宮本大輔研究室
Daisuke Miyamoto Lab.

　サイバーレジリエンスの講義を設計した際に、いわゆるSociety 5.0の要素であるIoT、クラウド、さらには運用といった課題を抑えたいと考えていました。

　IoTについてはENISAのBaseline Security Recommendations for IoT Securityを参照しながらGood Practiceを説明し、管理システムにあるWeb脆弱性及びボットネット、さらにはプロトコル脆弱性の話をしました。また、Industrial IoTについても触れました。産業制御システムが難しいことは間違いありませんし、1トピックで説明できる内容ではありませんが、満永先生が監修された「制御システムセキュリティ入門」のような良書もありますし、独習するために必要な基本的概念を説明しました。現場の文化と運用の理解が大事であると習った、ことを将来思い出していただければ。

　クラウドについては、CSAのクラウドの11大セキュリティ脅威を導入のトピックとすると分かりやすいと思います。インシデントベースではソフトウェアの脆弱性も見られますが、受講生には計算機の高速化を研究課題とされる方もいられるので、近年のCPU脆弱性は避けて通れないところです。FLUSH+RELOADや近年の論文を引用しながら、このような脆弱性が世に出ないようなCPUを設計から考えていただきたいと思っています。

　運用についてはインサイダー脅威を取り上げました。「外部からの不正アクセス」ではなく「内部からの正当アクセス」によるインシデントというところが問題でしょうか。古典的ですがS.R.Band先生の「Comparing Insider IT Sabotage and Espionage」を使って説明しました。この授業を通じて受講生にはインシデントの技術的要因、人的要因、組織的要因の全てを理解してもらうという目的があり、このために必要な事例を提供できたことに満足しています。