セキュリティ技術者の育成は喫緊の課題

――企業や政府などは、どのようにしてハッカーに対抗しているのですか?

園田 これも色々な方法あるのですが、まず、コンピュータがつながっているネットワークを守るためのコンピュータを置いたり、通信を制御するコンピュータを置いたり、サイバー攻撃を検知するコンピュータを置いたりと、防御のためのインフラを整えます。

防御のための技術を進化させるためには、攻撃の研究をしなければならないのですが、実際の環境で攻撃をするわけにはいきません。演習環境を売っている会社もありますが、非常に高価なので、買える企業はかなり限られます。ですから、先ほど触れたSECCON CTFのようなハッカーのコンテストを開催して、攻防戦を行なうことで、技術を磨いているのです。ハッカーのコンテストは、誰でも参加できるものが年間140大会ほどあります。

また、待遇を良くすることで、セキュリティの技術者を集める動きも目立ってきています。先日は、自衛隊が年収2,300万円で情報セキュリティの専門家を募集するというニュースもありました。

あらゆるモノがネットワークにつながるようになっていますから、メーカーなどもIT技術者を必要とするようになり、IT技術者は引く手あまたになっています。そのうえに、仮想通貨などの登場が、それに拍車をかけています。2016年の経済産業省の調査では、2020年には情報セキュリティの人材が約19万人足りなくなるとされています。これは多めに出している数字ではあるのですが、人材の育成は急務です。

――技術者の待遇が良くなってきているということは、企業にとっては、セキュリティにかかるコストが高くなっているということでしょうか。

園田 コストが高くなっているというよりも、これまで、セキュリティを保険のように考えて、「保険なら、かけなくてもいいか」と考える企業が多かったことが問題です。ハッカーによる事件が増えてきたことによって、被害を受けたときの損失の大きさに、ようやく気がついてきているのです。

――セキュリティの技術というものは、特別なものなのでしょうか?

園田 特別視されることが多いですね。今、日本にはセキュリティの技術者が20数万人いるのですが、これはIT技術者の1割強です。専門家であるためにはコンピュータサイエンスを幅広く、しかも深く知らないといけないのですが、その点でまだ自分のスキルが不足していると考えている技術者も多いという調査結果があります。

例えば、ウェブのことだけを知っている技術者よりも、もっと根本的なコンピュータの技術を知っている技術者のほうが、より多くのバリエーションの攻撃に対応できるわけですが、人材の絶対数の不足に加えて既存の人材のスキル不足も課題です。

――今後、技術者が増える見込みは?

園田 大学などが毎年輩出しているセキュリティを専攻した学生は毎年多くて数千人で、しかもそのすべてがセキュリティ技術者になるわけではなく、不足しているセキュリティ技術者は数十万人ですから、とても足りません。そこで、大学で新たに学科を設けるなどして人材を育成する動きが出てきたところです。それでも足りませんが。

――IT技術者はブラックな職種だというイメージがあって、学生の人気は低かったと思います。

園田 今は待遇が良くなりつつあるので、それとともに、IT技術者を目指す人も増えるという、良い循環に入ってきていると思います。

また、待遇が良くなった企業や業界に、技術者が流れるようになっています。例えば、ある年は監査法人に人材が流れたり、別の年はセキュリティの専門企業に流れたり、という具合です。

――企業は、どのように技術者を育てているのでしょうか?

園田 ハッカーのコンテストを企業内で開催する動きが活発になっています。勝ち負けのあるコンテストをすると、技術者はとても頑張るんですよ。

――最後に、私たち一般の人がハッキングの被害から身を守るためには、どうすればいいのかお教えください。セキュリティソフトを入れるだけで十分でしょうか?

