ASEANにおけるサイバーセキュリティ能力構築支援

2 November 2021

JAIFマネージメントチーム

サイバー犯罪は、個人や民間セクターだけでなく、政府やASEAN地域全体にとっても、最大の脅威の一つである。Cybersecurity Ventures は、2015年のサイバー犯罪被害額は3兆米ドルであったのが、2025年には年間10兆5千億米ドルを超えると予測している。INTERPOLの ASEAN Cyberthreat Assessment 2021 報告書によると、ASEAN地域においてもサイバー犯罪は指数関数的な増加傾向にあるとされている。サイバー犯罪の増加に伴い、熟練したサイバー人材の需要も急増している。残念ながら、熟練した労働力の供給は需要に追いついていない。Cybersecurity Ventures の予測では、2021年までに推定300万人のサイバーセキュリティの専門家が世界的に不足するという。サイバーセキュリティの人材不足は、ASEANでも大きな課題となっている。タイ電子取引開発庁の最高責任者であるChaichana Mitrpant博士は、2018年に日ASEANサイバーセキュリティ能力構築センター(AJCCBC)を設立した根拠を「我々はまだ(サイバーセキュリティ専門家が)数十万人不足しており、それだけの労働力を生み出すためには、はるかに遅れをとっている」と振り返る。また、より頻繁でより巧妙なサイバー犯罪に対応するため、政府と民間セクターはスキルの成長と開発に、より多くの投資をする必要があると付け加える。

AJCCBCは、2017年の第10回日・ASEAN情報セキュリティ政策会議で焦点となった、サイバーセキュリティ分野における人材育成の必要性に対応して設立された。日本政府は日・ASEAN統合基金(JAIF)を通じて、AJCCBCの設立とその活動を支援してきた。日本の総務省はAJCCBCへの資金的な支援に加え、技術的な支援も行っている。AJCCBCは、ソフトウェア、ラボ、トレーニングコース、コンテストなどを通して、サイバーセキュリティの専門家の能力を高め、同時にASEAN加盟国間の緊密な関係を構築するための、重要な機関となっている。

ADGSOMの指導のもと、タイ・バンコクに設立されたセンター。

© AJCCBC

日本とASEANはサイバーセキュリティ専門家のスキル向上に取り組んでおり、2017年から実施されているサイバーディフェンス演習(CYDER)研修とCyber SEA Gamesには、現在までに600名近くの政府関係者・重要インフラ関係者・学生が参加している。CYDER研修では、政府関係者や重要インフラ関係者が、実際のサイバー攻撃を想定した事件対処法を体験・習得した。また、サイバーセキュリティに関する専門知識の必要性や、技術の重要性の認識を高めるため、Cyber SEA Games を定期的に開催し、学生や若手技術者に攻守のセキュリティスキルを試す機会を提供している。以下、2020年のCYDER研修とCyber SEA Gameでの体験と学んだ点について、受益者2名から話を伺った。

Atsawin Srisawat氏(タイ国家情報局 システム管理者兼サイバーセキュリティ管理者)

トレーニングで実践的なエクササイズに取り組むAtsawin氏とチームメイト

© AJCCBC

Atsawin氏は、タイ国家情報局(National Intelligence Agency of Thailand)に約5年間勤務してきた。システム管理者・サイバーセキュリティ管理者として、サイバー攻撃への対処は彼にとって最大の課題である。サイバー攻撃は、タイだけでなくどこの国からも発生する可能性があり、そのシナリオもさまざまに考えられるとAtsawin氏は話す。これまでにも様々な訓練を受けてきたが、AJCCBCが実施した3日間の訓練は、日本や他のASEAN加盟国の様々なシナリオを学ぶことができ、より高度なサイバー攻撃への対応にとても役立ったと彼は語る。

