CyConX travel report Day -Zero CyCon X education workshop

ストックホルムアーナンダ空港からタリンに飛行機で移動です。

タリン空港からは、トラムで、中心部に移動することにしました。キヨスクで、スマートカード(1dayで5ユーロ)を購入して、空港前でトラムに乗って中心部まで移動です。

これがスマートカード。タリン交通局のホームページで、チャージ(top up)できます。

もともとは、CyConは、法のセクションが、非常に、ウエイトを占めていて、Day Zeroでは、武力紛争法の基礎的な講義を受けることができたり(2009の時)、TTXの事案をもとに具体的な講演(2013)を聞いたりできました。今年は、ワークショッフは、法のセッションがないので、Day Zeroは、のんびりしようかとと思っていました。

ホテルは、オリジナル、ソコス・ビルで、会議の指定のホテルの一つです。が、11時くらいについたところ、まだ、部屋の準備ができていないということなので、CyConの登録に、スイステルホテルまで歩いていきました。

ちなみにCyCon Xのアジェンダは、こちら

登録して、

 

何か、違うと思っていたら、並べるとわかりますが、CCDCoEのロゴが変わっていました(左が昨年、右が今年)。

でフログラムをみていたら、せっかくなので、ワークショップから聞こうということにしました。
お昼をたべて、午後は、”Cyber Education and Training: New Approach for a New Discipline” というワークショップに顔を出すことにしました。

最初は、Dr. Joe Burton(New Zealand Institute for Security and Crime Science, University of Waikato)の「多分野(Multidisiplinary)アプローチ」と題する報告です。
バートン博士は、組織の45%が、セキュリティに関して、問題を抱えており、75%がセキュリティについて、十分なスタッフがいないと考えている、そして、88%が、サイバースキルの不十分さがあるとの報告があると紹介しました。
そこで、多分野アプローチの議論が必要であるとしています。ケンブリッジアナリティカの事案を見てもわかるように、倫理・法・心理学的な分析アプローチが重要になることが重要であることは、明らかになりつつあるといいます。
この場合に、具体的に何が問題になるか、ということでは、政治的な問題をクリアすること、研究方法(定性的か、定量-統計的か)、共通用語(コモン・レキシコン)をきめること、対抗的(rivalry)ではなく・相互認証的(reciprocity)であること、柔軟性・多様性があること、などがあげられました。

次は、Prof. Olaf Manuel Maennel(professor for Cyber-Security at Tallinn University of Technology in Estonia, and the scientific lead at the Centre of Digital Forensics and Cyber Security)です。
Maennel教授は、サイバーセキュリティは、何であろうかという点について、メタ分野(分野を超越しているもの)であり、学校システムには適合しないし、むしろ、ドロップアウトしたものほうが優秀な分野であるとします。セキュリティの認証資格やその提供者と大学とでは、商業主義とアカデミックな価値との間の緊張関係があります。様に、分野統合的な学問であるし、また、TTX、RedやBlueなどの演習、CTFなどの「シリアス・ゲーム」が有効な分野である点に特徴があります。
これらは、教育の結果が、測定しうるもので、効果的なフィードバックがなされるということになります。
演習前(範囲・目標)->演習(データ収集)->演習後(効果測定)となりるわけです。
また、ゲーム内において、学習の測定がなされることになり、競争力、スキル、課題などがイベントログから分析されることになる。精神的マップが作成され、成果または効果のベンチマークU照らして分析される。戦略的な見地も分析される。
サイバー衛生および意識も重大な課題になる。
ということでした。

