基調講演
シン・サイバーセキュリティ研究所 〜 つづけていくこと、つないでいくこと 〜
基調講演は、2024年4月にサイバーセキュリティ研究所の新・研究所長に着任した井上大介が、『シン・サイバーセキュリティ研究所~つづけていくこと、つないでいくこと~』というタイトルで行いました。
今年は、サイバーセキュリティ研究室が2005年から始めたNICTER観測が20周年を迎えます。そして2月1日には、サイバーセキュリティ研究所に『AIセキュリティ研究センター(CREATE)』が新設されました。2025年の“シン・サイバーセキュリティ研究所”は、2つの研究室、3つのセンター、1つのネクサスという体制で活動を行っていきます。
井上はそんな新体制となった研究所の全体概要を紹介。特にAIセキュリティ研究センターについては、立ち上げた背景や目的を説明し、「AIとサイバーセキュリティ研究の国際競争力を強化し、海外機関との研究連携や人材交流を、CREATEを通して行っていきたい」という意気込みを述べました。
講演の締めでは、講演テーマの“つづけていくこと”について、「サイバーセキュリティは物理現象ではなく、“進化する人間”が相手であり、いたちごっこが宿命づけられた研究分野なので、継続的な実データの観測分析をつづけていくことが重要」と述べ、“つないでいくこと”については、「産学官の結節点を作り、それをさらに国内外をつなぐ結節点に成長させていくこと。そして研究開発を次世代へつなぐ人材育成も重要であり、引き続き注力していく」と述べました。
研究・活動報告
デマの検知に向けたモダリティの活用の検討
サイバーセキュリティ研究室からの研究報告は、主任研究員の藤田彬が登壇し『デマの検知に向けたモダリティの活用の検討』というタイトルで講演を行いました。本研究はサイバーセキュリティ研究室のユーザブルセキュリティチームが取り組んでいます。
本研究では、“悪影響を及ぼす可能性のある投稿”とその“返信投稿”をひとつにまとめてデマと定義し、デマ投稿文の言語上の特徴である『モダリティ』に着目しています。どんなデマの時にどんなモダリティが多くなるのか少なくなるのか、そしてどんなリアクションが起きる時にどんなモダリティが多いのか少ないのかという分析を行っています。
藤田は「この研究の重要なところは、デマ投稿の意味や真相の部分には全く触れていないことである」とし、「これはデマですか? とChatGPTに聞くことはできるが、デマであるかそうでないかは人間が判断するほうが健全なのではないか」と持論を述べました。その上で、人がデマの検出をし出すと社会体制が追い付かなくなるため、だからこそ「表層から一定程度スクリーニングする、本研究のようなツールが、よりよいデマへの対策につながるのではないか」とまとめました。
今後の課題としては、「モダリティだけではなく絵文字がどれくらい使われているかなど、表層的な特徴を他にも入れて総合検出モデルとして拡張していきたい」と展望を述べました。
コミュニケーションツールに導入されるエンドツーエンド暗号化技術の安全性評価
セキュリティ基盤研究室からの研究報告は、主任研究員の伊藤竜馬が登壇し『コミュニケーションツールに導入されるエンドツーエンド暗号化技術の安全性評価』というタイトルで講演を行いました。本研究はセキュリティ基盤研究室が取り組む“暗号技術の安全性評価に関する研究”の1つであり、兵庫県立大学およびNECと共同で進められています。
コミュニケーションツールに導入されているエンドツーエンド暗号化(E2EE)通信は、機密情報やプライバシー情報を守る有効な手段として考えられていますが、実際にどこまで安全なのかは十分に評価されていないのが現状です。本研究では様々なコミュニケーションツールについて安全性評価を行い、その結果得られた知見と教訓を紹介しました。
さらに伊藤は、エンドツーエンド暗号化技術に関してもPQC(耐量子暗号)移行が進められていることにも触れ、その移行期間中における安全性については十分な議論が進んでいないことを指摘し、「今後は課題を抽出して安全性評価を進めながら新たな知見や教訓を収集していきたい」と述べました。
