Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
体験型サイバーセキュリティ演習システム
を用いた人材育成の取り組みと成果
齋藤 孝道
明治大学理工学部情報科学科
@ICT利用による教育改善研究発表会
2019年8月9日
1.はじめに
(C) Takamichi Saito 2
背景
• サイバーセキュリティリスクの増大
H27年政府機関へのサイバー攻撃約613万件,前年度の1.5倍
アンチウイルスソフトの検知率が○○%!?
• 2020年オリパラに向けセキュリティ人材の養成が急務
セキュリティ技術従事者は26.5万人...
概要
• 体験型のセキュリティ演習システムの構築
–情報系の学部3年生が,スムーズに演習できるように
演習の難易度や演習の流れを設計した
• 2016年4月より約400名が受講
(演習時:セキュリティ倫理・犯罪性についても指導)
(C) Tak...
レベル7 国内のハイエンドプレイヤーかつ世界で通用するプレイヤー
レベル6 国内のハイエンドプレイヤー
レベル5 企業内のハイエンドプレイヤー
レベル4 高度な知識・技能(各高度試験)
レベル3 応用的知識・技能(応用情報技術者試験)
レベル2...
2.提案システム
(C) Takamichi Saito 6
提案システムは,クラウド上の3つのシステムで構成される
– 学習支援システム: 演習内でのコンテンツ・テストを提供するWebアプリ
– サイバーレンジ: クラウド上の仮想インターネット演習環境
– プロビジョニングシステム: サイバーレンジを配...
• 演習に必要なすべての知識,演習の流れ,
演習内での確認テストを受講者に提供するWebアプリ
→ 受講者は自習形式で演習が可能
学習支援システム
学習支援システムの表示画面の例
受講者はブラウザで
学習支援システムに接続する
(C) Taka...
サイバーレンジ
• クラウド上の複数の仮想マシンで構築された演習環境
• ストーリー型演習のための実践的演習環境を実現
標的型攻撃を体験する演習で
使用するツール
演習のためにSQLインジェクション脆弱性が作り込ま
れているウェブアプリケーショ...
3.演習内容
(C) Takamichi Saito 10
演習の概要と流れ
• 受講者は2人1組で演習
• 1組につき,1つのサイバーレンジを用いて演習を行う
• 2つの演習用のストーリーがある
–標的型攻撃編
–SQLインジェクション編
• 以下の流れで演習を進める
1. 前提知識の学習:
ログの見...
演習の詳細
以下を段階的に行い,初学者でもスムーズな理解が
可能
(C) Takamichi Saito
12
演習1 前提知識の学習
• 実践トレーニングを行うために必要な
基礎知識(UNIX操作など)やツールの使い方の学習
• 各編に4〜6項目の前提知識の学習があり,
その各項目に対して学習支援システムから
出題される確認テストがある
学習支援システ...
演習2 実践トレーニング
• あらかじめサイバーレンジ内に準備されているログ等
を解析し,攻撃の特定や被害状況の調査を行う
ストーリー型の演習
–標的型攻撃編
–SQLインジェクション編
• 受講者は,架空企業の技術部門の社員という立場で
擬似...
演習3 振り返り学習
• 実践トレーニングで取り扱った攻撃の一連の流れを
振り返る学習
• 受講者は,確認テストに解答しながら攻撃の全体像を復習する
発生した攻撃を時系列に整理した図
(C) Takamichi Saito
15
事情によりマスク
4.運用実績・評価
(C) Takamichi Saito 16
評価の概要
サイバーレンジを用いた演習の学習効果
• 理解度テストを用いた評価
• (アンケートを用いた評価)
(C) Takamichi Saito 17
理解度テストによる評価の概要
情報処理技術者試験等を参考にした問題を用いて,
演習前後で理解度テストを実施した
–対象:明治大学理工学部情報科学科の3,4年生 151名
および社会人 18名
<問題例>
SQLインジェクション攻撃を防ぐ方法はど...
実施形態 受講者 回答
者数
問題数 演習前
平均点
演習後
平均点
大学実習 大学生 151名 10問 3.35 6.37
社会人向け
演習
社会人 8名 10問 8.36 9.50
10名 7問 4.30 4.80
理解度テストによる評価の...
演習前後での理解度テストの結果分布の推移
0
5
10
15
20
25
30
35
40
0点 1点 2点 3点 4点 5点 6点 7点 8点 9点 10点
実習前 実習後
(C) Takamichi Saito 20
提案システムの運用実績
• 2016年4月から,明治大学理工学部情報科学科の
3年生向けに正規の授業として演習を実施している
• これまでに398名(学内外)が演習を受講
演習風景
(C) Takamichi Saito 21
20名程度が同時...
5.まとめ
(C) Takamichi Saito 22
まとめ
• 体験型セキュリティ演習システムを構築し,3年間運用
–受講者は自習形式で演習が可能
–提案システムはインターネット経由で利用できるので
時間や場所の制約を受けずに演習が可能
→ たくさんの受講者に体験型の演習を提供可能
• 2016...
ご清聴ありがとうございました
(C) Takamichi Saito 24
(C) Takamichi Saito 25
Upcoming SlideShare
Loading in …5
×