Dr. Edward Sobiesk (Professor of Computer and Cyber Science at the United States Military Academy at West Point)です
彼のテーマは、全体的な(holistic)アフローチです。
目標は、教育的な示唆を究める(explore)ことです。
Cyberは、関連する仕事があり、コンピュータプログラムに関すること、独立している調査業務、などがあります。
全体的な(holistic)というのは、一般的、選択的課程、Capstone Project(応用、実務研修の授業)、独立(independent)にわたる考察ということになります。
一般的な教育としてのサイバーがなされます。
選択的課程では、一例として、Minorの段階では、二つの選択科目、二つの追加科目、一つの非技術的科目が準備されます。
独立しての教育では、サイバークラブ(アマチュア無線クラブのサイバー版)があります。たとえば、セキュリティ・監査/コントロールのコンピュータ・機械SIGがあります。会議、訓練・インターンシップなどを行います。
また、生涯にわたっての学習のアプローチもあり、訓練および資格が重要であるし、また、サイバーフォースへの加入、経営層への参画ということもあります。

Chelsey Slack(Deputy Head of the Cyber Defence Section with the International Staff at NATO Headquarters in Brussels)です。

彼女によると、人的要素が、重要であり、両刃の剣になるといいます。人材育成するためにどのようにするかということについていえば、能力の形成(build capacity)、効率性の実施(drive efficiency)がキーになり、そのためには、全体的な、重要な、戦略的な運営が必要になります。

セキュリティ意識を向上させ、継続的に成熟されるようにすべきであり、そのアプローチは、ブロックの上にブロックをつみかさねる、ビルディング・ブロック・アプローチになるということでした。

そのために産業界は、サイバー連立(coalition)となるとしています。また、同盟する国(aliies)は、サイバー防衛誓約(cyber defence pledge) となり、国家のレジリエンスのために最善を尽くすものとなります。この二つの目標は、意識向上と教育です。

また、上級の意思決定者は、EUにおいて、机上演習を行っています。

Dr. Jochen Rehrl(European External Action Service/European Security and Defence College in Brussels)は、ESDC(European Security and Defence College)についての説明になります。ESDCは、ネットワークカレッジです。リーダーシップ、CSDP(Common Security and Defence Policy )、水平的問題、パートナーシップ、軍事的交換制度(EMILYO (“Military Erasmus”))、配置前について訓練および教育を担当しています。
具体的には、Eラーニングと公表文書で行います。

教育・トレーニング・評価・訓練(education, training, evaluation and exercises (ETEE))が構築されることになっています。

教育と訓練の課題は、いろいろなものがあります。

そして、全体のフラットフォームの仕組みは、以下のような図になります。

 

21世紀の課題としては、教育・訓練・演習/ネットワーク/協力になります。

Philip Lark (Program on Cyber Security Studies (PCSS) at the George C. Marshall European Center for Security Studies)は、 非技術的サイバーセキュリティ教育について検討する。マインドフルであること、課題を克服すこと、戦略的視野を欠くこと、学際的であることの特徴があ。

脅威、攻撃、技術的・積極的リスクマネージメントが語られる。また、リスクマネージメントと運営によるレジリエンスも求められる。

その際に求められるのは、サイバー戦略と政策の発展であり、これは、統合(用語その他)、脅威とリスクの包括、多面的分析、国際的把握、知識の共有などよってなし遂げられるとしています。

このあと、Q&Aに移行し、トラストとネットワークが重要になるというまとめがなされてワークショップは、終了になりました。

学際的な教育の重要性が、実際のカリキュラムとリンクして説明されたのは、うらやましいレベルですね。日本だと、場合によっては、大学院で、セキュリティの要素を私が説明するのが、学生さんにとって最初のセキュリティマネジメントの授業(暗号は、大学でやっていたりする)だったりします。

あと、課外活動(アマチュア無線部みたいなのをサイバー部でやる)というのは、いいアイディアですね。子供たちの学校をみると、そこまでは、対応していないですね。帰宅部より、クリエイティブなような気がします。(担当の先生の手当てがあるんでしょうけどね)

ホテルと懇親会は、次のエントリで。


6月8日追記

午前中のEfficiency vs Security: The Enduring Dilemma of Supply Chain Assurance については、研究室の裏側ブログ「CyCon2018の備忘録(1)」にまとめられています。