サイバーセキュリティ人材育成の演習の取り組み
セキュリティ人材の育成を行っているナショナルサイバートレーニングセンターからは、演習におけるシナリオ開発を担当している主任研究技術員の阿部則夫と、実践的サイバー防御演習「CYDER」を担当する主任研究技術員の中川哲也が登壇し、普段は聞けない演習開発の裏側について講演を行いました。
最初に阿部より、『インシデントハンドリング演習におけるシナリオ構築のポイント』というタイトルで取り組み紹介を行いました。
ナショナルサイバートレーニングセンターでは『実践的サイバー防御演習“CYDER”』、『実践サイバー演習“RPCI”』、『万博向けサイバー防御講習 “ CIDLE”』の3つの演習に加え、25歳以下を対象とした『セキュリティイノベーター育成プログラム“SecHack365”』の4つの事業を展開しています。
阿部は3つの演習事業における演習シナリオ開発を担当しており、講演ではシナリオ開発において重要なポイントとして「何を身につけてほしいか」、「リアリティの追求」、「実践的スキルの具体化」の3つを挙げ、CYDERの演習内容を例に紹介しました。
続いて中川より『CYDERオンライン演習への挑戦』というタイトルで、その挑戦の軌跡を紹介しました。
最初の挑戦となったのは、地理的・時間的要因で、実地で受講できない方への対応、そして2021年当時のコロナ禍の感染拡大防止対策という課題を解決するために開始した演習のオンライン化でした。正式サービスでは、手始めに初級者向けのAコースを個人学習向けに再構成したものをリリース(本来は4人1グループでの演習構成となっている)。その結果、「自分のペースで学ぶことができてよい」などの一定の評価をいただけた一方で、「すぐに質問ができない」「グループで討議ができないため、実際のインシデント対応に近しい経験ができない」といった意見もいただいたことを率直に話しました。そういったさまざまな課題を解決するために、要件の見直しや対象者の再定義を行うなどし、『プレCYDER』や『オンライン実践コース』といった新しい挑戦を進めています。さらに、オンライン実践コースを通じて新たな課題も見つかっており、「CYDERオンライン演習への挑戦は今後も続いていく」と締めくくりました。
新しい NOTICE の船出 -国内の IoT セキュリティの最新状況-
ナショナルサイバーオブザベーションセンターからは、研究センター長の衛藤将史が登壇し、『新しい NOTICE の船出 -国内の IoT セキュリティの最新状況-』というタイトルで講演を行いました。
衛藤は2024年4月から再出発した『新しいNOTICE』における具体的な取り組みを紹介。新たに業務として位置づけられた『ファームウェア脆弱性調査』、『マルウェア感染機器の調査』、『リフレクション攻撃の踏み台にされうる機器の調査』に触れつつ、それらの調査で明らかになった脆弱なIoTの事例などを用いて、国内のIoTセキュリティの最新状況を報告しました。
また、ID/パスワード設定の脆弱性調査で発見された脆弱な機器のうち、端末設備等規則改訂前にあたる 2019 年以前に発売されたものが全体の 83~96% 程度であったというデータを示し、「技適のセキュリティ基準を適用することで一定の効果が見込める」と説明。
一方で、技適に適用された機器であっても、IDやパスワードがデフォルトのまま使用されているケースや、変更を促す通知があっても先延ばしにできる機能が備わっているというケース、あるいはユーザー自身が「adminadmin」などの脆弱なパスワードを設定してしまっているという実態も明らかにし、「機器をそういう設定にできないような構成にすることが必要であるという知見を得た」と述べ、ご参加いただいた皆様に向けても、今すぐできるIoT機器の安全な管理について「みなさまにしっていただきたいこと」として具体的な運用・管理についてご紹介をさせていただきました。
NOTICEについては、参加者の関心も非常に高く、質問予定時間枠を超えるほどたくさんの質問をいただいたことが印象的でした。
つなげるセキュリティトレーニング