体験型サイバーセキュリティ演習システムを用いた人材育成の取り組みと成果ICT利用による教育改善研究発表会 2019年8月9日

127 views

Published on

ICT利用による教育改善研究発表会 2019年8月9日

Published in: Education
  • Be the first to comment

  • Be the first to like this

体験型サイバーセキュリティ演習システムを用いた人材育成の取り組みと成果ICT利用による教育改善研究発表会 2019年8月9日

  1. 1. 体験型サイバーセキュリティ演習システム を用いた人材育成の取り組みと成果 齋藤 孝道 明治大学理工学部情報科学科 @ICT利用による教育改善研究発表会 2019年8月9日
  2. 2. 1.はじめに (C) Takamichi Saito 2
  3. 3. 背景 • サイバーセキュリティリスクの増大 H27年政府機関へのサイバー攻撃約613万件,前年度の1.5倍 アンチウイルスソフトの検知率が○○%!? • 2020年オリパラに向けセキュリティ人材の養成が急務 セキュリティ技術従事者は26.5万人,不足人材数は約8万人と推計(IPA) • サイバーセキュリティ基本法の制定(平26年11月,平28年4月) 人材育成が明確に示された(以下抜粋) (人材の確保等) 第二十一条 国は、大学、高等専門学校、専修学校、民間事業者等と緊密な 連携協力を図りながら、サイバーセキュリティに係る事務に従事する者の職務及び職場環境がそ の重要性にふさわしい魅力あるものとなるよう、当該者の適切な処遇の確保に必要な施策を講ず るものとする。 3(C) Takamichi Saito
  4. 4. 概要 • 体験型のセキュリティ演習システムの構築 –情報系の学部3年生が,スムーズに演習できるように 演習の難易度や演習の流れを設計した • 2016年4月より約400名が受講 (演習時:セキュリティ倫理・犯罪性についても指導) (C) Takamichi Saito 4
  5. 5. レベル7 国内のハイエンドプレイヤーかつ世界で通用するプレイヤー レベル6 国内のハイエンドプレイヤー レベル5 企業内のハイエンドプレイヤー レベル4 高度な知識・技能(各高度試験) レベル3 応用的知識・技能(応用情報技術者試験) レベル2 基本的知識・技能(基本情報技術者試験) レベル1 最低限求められる基礎知識(ITパスポート試験) IPA:CCSFとその活用について https://www.ipa.go.jp/files/000010382.pdf • セキュリティ対策の基礎的な技術・知識を学習 • CCSFレベル1〜3の受講者を対象 CCSF(Common Career Skill Framework)に基づくレベル判定 本システムの目指すレベル 演習の 主な 対象者 エントリ ミドル 高 度 IT 人 材 ハイ スーパー ハイ (C) Takamichi Saito 5
  6. 6. 2.提案システム (C) Takamichi Saito 6
  7. 7. 提案システムは,クラウド上の3つのシステムで構成される – 学習支援システム: 演習内でのコンテンツ・テストを提供するWebアプリ – サイバーレンジ: クラウド上の仮想インターネット演習環境 – プロビジョニングシステム: サイバーレンジを配信するシステム 提案システムの概要 2. サイバーレンジ内で演習1. 演習の概要や流れを確認 (C) Takamichi Saito 7
  8. 8. • 演習に必要なすべての知識,演習の流れ, 演習内での確認テストを受講者に提供するWebアプリ → 受講者は自習形式で演習が可能 学習支援システム 学習支援システムの表示画面の例 受講者はブラウザで 学習支援システムに接続する (C) Takamichi Saito 8
  9. 9. サイバーレンジ • クラウド上の複数の仮想マシンで構築された演習環境 • ストーリー型演習のための実践的演習環境を実現 標的型攻撃を体験する演習で 使用するツール 演習のためにSQLインジェクション脆弱性が作り込ま れているウェブアプリケーション (C) Takamichi Saito 9
  10. 10. 3.演習内容 (C) Takamichi Saito 10
  11. 11. 演習の概要と流れ • 受講者は2人1組で演習 • 1組につき,1つのサイバーレンジを用いて演習を行う • 2つの演習用のストーリーがある –標的型攻撃編 –SQLインジェクション編 • 以下の流れで演習を進める 1. 前提知識の学習: ログの見方,フォレンジックの手法など個別技術を学ぶ 2. 実践トレー二ング: 個別技術を組み合わせて行う演習 3. 振り返り学習:演習全体を復習する 各編の演習時間は 最大10時間を想定 (C) Takamichi Saito 11 事前に平準化 各チームの進捗表示(順位が分かる) 理解度合いも採点されている
