　昨今はセキュリティエンジニアの人材不足が叫ばれている。板見谷氏はこれを「鶏卵問題」と表現する。経済産業省の発表によれば、2016年には13万人のセキュリティエンジニアが不足し、2020年には不足が19万人を超えるとされているという。板見谷氏はこの状況に対して、「2015年に教育機関でセキュリティを学び、これを修めた人材はたった130人。卵が少なすぎます」と指摘する。

　そこで板見谷氏は、企業内でこの“卵”を育成するポイントとして、「まず企業としての“ビジョン”を掲げ、次にそれを達成するための事業部門の施策を策定すること。次に下層から、各課で必要な“短期的ゴール”や各部で必要な“中長期ゴール”を策定すること。そしてその上で、事業部をまたいで共通するものは“若手育成”し、各階層に共通の“階層教育”を施す」といったステップが必要だと解説した。

　板見谷氏は最後に、「こうした人材育成においては、資格を効果的に活用してほしいと考えています。日本企業は、資格の活用がヘタです。欧米では、個人のキャリアゴールを達成する道のりとして資格が有効活用されています」と述べ、「もちろん、海外のやり方をそのまま真似ればよいというものではありませんが、国家資格やベンダー資格も含めて、自社に即した“資格の活用方法”を検討してほしいと思います」とまとめた。