最前線の知見を高専でのセキュリティ教育に反映、高知高専で副業先生が”しびれる”特別講義:こんなに刺激的でいいんですか!(2/2 ページ)
高専の学生たちにサイバーセキュリティのリアルを体感してもらうために、現場で活躍中の副業先生による“かなり刺激的な”講義が行われた。
車のセキュリティに実際に触れ、理解を深める特別講義を実施
2022年10月6日にその一環として、高知高専で特別講義が行われた。高知高専のソーシャルデザイン工学科教授、岸本誠一氏は学生に向け、「専門家によるかなり刺激的な講義です。ぜひ、もっと学びを深めたり、レベルアップしたりしていくきっかけにしてください」と呼び掛けた。
テーマはずばり「車のセキュリティ」。今や「つながるくるま」が当たり前となりつつあるが、車自体も1つの複雑なシステムだ。1台の車の中には「ECU」(Electronic Control Unit)と呼ばれる自動車制御用のコンピュータが複数搭載されており、それらが「CAN」(Controller Area Network)などのプロトコルでつながってネットワークを構成している。
講義ではそうした仕組みを説明するだけでなく、シミュレーターの「ICSim」を用いて実際に手を動かし、車載ネットワークがどのように攻撃を受ける恐れがあるかを試しながら理解を深めていった。
特別講義の講師は、自らも高専OBであり、サイバーセキュリティ企業でリサーチ業務などに携わる経験を持つ林憲明氏だ。林氏は「知識とスキルだけでなく、現場ならではの『心得』も伝え、情報管理の要となる人材を育成したい」という思いで副業先生に応募した。本業の傍ら、業界団体で「人狼」ゲームになぞらえてセキュリティインシデント時の対応を学ぶ「セキュリティ専門家 人狼ゲーム」を作成するなど、人材育成にも関心を抱いてきた。
学生たちは普段から情報技術を学んでいるだけあって、Kali LinuxからICSimの立ち上げまではほとんどが問題なく行っていった。そして、アクセルやブレーキを踏んだとき、あるいはドアロック機構を動作させる際、ネットワークにどのようなパケットが流れているかを自分の目で把握していった。
とはいえ、ネットワークに流れるパケットは膨大な量に上る。大量のログの中から、ECUへの命令が含まれている箇所を特定する作業にもチャレンジした。そこで使われたのが、おなじみのデータ検索アルゴリズム、二分探索法(バイナリサーチ)だ。林氏は「授業で聞くだけでなく、実際にこうして活用することでバイナリサーチの力強さを感じてほしい」と述べ、事実、学生たちは夢中で取り組んでいた。
講義ではさらに、パケットダンプを記録し、再送するだけでドアロックを解除できるような「リプレイ攻撃」が簡単に成立することや、CAN通信の内容を解析していけばECUに対する操作がどのような命令で行われているかを把握し、書き換えることで制御さえもできることを、動画とシミュレーターを用いながら解説していった。
最後は残念ながら時間切れとなったが、一連の環境はオープンソースソフトウェアを用いて構築されており、講義の内容もUdemyに登録されていることから、興味を持った学生は継続して取り組むことも可能だ。
黙々と、しかしサクサクと課題を解き進める学生もいれば、周囲の友人の助けを得ながらにぎやかに取り組んだ学生の姿もあった。いずれも講義を通じて、「何となく名前は聞いたことがある」程度だった車載ネットワークの仕組みが潜在的に抱える脆弱(ぜいじゃく)性を体感し、学生らは多くの刺激を受けたようだ。
「ログを順にひもとき、分解していけば全てビットで動いていることが分かりました」と納得したり、「想像以上に、こんなに簡単にハッキングができるんだということに驚きました。だからこそ、脆弱性を見つけ出し、修正していくことの重要性を体感しました」と述べていた。
講義前後のアンケート結果を見ても、インパクトは大きかったようだ。講義前は低かったECUやCAN、そしてコンピュータと現実世界が連携して制御していく「サイバーフィジカルシステム」についての認知度も、大きく向上する結果となった。
今回の特別講義の内容は、事前に幾つか示した案の中から、学生の要望が高かったテーマとして選ばれた。「高専生の強みであるモノ作りをカバーしつつ、セキュリティ専門学科としての強みを生かすという意味で、サイバーフィジカルシステムというテーマは非常に意義があると思います」(林氏)
いつか現場で活躍するときに思い出してもらうために
刃物をうまく扱うには、切れ味の鋭さを知る必要もある。サイバーセキュリティも同様に、攻撃にどれだけ危険性があるのかを体感しつつ、倫理とセットで教育を進めていくことが必要だろう。
現在、各地の高専でサイバーセキュリティ教育に取り組む教員たちは、人口減が避けられない中、いかに質の高い教育を実施するかに知恵を絞っている。例えば一関高専では、やはり現場の一線級のエンジニアを招いてインシデントハンドリング演習を実施する予定だ。また、今回の特別講義でも駆使したsli.doといったサービスや動画をうまく組み合わせることで、学生らが授業から取り残されず、理解を深める助けになるのではないかといった議論もあった。
一方で、卒業生の進路も課題だ。中核拠点校である高知高専でも、サイバーセキュリティを専攻する学生は多数派ではなく、卒業後はセキュリティ以外の分野に進学・就職する学生たちが多い。だが、だからこそ「サイバーフィジカルのセキュリティが重要だと考えている」と林氏は述べている。
「卒業後、社会に巣立って第一線の事業部門で活躍するようになったとき、『学生時代に、セキュリティの授業でこんなこともやったな』と思い出し、セキュリティを考慮できる意識付けになれればと思っています」(林氏)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「ホワイトハッカー」の仕事を理系学生が体験 日立ソリューションズ インターンシップ潜入記
ドラマや映画の登場人物みたいに華やかなもの? 個人でもくもくとPCに向かうんでしょ?――ホワイトハッカーの仕事とはどのようなもので、どんな難しさややりがいがあるのか。早稲田大学の学生たちがインターンで疑似体験してみた
令和初の情報危機管理コンテストに見る、真の対応力――理想通りにいかない環境で、理想のインシデント対応に近づくには?
インシデント対応に備え、さまざまな手順やツールを整え始めた企業は多いことだろう。だが、全てを担当者の思い通りに制御できる環境はない。さまざまな制約や初見の機器といった、「アンコントロール」な環境の中でこそ、真の対応力が問われることになる
セキュリティに関する知識とスキルに「心得」を演習でプラス
2017年5月に開催された「第12回情報危機管理コンテスト」で、見事に経済産業大臣賞を獲得した木更津高専チーム。今度はNiサイバーセキュリティが提供するサイバー攻撃対応トレーニングシステム「Cyberbit Range」を用いた「サイバー攻撃シミュレーション特別実践演習」に挑戦。その模様をお届けする
翻訳家志望だった文系女子が「セキュリティエンジニア」になった理由
メディアではあまり脚光を浴びることのない“若手社員”の声を聞いてみるインタビューシリーズ。今回は、サイボウズでセキュリティエンジニアを務める長友氏にお話を伺いました
文系エンジニアですが、ハッカーになれますか?
セキュリティ会社起業、ファイル共有ソフト「Winny」の暗号解読成功、政府の「情報保全システムに関する有識者会議」メンバー、「CTFチャレンジジャパン」初代王者――華々しい経歴をほこる“ホワイトハッカー”杉浦隆幸さんは、20代で創業し17年たった会社を去った後、新しい取り組みを始めた――