「セキュアシステム設計技術者の育成」プログラム

ホーム

インタビュー

INTERVIEW VOL.1 小野 諭 工学院大学情報学部 教授

第一回目のインタビューは講座リーダーの小野先生。当コースで受講生に何を学んで頂きたいのか、過去の受講生からどんなレスポンスがあったのか等を伺いました。

Question1

小野先生は今年度から講座のリーダーということですが、最初に講座全体についていくつか質問させてください。本講座は「システムのライフサイクルにわたるプロセス技術とセキュリティ技術を修得したセキュアシステム設計技術者を育成する」ということですが、どのような能力を持った人材を育成するものなのでしょうか?

実はこれはなかなか難しい問題で、セキュリティの分野において今、非常に大きな変化が起きているんです。電子社会の中で、計算機も早くなって、蓄積できるデータも多くなって、ネットも早くなりました。ですから、ある面で言うとリスクの広まりのスピードが、病原菌が飛行機とかに乗って飛び散る様に、速くなったと言えると思うんです。もちろん我々は高性能な計算インフラやネットワークインフラを本来は便利に使って利益を得ているのですが、一度何らかの危険な要因が入ってくると、それもまた同じスピードで広がって行ってしまうので、セキュリティというのは我々にとってこれからますます重要になると思うんです。

そのリスクにはいくつか種類があります。まず、最近騒がれている情報漏洩のリスクです。顧客情報であったり軍などの組織の機密情報であったり、あまり外に出すべきではない情報が一度外へ出て広がるとまたたくまに拡散してしまって、取り戻すことができなくなってしまいます。
もう一つは情報処理システム自身が、今までは、契約書類や印鑑証明などは安心のインフラである紙に頼ってきました。今でも3万円以上のものは法的に紙で保存する必要があるんです。情報システムとは効率化を図る、コストを削減するためのものであって、紙がその安心を支える基盤となっていたというのがこれまでの「情報システム+紙」という二階建ての社会でした。そして、去年の4月からE文書法というものができて、様々なものが電子的に保存できるようになりました。とはいえ、あまり重要なものはまだできていないのですが、国際的に見ても行政などがコストダウンのために完全に契約を電子化する動きもあります。そうすると今までの「外部にリスクがあって、それから善良なシステムを守らなければいけない」というセキュリティの他に、第三者に対して情報処理システムに不正がされていないということを示す必要が出てきます。いつ、誰によってその情報が作業されたのか記録を残し、それが安全に保管される必要があります。これが近年強く求められていることです。IT社会の世の中において、今まで紙によって支えられてきたインフラを完全電子化システムによる一階建ての社会にするためには、今までとは違う用件が出てくるのです。
それは、ITを使った合法的な企業活動の説明をするためのインフラを作る必要があるということです。ITガバナー、IT統制といった言われ方をしますが、そういった仕組みをITの中へ取り込まないと、紙がなくなったら不正をし放題ということになりかねません。これは今までの外部から来る驚異とはまた違う種類のリスクになります。大きくこの2つがリスクとしてあげられます。

本講座では、システムの開発設計にあたる高度セキュリティ技術者の育成を目的としているのですが、先に説明したこれら2種類のリスクを回避するためのセキュアなビジネス情報システムを設計、運用するスキルを学生の方々に身につけていただきたいと考えています。

Question2

この講座には工学院大学の専任教員に加えて、他大学・企業からも講師の方がいらっしゃるとのことですが、その目的、ねらいをお聞かせ下さい。

セキュリティの分野では体系的で専門的な知識も必要ですが、一方でシステム開発を運用して使っていくスキルや、複数の企業をコンサルタントするといった経験が必要になります。本に書いてある内容を勉強することも重要ですが、それだけではなくある程度の専門知識と実務が組み合わされることが重要だからです。
また、コース自体を開発する学校側としても第一線で働く講師の方々の講義は勉強になっています。

Question3

今年で3年目ということですが、過去の受講生の反応はいかがですか?

一番多かった意見は、「セキュリティの全貌がよくわからない」「リアリティがない」ということでした。外部の専門家の方々には当初から参加していただいていたのですが、「ビジネス情報アーキテクチャー概論」にあるような、受講生が目的意識を持てるような詳細なストーリーを示すことが出来ていませんでした。それらのフィードバックを元に今回からこの「ビジネス情報アーキテクチャー概論」が始まったのです。

Question4

PBL (Project Based Learning) というシステムについてご説明ください。

セキュアなシステムを設計するためにはいくつかの視点があります。経営者からすれば業務システムとは投資の対象であって、投資によってどのような事が達成されるかを見ます。使う方は、自分たちの業務が円滑に進むかどうかを見ます。また、作る側は技術面を見ます。つまり経営する側、使う側、作る側の相互作用の中でシステムは開発されるのです。PBLではシステム側、セキュリティ側と様々なバックグラウンドの受講生をばらばらに分けて、仮想的な課題に対して要求仕様をまとめてセキュアなシステムを設計するもので、それぞれの役割を担いながらも各々が全貌を理解できる作業です。

Question5

次に、小野先生の講義についてお聞かせ下さい。「ビジネス情報アーキテクチャ概論」の他に、「Webサービスセキュリティとシングルサインオン」「情報ライフサイクル管理と長期保存」という講義を担当されていますが、それぞれの内容を簡単にお聞かせ下さい。

複数のアプリケーションが組み合わされてシステムが構築されているときに、ユーザがそのアプリケーションごとにログインし直すとなると、そのログイン情報の管理が複雑になり、手帳やメモなどに書かれたりといった事態が発生してセキュリティ上大変危険です。そこで、安全な1回の認証で複数のアプリケーションへアクセスできるようにすることで、その認証を共有化するのが「シングルサインオン技術」です。
また「情報の長期保存」では、情報ライフサイクルの中でどうやって品質を担保していくのか、また記録管理していくかを考えます。一般の取引データは1年間保管すればすみますが、領収書などは7年間の保存義務があります。地震やパソコンなどの紛失などでデータが消えてしまったとなると、これからの情報システムにおいては不正と見なされ、セキュリティが責任者によって脅かされたと考えられます。これは先に説明した説明責任を果たしていないということにもつながります。

Question6

NTT時代から「タイムスタンプ」という分野の研究をされていると伺いましたが、どのような内容なのでしょうか?

タイムスタンプとは記録管理の中で説明責任を果たすための基盤となる技術です。情報システムにおいて権限がある人によって改ざんされたり、電子署名を後から付け替えられたりということを防ぐために、その組織の誰からも改ざんされることを防ぐ技術で、一度つけられた電子署名を長期間保証することができるのです。

Question7

受講される学生の方たちへ期待することは?

まず、第一に、この分野はやはり変化が激しいので、このコースの受講をきっかけにしてこれからの変化を吸収していくための基盤作りをして頂きたいと思います。世の中で今起きている様々な事象、ニュース、セキュリティのプロダクトの重要性を客観的に理解するのに役立つでしょうし、もし今使っているセキュリティシステムがあればその問題を今までと違った目で見ることができるようになると思います。
二番目に、このコースは行政機関、教育・研究機関、一般企業、大学院生といったように、セキュリティシステムを構築する上で構成される「発注する側」「開発する側」「利用する側」それぞれの立場の人たちが受講しています。実際と違い、ここでは仮想的で利害関係のない中で、本音で議論しながら協力して目的を達成していくことができます。異なる立場の人たちとコミュニケーションを取りながらお互いを高め合って行って頂きたいと思っています。

ページの先頭へ