セキュリティ人材不足が叫ばれている。経済産業省の調査によれば、2016年から2020年にかけてセキュリティ人材は15万人増えるものの、不足数も13万人から19万人に増える。経産省予測を上回る育成の工夫が必要になっている。
実践的な人材を育成するのに役立つのが「サイバーレンジ」だ。攻撃チームと防御チームに分かれてサイバー攻防を仮想空間で疑似体験できるサイバー演習システムである。攻撃者の目線を学び、防御スキルを高めるのにうってつけとして、サイバーレンジを使った人材育成は企業や大学で進んでいる。
ただ、ネックはコストだ。イスラエルや米国の製品が多く、ハードとソフト一式を購入すると数千万円するといわれている。富士通など大手ITや東京大学が自作しているものの、教育のために資金や人的リソースをそこまで投資できる組織は多くはないだろう。
JAISTがOSSのサイバーレンジ構築へ
こうしたなか、多くの組織で手軽にサイバーレンジを利用できるようにする取り組みが、北陸先端科学技術大学院大学(JAIST)で進んでいる。同校は2015年4月から3年間の予定で、サイバーレンジのオープンソースソフトウエア(OSS)化とその教育カリキュラム開発に取り組む講座「サイバーレンジ構成学」を開設している。本誌の取材で、この講座が2018年4月から3年間延長されることが分かった。同講座は寄付講座でNECが資金や人材を提供している。
サイバーレンジはコンピュータ上の仮想空間にサーバーやPC、ネットワークなどを構築するフレームワークと、どんな脆弱性をどの仮想サーバーに埋め込み、どんな攻撃と防御をさせるかといったシナリオから成る。JAISTは当初の2年間でフレームワークを構築。「CyTrONE(サイトロン)」と名付け、2017年5月にベータ版をGitHub上でOSSとして公開した。開発言語はPythonだ。
CyTrONEはBSDライセンスで提供していて、ライセンス内であれば改変が自由だ。開発に携わったのは情報通信研究機構(NICT)の大規模サイバーレンジ「StarBED」の技術に詳しいメンバー。NICTの北陸StarBED技術センターはJAISTに隣接している。
OSSであることに加え、CyTrONEはフレームワークを簡単に何度も動的に作り替えられることが特徴だ。サイバーレンジ構成学のラズバン・べウラン特任准教授は「20分あれば600人が使えるサイバーレンジを自動で構築できる」と胸を張る。仮想サーバーや仮想PC、アカウントの生成、ネットワークの設定、ファイルのコピーといった基本的な基盤構築を自動化した。加えて、セキュリティ演習で必要なファイアウォールの設置やマルウエア(悪意のあるソフトウエア)のエミュレーション、パケットキャプチャーといった機能も備えている。