サイバーセキュリティネクサスからは 主任研究員の佐藤公信が登壇し、『つなげるセキュリティトレーニング』というタイトルで講演を実施。CYNEXの4つのサブプロジェクトCo-Nexusのうち、サイバーセキュリティの人材育成に資する『Co-Nexus C』について取り上げ、本プロジェクトが人材育成に伴う様々なコストを低減し、サイバーセキュリティトレーニングの迅速な展開を目指していることを紹介しました。
さらに、“つなげる”をテーマにCo-Nexus C の取り組みを説明。まず“コンテンツをつなげる”として令和2年からの現在までのロードマップを振り返り、次に“仕事、タスクをつなげる”として、演習環境の利用イメージと教育コンテンツの特徴を解説しました。さらに“講師とコンテンツをつなげる”取り組みとして、教育コンテンツのスライドには目標や説明の流れなどポイントが記載されており、指導のしやすさを重視していることを強調しました。また “知識をつなげる”観点では、受講者が各コンテンツを通じて習得できる知識を整理し、目的に応じたトレーニングの提供が可能であることを説明。“組織とコンテンツをつなげる”点においては、NICTが提供するコンテンツだけでなく、参画組織が持ち込んだコンテンツも活用できる仕組みを紹介しました。
最後に、これまでに開発したコンテンツを紹介し、「今後さらに発展させ、より効果的な人材育成に貢献していきたい」と締めくくりました。
パネルディスカッション
サイバーセキュリティ女性活躍とキャリアパス Vol.2
最後のプログラムは、昨年好評を博した“セキュリティ業界で活躍する女性たちによるパネルディスカッション”の第二弾を実施しました。
モデレーターは昨年に引き続き、佐久間萌里佳さん(株式会社incri 執行役員)に務めていただきました。佐久間さんが所属する株式会社incriでは “上も下もない、ジェネレーションやジェンダーの壁などを全て取っ払うゼログラビティの世界を目指している”というルールがあるということで、昨年に引き続き今回のパネルディスカッションでもゼログラビティを目指し、ニックネームで呼び合うことになりました。
パネリストは、“かなりん” こと、篠田佳奈さん(株式会社BLUE 代表取締役 ※オンラインにて登壇)。そして、“モモレンジャー”こと、青山桃子さん(株式会社日立ソリューションズ セキュリティアナリスト)。“アリス”こと、愛甲日路親さん(PwCコンサルティング合同会社 マネージャー)。“キャッフィ―”こと、鈴木悠(サイバーセキュリティ研究室 専門研究技術員)。“はせこ”こと、長谷川彩子(サイバーセキュリティ研究室 主任研究員)。“のむさん”こと、野村千尋(ナショナルサイバートレーニングセンター)。以上の6名で3つのテーマについてそれぞれの意見を交わしました。
テーマ①これまでのキャリアと今後のキャリアステップの希望
まず1つ目のテーマは『これまでのキャリアと今後のキャリアステップの希望』。6人それぞれが異なるキャリアについて語りました。
“のむさん”は市役所でのキャリアを広報からスタートし、その後、情報システム部門に異動。その際、Emotetというマルウェアが国内の各所で流行し、自身の勤務する自治体でもヒヤリハットが発生したそう。しかしその時、適切な対応方法がわからず、「これはまずい」と思ったことがきっかけで、サイバーセキュリティの重要性を身をもって知ったという。市役所では他業務の優先度がどうしても高くなるため、セキュリティについては自ら学ぶ必要があったそうで、そんな経験から全国で同じような思いをしている人たちへ演習を届けられるCYDERの“中の人”になりたいと思って現職に至ったと話しました。
“キャッフィ―”は、セキュリティのコンサルタントとして働いていた際に出産を経験。その後、子どもが熱を出して保育園に迎えに行ったり、定時退社で走って迎えに行ったりと、仕事量が2/3になり成果を出しづらくなったと語りました。限られた時間でどうやって結果を出すかと考えた時に、心理学を活かす道を選び研究者へ転身する決意をしたと話し、現在は博士号取得を目指しており、将来は有識者会合に参画できるような人材になりたいと述べました。
テーマ②仕事とプライベートの両立
