1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. 武田教授の情報セキュリティ課外授業

武田教授の情報セキュリティ課外授業

情報セキュリティの現場から「見えて」くるもの

現在、カーネギーメロン大学日本校で教鞭をとる武田圭史先生。教授と呼ぶにはとてもお若い(?)先生ですが、実は、情報セキュリティという概念が一般には知られていなかったころから研究・開発を始めていたエキスパートでもあります。 今回は武田先生と情報セキュリティのかかわりを振り返りながら、情報セキュリティの難しさ、そして面白さを紹介していただきました。

武田圭史

武田圭史氏
(カーネギーメロン大学日本校 情報セキュリティ研究科 教授)

慶応義塾大学大学院政策・メディア研究科後期博士課程修了。博士(政策・メディア)。防衛庁・航空自衛隊、アクセンチュア(株)、カーネギーメロン大学情報ネットワーク研究所客員教員を経て、同大学日本校教授。この間情報セキュリティ分野における研究開発・運用・人材育成・コンサルティング等に従事。

危機管理の最前線で知った、人と機械と情報の連携

★現在は教育研究の仕事をメインに活動していらっしゃいますが、そこにいたるまでにどのようなバックボーンがあったのか、興味を誘われるところです。情報技術に出会ったきっかけはいつごろだったのでしょうか。

―もともと大学時代に暗号の解読の研究をしていたのが始まりですね。

★防衛大学ご出身でしたね。目的意識がはっきりしていないと進める道ではないような印象があります。防衛大学を選んだのには何か理由があったのですか?

―しいて言えば、普通じゃないこと、変わったことがしたかったということがありますね。当時はバブル全盛期でしたから、一部では大学へ行くのも「遊びにいく」といった風潮もあった時代です。 僕は、遊ぶよりも勉強がしたかった。いろいろな新しいことにチャレンジして、充実した生活を送ってみたい、自分を高めたいという気持ちが...ええと、まじめ過ぎますか(笑)?

★いえ、素晴らしいと思います!

―当時は情報工学という分野がそんなに普及していなくて、電気工学の中で情報を専攻していました。暗号というのも特殊な世界の話で、一般の人たちが暗号を使うといった段階ではありませんでしたね。ただ、卒業してからは、暗号解読の仕事をしていたわけではなくて、航空自衛隊で、警戒管制の仕事をしていました。

★警戒管制というと?

―日本の領空をレーダーを使って監視して、おかしな飛行機がはいってきたりすると、スクランブル(緊急発進指令)をかけて警告します。領空侵犯への対応ですね。また、実際に戦闘になった場合の戦術や、戦略的な判断をする役割もあります。

★危機管理の最前線といったところでしょうか。

―そうですね。管制室にレーダーがあって、監視して...映画のゴジラなんかを思い出していただくと分かりやすいかもしれません。僕も最初に見たときは、「ゴジラみたいだ!」と思いました(笑)。 とにかく、飛行機やミサイルといったハードウェアがある。レーダーでとる情報がある。そして、その情報を集めて判断して指示を出す人間がいる。そんな風に、人と機械と情報がリンクして有機的に動くことに、とてもロマンを感じていたんですね。

侵入検知という"謎解き"に魅せられて

★警戒管制のお仕事から、情報セキュリティへと発展していったんですか?

―ちょうど、1995?96年頃くらいから、世の中がインターネットだ、IT革命だ、情報化だという流れになってきましたよね。軍事においても情報が非常に重要なファクターになってきたんです。軍事の運用の近代化といったときに情報技術をどのように使っていくのかという課題がありました。軍事における情報革命です。

★軍事における情報革命、普通の情報革命とどうちがうのでしょうか?

―たとえば、情報をコントロールすることによって、戦争を回避するとか、あるいは無駄な破壊や暴力を避けることができるかもしれません。そういった視点で情報技術が果たす役割は非常に重要です。しかし、情報技術を活用するとなると、当然、機密情報が漏えいするリスクだとか、システムが攻撃されるといったリスクが出てきます。これは非常に怖いな、と思いました。もし、自分がマネジメントすることになったとき、これは自分の部下にすべてを任せておくわけにはいかないと思ったわけです。 というのも、自分の重要な情報、あるいは自分の組織の重要な情報が、どのように管理されているのか、自分が知らなければ管理しようがないですよね。自分がそれをいちばん理解していないと心もとない。まずは知っておかなくてはいけないということで、勉強を始めました。そうすると、当然行われていると思っていたこと―たとえば、ネットワークに不正なアクセスが行われていないか、不正な信号が流れていないか監視するなど―が、実は全然行われていなくて、技術としても非常に未熟な状態だったことがわかった。それで、これはちょっと自分でやってみようかと挑戦したんです。そうするとさらに、できていること、できていないことが次々とわかってきて、これは非常に危険だと、問題意識を持ち始めました。

★そういった経緯もあって、慶応大学大学院政策メディア研究科にてIDS(侵入検知システム)の研究をはじめられたわけですね。武田先生といえば、IDSの第一人者です。IDSについて教えていただけますか?

―一言でいえば、ネットワークの警報装置、監視装置です。ネットワーク上で不正が行われていないかということを監視する番犬であり、ガードマンであり、防犯カメラであり...。 セキュリティについて、見えない脅威と言われたりすることもありますが、実は見ていないだけで見ようと思えば見えるものってたくさんあるんですね。IDSでは、どんな風にネットワークの中を情報が流れて行くのかを見ていきます。そうすると、どういうアタックが来ているのか、今ネットワーク上で何が起こっているのかが、見えてきます。見えないものに対して、人間は不安を覚えますが、見えるから安心できる。また、見えることでいろいろなことがわかってくる。謎解きのようでとても面白い分野ですね。

現場で使える人材育成のために

★その後、コンサルティング会社を経て、教育・人材育成の道に進まれるわけですね。教育の道という転機の裏には、なにか特別な思いがあったのですか?