  12. 12. 演習の詳細 以下を段階的に行い,初学者でもスムーズな理解が 可能 (C) Takamichi Saito 12
  13. 13. 演習1 前提知識の学習 • 実践トレーニングを行うために必要な 基礎知識(UNIX操作など)やツールの使い方の学習 • 各編に4〜6項目の前提知識の学習があり, その各項目に対して学習支援システムから 出題される確認テストがある 学習支援システムでの確認テスト画面の例 (C) Takamichi Saito 13
  14. 14. 演習2 実践トレーニング • あらかじめサイバーレンジ内に準備されているログ等 を解析し,攻撃の特定や被害状況の調査を行う ストーリー型の演習 –標的型攻撃編 –SQLインジェクション編 • 受講者は,架空企業の技術部門の社員という立場で 擬似的なインシデントレスポンスを行う 現実に近い状況で,受講者は演習を行うことができる (C) Takamichi Saito 14
  15. 15. 演習3 振り返り学習 • 実践トレーニングで取り扱った攻撃の一連の流れを 振り返る学習 • 受講者は,確認テストに解答しながら攻撃の全体像を復習する 発生した攻撃を時系列に整理した図 (C) Takamichi Saito 15 事情によりマスク
  16. 16. 4.運用実績・評価 (C) Takamichi Saito 16
  17. 17. 評価の概要 サイバーレンジを用いた演習の学習効果 • 理解度テストを用いた評価 • (アンケートを用いた評価) (C) Takamichi Saito 17
  18. 18. 理解度テストによる評価の概要 情報処理技術者試験等を参考にした問題を用いて, 演習前後で理解度テストを実施した –対象:明治大学理工学部情報科学科の3,4年生 151名 および社会人 18名 <問題例> SQLインジェクション攻撃を防ぐ方法はどれか. ◯入力中の文字がデータベースへの問合せや操作において,特別な意味を持つ 文字として解釈されないようにする ◯入力にHTMLタグが含まれる場合,HTMLタグとして解釈されない文字に置換する ◯入力に上位ディレクトリを指定する文字列(../)が含まれている時は受け付けない ◯入力の全体の長さが制限を超えているときは受け付けない ◯わからない ※1問1点で採点(C) Takamichi Saito 18
  19. 19. 実施形態 受講者 回答 者数 問題数 演習前 平均点 演習後 平均点 大学実習 大学生 151名 10問 3.35 6.37 社会人向け 演習 社会人 8名 10問 8.36 9.50 10名 7問 4.30 4.80 理解度テストによる評価の結果 ※1問1点で採点 +3.02 +1.24 +0.50 理解度テストの結果は以下の表の通りとなった 大学生151名の理解度テストの平均点は+3.02点向上した 社会人8名(18人中)はセキュリティに携わる仕事をしている 方々であったので,演習前の平均点が高く,伸びは小さかった (C) Takamichi Saito 19
  20. 20. 演習前後での理解度テストの結果分布の推移 0 5 10 15 20 25 30 35 40 0点 1点 2点 3点 4点 5点 6点 7点 8点 9点 10点 実習前 実習後 (C) Takamichi Saito 20
  21. 21. 提案システムの運用実績 • 2016年4月から,明治大学理工学部情報科学科の 3年生向けに正規の授業として演習を実施している • これまでに398名(学内外)が演習を受講 演習風景 (C) Takamichi Saito 21 20名程度が同時に実習
  22. 22. 5.まとめ (C) Takamichi Saito 22
  23. 23. まとめ • 体験型セキュリティ演習システムを構築し,3年間運用 –受講者は自習形式で演習が可能 –提案システムはインターネット経由で利用できるので 時間や場所の制約を受けずに演習が可能 → たくさんの受講者に体験型の演習を提供可能 • 2016年4月より約400名が受講 • 学習効果を評価したところ 効果があった (販売実績:金融系システム会社,セキュリティ研修会社など) (C) Takamichi Saito 23 学生の評判も良好
  24. 24. ご清聴ありがとうございました (C) Takamichi Saito 24
  25. 25. (C) Takamichi Saito 25

×