2つ目のテーマは『仕事とプライベートの両立』。家事や育児についてはパートナーと曜日ごとに担当制にしているという意見が複数聞かれました。また、リモートワークやフレックス勤務が可能な環境が、両立を支えているという声も上がりました。
現在0歳児を育てている”はせこ“は、「育休と復職は0か1で考えるのが難しい」と話し、生後3ヶ月で子どもを保育園に預けて復職したものの、子どもの熱などで呼び出されることも多く、両立に難しさを感じている状況だといいます。「現在は自分の中では0.5復職、0.5育休みたいな状態で、裁量労働制とリモートワークを活用して短時間で勤務している。育休と復職の間にある”0.5“の期間を受け入れてもらえる土壌が必要ではないか」と述べました。
また、これまでに育休からの復帰を2回経験したという”モモレンジャー”は、「両立でやっていることと言えば、家事は極力やらないと決めている」と話し、「育児はやっているが、やらなくていいことは極力省力化して、活用できるところは便利家電とか自動化できるところに頼っている。手間のかかる家事とか手間のかかるものを管理しないということを心がけている」と、両立のポイントを紹介してくださいました。
テーマ③業界内で輪を広げていく中でどのような取り組みや活動をしているか
3つめのテーマは『業界内で輪を広げていく中でどのような取り組みや活動をしているか』。
“かなりん”は、長年にわたり業界の場づくりに取り組む中で、“壁を壊す”というテーマを意識してきたという。「言語の壁を壊す、国境の壁を壊す、業界の壁を壊す。そして自分の殻を破って業界内で親交を深め、新しい価値観に触れる。それがお互いに新しい発想に出会うきっかけになる」と語り、「今後も殻破りをしていきたい」と意気込みを語られました。
“アリス”は、「輪を広げる前に母集団を広げたい」という想いがあり、サイバーセキュリティ業界で働く女性、“セキュ女”を増やすために、「“理系しかなれない”“女性はなれない”といったステレオタイプがあるのなら、それを払拭するためのデータを、キャリアパス調査などを通じて示していきたい」と語られました。
最後の質疑応答では「男性が女性の社会進出の障害になっていると感じました」というコメントがありましたが、モデレーターの佐久間さんは「かなりんも首を横に振っていますが、私たちは社会の仕組みとしては障害があると感じていますが、男性が障害になっているとは考えてないのではないかなと思いました」と話した上で、「女性特有の悩みなどが男女の間で共有していける社会になるといいなと思いました」とまとめられました。
サイバーセキュリティ研究所は、今回のようなパネルディスカッションを通してダイバーシティへの理解を深め、誰もが平等に活躍できる組織づくりに今後も力を入れていきたいと考えています。
※登壇者は写真左から、モデレーターの佐久間萌里佳様(株式会社incri 執行役員)、パネリストの野村千尋(ナショナルサイバートレーニングセンター サイバートレーニング事業推進室)、長谷川彩子(サイバーセキュリティ研究室 主任研究員)、鈴木悠(サイバーセキュリティ研究室 専門研究技術員)、愛甲日路親様(PwCコンサルティング合同会社 マネージャー)、青山桃子様(株式会社日立ソリューションズ セキュリティアナリスト)、篠田佳奈様(株式会社BLUE 代表取締役 ※オンラインにて参加)
おわりに
今回のNICTサイバーセキュリティシンポジウム2025は、リアル会場のNICTイノベーションセンター(東京都中央区日本橋)とオンラインのハイブリッド形式で開催し、リアルとオンラインを合わせて350名を超える方々にご参加いただき、大盛況となりました。ご参加いただいた皆様、ありがとうございました。サイバーセキュリティ研究所は、今後も研究成果の積極的な発信やサイバーセキュリティ研究開発の社会展開、人材育成を着実に進めてまいります。
また、サイバーセキュリティ研究所は、一緒に働く新しい仲間を歓迎しています。研究者として、あるいはエンジニアとして、個性や経験を生かして最先端の技術開発に従事し、自身のキャリアパスを切り開いていくことが可能です。私たちの活動に興味を持った方は、コチラから採用ページにアクセス!