―まず、日本で情報セキュリティの人材育成をする機関がほとんどなかったという背景があって、新しくカーネギーメロン大学の日本校を開校するにあたって、声がかかりました。 実は、情報セキュリティを大学でやるというのは結構バランスが難しい。大学だから研究もしなければいけないし、かといって、現場を無視した浮世離れした頭で研究をしていてもしょうがない。現場の経験をしている人間が教えなければだめです。でも、リスク管理を専門にやっている人ってそんなにいない。僕は、リスク管理、組織管理、ITの管理を総合的にやってきたので、自分がやらないといけないんじゃないかと、何となく思ったんです。それがきっかけといえばきっかけです。

★カーネギーメロン大学日本校について、教えていただけますか?

―米国と同じ基準で審査するので必然的に狭き門になってしまいます。少数精鋭ですね。講義や課題の提出はすべて英語ですので、日本人にとっては英語がハードルになる場合が多いですね。ただ、情報セキュリティの分野ではどうしても英語の情報へのアクセスが必要ですのでこの経験が後で大きな強みになります。16か月で修士号をとることになるので、かなりハードです。それに耐えられるような人でないと入ってからが大変です。社会人経験がある人を想定しているので、20代後半から30代前半くらいの学生が多いですね。

★情報セキュリティ専門の人材育成ということで、セキュリティ純粋培養みたいな人がいるのかと思っていましたが...

―カリキュラムの特徴として、コンピューターテクノロジーの科目だけではなく、総合的な能力を身につけることに重点を置いています。たとえば、最初に入ったら、経済学は必修です。狙いとしては、技術的な知識を与えるというよりはむしろ、技術的なバックグラウンドはある程度持っている人に対し、より現実のセキュリティ問題に対応するために必要な知識、スキルを身につけてもらうことを重視しています。実際、意思決定というのは、経済的な問題だったり、組織管理の問題だったりしますから、教員も政策系の教員、ビジネススクールの教員、コンピュータサイエンスの教員と、バランスを考えています。そうじゃないと現場で使える人材を育てることはできません。

★授業は世界中でインターネット中継で行われているんですよね。

―中継で同時に行う授業、ローカルで行う授業、両方組み合わせています。 場所はあまり関係ないですね。今は、教材も、試験だとか、レポートの提出だとか、すべてポータルで行っています。 テレビ会議みたいなものです。キャンパスは世界中にちらばっているので、ある授業はオーストラリアから、ある授業はアテネからといったように、時差の調整は必要ですが、地域に関係なくグローバルに展開しています。もちろん、日本の授業が他に中継されることもあります。 遠隔授業というと、なにかこう、向こうから先生が一方的に送っている感じがしますが、向こうでも授業をやっているんですよ。向こうにもこっちにも学生がいて一緒にワイワイやっている感じです。だから、あいつは結構頭がいいとか、あいつはいつも変な質問するとか、世界中の学生間のつながりもあります。 もともと米国の授業というのは、相互作用的なんですね。「君はこれどう思う?」なんてどんどんあてて、会話していく。向こうで授業をやっている教員が、遠隔地にいる学生にもあてるようにしたり、いろいろ工夫しながら行っています。

★法律や企業風土など、日本独自の科目もあるんですか?

―もちろんあります。ユニークなものでは、近隣の地域の企業へのボランティア協力があります。企業に学生のグループを3人ずつぐらい派遣して、そこの会社のセキュリティの問題点を指摘して、改善プランをつくるといった、コンサルテーションを実際にやらせるんです。それによって学生は自信がつきます。授業で習ったことを、実際の問題で使う。カーネギーメロンでは、そういう実践性を意識していて、授業はあくまで「ヒントをあたえるもの」という位置づけです。実際には、システムを作らせる、評価する、現場に行かせる。例えば企業などでセキュリティに関して、「ここがまずいからこうしなくてはいけない」というと、必ず現場から文句が出ます(笑)。そういった現場の反発も含め経験して、わかりあって、理解してもらう。卒業したらすぐに使える人材育成のためのカリキュラムです。日本だと、大学を出ても、まずは会社に入ってからというところがありますよね。そこは違うところですね、米国でこのような大学院を卒業すると、かなり高いサラリーで雇ってもらえます。日本でも徐々にそういう土壌が広まっていますが、従来型の日本企業では難しいところもあるようです。

★人材登用の問題は、日本企業における情報セキュリティに対する意識の低さも影響しているのではないでしょうか?

―まったく影響がないというわけではないでしょうが、企業というものは、売り上げ、納期、顧客対応といった重要な課題がたくさんあるわけですよね。情報セキュリティが経営上の重要課題の1つになることはあっても最重要課題にはならないという側面もあります。たとえば、実際に漏えい事故が発生して顧客に損害を与えたとか、漏えい情報をもとに恐喝を受けているといった場合は最重要課題になりますが、そうなる前にさまざまな経営課題がある中で、優先度を低くされがちな情報セキュリティの取り組みをどう実現していくかというのが難しいところです。

★それはそのまま個人にも当てはまるかもしれませんね。ネットバンクで問題があればあわてるけれど、普段のウィルスチェックは怠りがちとか...。後編では、そのあたりの個人の情報セキュリティ対策についてもお聞きしたいと思います。

(後編へ続く)

武田教授の情報セキュリティ課外授業  後編へ

  • EUCとは
  • カテゴリートップへ
  • セキュリティ専門家が25万台からなるボットネットを悪用