園田 本来はそのはずなのですが、最近は手の込んだ詐欺の手口が横行しているので、それにも気をつける必要があります。

例えば、あるサイトにIDとパスワードを登録していたところ、そのサイトがハッキングされて情報が漏洩した。すると、その情報が使われて、「あなたのパスワードは○○ですね」というタイトルのメールが届く。本文を読むと「なぜパスワードを知っているのかいうと、あなたのパソコンの中に、あるソフトウェアを入れているからだ。見ている動画を全部録画しているから、それを削除してほしければ仮想通貨を払え」というようなことが書いてある。それで払ってしまう、というような手口です。

また、大手企業の社員が約3億8,000万円もの大金を詐取された事件がありましたが、これも巧妙な騙しの手口にテクノロジーを組み合わせた犯行でした。まず、本物の請求書のメールが添付ファイルで来て、その30分後くらいに、「振込先が変更になったので、さっきの請求書に書いてある口座ではなく、こちらに振り込んでください」というメールが、まったく同じ書式で届いたのです。本物の請求書のメールを、ハッカーがどこかで盗み見ていたのです。

こうした手法に騙されないためには、様々な手口を知っておく必要があります。人は、何かおかしいなと思っても、自分で自分を騙す傾向があります。例えば、電話口の声がおかしいと気づいても、「風邪なのかな」と自分を納得させてしまうのです。そういうことがないよう、詐欺事件のニュースに注意を向けたり、セキュリティのニュースだけをまとめているサイトや警察、IPA(情報処理推進機構)、JNSA(日本ネットワークセキュリティ協会)などのウェブサイトをチェックしたりして、騙しの手口についての最新情報を仕入れておくべきです。

――スマホにもセキュリティソフトを入れるべきでしょうか?

園田 ハッカーにとっては、高性能なデバイスほど乗っ取りたくなります。乗っ取ってから、できることが多いですから。スマホは高性能になってきていますし、しかも、オンライン銀行や資産管理サービスをスマホで利用している人も多く、重要な情報が集約されているので、ハッカーの絶好の標的になります。細心の注意を払うべきですね。

――スマホを使ったキャッシュレス決済も、これからさらに普及することが予想されます。

園田 そうなると、スマホは財布以上の存在になりますよね。市販のセキュリティソフトでカバーできる範囲はセキュリティソフトに任せたうえで、騙しの手口にひっかからないように注意することが、ますます必要になります。

園田道夫(そのだ・みちお)〔一社〕日本ハッカー協会理事 1962年生まれ。中央大学大学院理工学研究科博士(工学)課程修了。CADソフトウエア、建設CADソフトウェアの開発を経て、上海にてCADソフトウェア開発管理業務に携わる。97年に帰国後、会議室掲示板システムの開発やネットワーク構築などの業務に携わり、99年にはセキュリティを主業務とする。2003年、NPO日本ネットワークセキュリティ協会(JNSA)非常勤研究員。04年、独立行政法人情報処理推進機構(IPA)の非常勤研究員(セキュリティセンター技術ラボラトリ) に就任。この頃より、経済産業省、JIPDEC、IPA主催セキュリティキャンプに企画、講師、実行委員、プロデューサーとして携わる。07年、白浜サイバー犯罪シンポジウム危機管理コンテスト審査委員。08年、経済産業省商務情報政局長表彰。12年、第6回年次アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント・プログラムにてSenior Information Security Professionalとして表彰される。また、SECCON実行委員(事務局長)として活躍。さらに、12~13年には経済産業省主催CTFチャレンジジャパンWG委員も兼任。14年、サイバー大学IT総合学部教授就任(17年退官)。16年、国立研究開発法人情報通信研究機構セキュリティ人材育成研究センター長就任(17年よりナショナルサイバートレーニングセンター長)。18年、情報セキュリティ文化賞表彰。日本ハッカー協会理事、東京学芸大学非常勤講師、大阪大学非常勤講師を務める。(『THE21オンライン』2019年01月19日 公開)

【関連記事THE21オンラインより】
そのパスワードでは「危険」です! ~ ネットセキュリティの「新常識」
ハッカー集団「アノニマス」の脅威
ビジネスマン必読の書!『ハッカーの手口』
東京五輪を狙うサイバー攻撃に、我々はどう備えるべきか?
知られざるDropboxの舞台裏は、どうなっているのか?