2020年2月のCYDER研修に参加し、日本国内で起きたいくつかのサイバーセキュリティ関連のシナリオを学ぶことで、自らの業務との関連性が高い、インシデント・ハンドリングの方法についての知識を得ることができたという。日本の専門家からオープンソースツールを含むソフトウェアツールについて様々なことを学び、今の業務に活用しているとAtsawin氏は述べる。オープンソースツールを使うことで、タイの他の政府機関でも、プログラミングコードを簡単に利用・変更することができ、機関のシステムやデータの安全性を確保することができる。さらに、研修のテーマの一つであるネットワーク・フォレンジック・コースから、攻撃元を特定するためのネットワーク・トラフィック・パターンの調査について詳しく学ぶことができたと付け加えた。Atsawin氏は研修で受け取ったマニュアルを熱心に見せながら、マルウェアから身を守るためのコンセプトが凝縮されたマニュアルは本当に役に立つのだと力強く述べた。

研修は主に、講義、実践練習、チームディスカッションの3つの内容で構成されている。特にグループディスカッションでは、他のASEAN加盟国と情報交換し、ネットワークを構築することができたと言う。Atsawin氏は、所属する機関のシステムや重要な情報インフラを守るため、研修を通して得た知識やネットワークの今後のさらなる活用を期待している。

Chuen Yang Beh氏(シンガポール Hwa Chong Institution 短大生)

17歳という若さで国家レベルのテストに合格し、Cyber SEA Game 2020に参加したChuen氏。シンガポールのサイバーセキュリティ機関が実施する選考で、30歳以下は誰でも参加できるため、非常に競争率が高かったと大会当時を振り返る。Cheun氏は他の短大生・大学生・自国のセキュリティエンジニアとチームを組み、他のASEAN加盟国と競い合った末、2時間以内に2つの課題をクリアし、優勝を果たした。

2020年の大会は、これまでのサイバーSEAゲームとは異なり、新型コロナ・パンデミックのためオンラインで実施された。

© AJCCBC

2020年の大会では、チームワークに加え、技術的な知識、スキル、そして経験を高めるためのCapture the Flag (CTF) 競技が実施された。CTF競技はその特殊性から、開催できる組織も経験も一握りしかないとChuen氏は述べる。また、AJCCBCが実施したCyber SEA Gameは、技術的な知識を高めるだけでなく、すべてのASEAN加盟国からの参加者がいるため、ASEAN地域のサイバーセキュリティに対する意識を高めるためにも有効なイベントであり、とても有意義であると付け加えた。

シンガポールからリモートで参戦するChuen Yang選手

© AJCCBC

Chuen氏はこの大会に参加する前は、限られたトレーニングしか受けておらず、地元のトレーニングから学んでいた。彼は、短期間で膨大な知識を得ることができたため、Cyber SEA Gameを学習の機会として捉えている。この大会から得た最大の収穫は、経験とクリエイティブシンキングだと語る。大会では、既成概念にとらわれずに考えることを強いられ、チームメイトも以前見たことのあるトリックを教えてくれて、とても助けられたという。

CTF競技でChuen氏は、問題解決と思考における柔軟性を身につけた。また、短大で学んだ数学の延長線上にある暗号技術についても多くを学んだ。複雑な考え方・アイデアを他の人に説明するといったコミュニケーション的側面も鍛えられたようだ。Chuen氏は現在、国家試験の準備中で、数学かコンピューターサイエンスの分野で進学する予定である。Chuen氏は、サイバーセキュリティに強いASEAN加盟国もあると考え、Cyber SEA Gameのようなイベントを通じて、地域がさらに知識を共有し、互いに利益を得られることを望んでいる。同時に、ASEANが域内のサイバーセキュリティを強化するための統合的なメカニズムを持つことも期待している。

日本はJAIFを通じて、「日ASEANサイバーセキュリティ協力ハブ(ステップ1)」による準備調査の実施、「日ASEANサイバーセキュリティ能力構築センター(AJCCBC)(ステップ2)」による設備整備、「日ASEANサイバーセキュリティ能力構築センター(AJCCBC)(ステップ2-2)」による持続的な能力向上を一貫して支援してきた。

本プロジェクトのステップ2-2は現在進行中で、2022年12月まで実施予定。