日本の大学で情報セキュリティを学ぶには
私が何気なく、しかも初めて書いたYahoo!知恵袋への回答が思わぬ広がりを見せるという事件?が起きました。
さっと(割と慌てて)書いた私の回答の足りなさや、違った見方を補おうとされてか、色んな皆さんが乗っかって下さって素晴らしい回答を寄せて下さって、 結果としてすごい回答集に。そして、果てはWeb記事化される事態に。
これ、最初は徳丸浩さんが回答に立命館大を挙げて頂いたのを見て、有り難い話なので私も何か書かねばと最初このblogにエントリを書きかけてたのですが、忙しくて書き上がるのに間が空きそうだったので知恵袋に急遽登録して勢いで投稿したものでした(しかも東京出張の新幹線車内で)。中身は概ねいつも言っていることでして、要するに
- セキュリティを学ぶにはまず情報科学の基礎体力をつけなくてはならない。大学で体系立てて集中して学ぶべき。
- 情報収集と自学自習が大切なので刺激を受ける機会が必要。そのためにコミュニティへの参加を。
この2つに集約されると思っています。かつてこのblogで書いたことにも重なりますね。
ところで、元の質問主は関西の「私学」を求めておられました。候補に挙げられたのは関大の総合情報学部でしたが、知恵袋にも 回答を寄せられた小林孝史先生(名乗っておられないですがすぐわかりますよね)や、 暗号がご専門の桑門秀典先生を意識されたのでしょうか。 関大を挙げられる程度の学力をお持ちとなれば、多分選択肢は関西だと立命館になるだろうなと思って、知恵袋ではあんな感じの回答を書いたのですが、高2でもう私学に絞るなんて勿体ない、国公立も目指したらいいのにと思ってしまいました。早くから受験を私学に絞りたいという受験生は多くの場合、受験科目数の少なさに魅力を感じてるようですが、そこはなんとか踏ん張って国公立大も受けられるように勉強をしておいた方が後々大きく役立ちますから。
というわけで、実はあの知恵袋への回答を返す前には、国立大も関西以外も含めた日本の大学でセキュリティを学ぶことについてエントリを書き始めていたのですが、収拾が付きそうにないので慌てて知恵袋自体に書いた次第。 でも書きかけのモノがあるので少しだけ掘り起こしてこのエントリを作りました。以下は掘り起こした文章です。高校生とその保護者や進路指導担当の皆さんに向けたものとして。
さて、大学でセキュリティを学ぶにはどういう選択をすればいいんでしょう。そもそも「セキュリティ」関連人材っていっても求められる能力は様々です。最近JNSAがセキュリティ知識分野(SecBoK)人材スキルマップ2016年版を公表しましたが、その作成に私も参加させて頂く中で、改めてこの業界で働く上で必要なスキルの幅広さを感じました。
ここで挙げられるような、技術からマネジメントに渡る広いスキルを身につけられるカリキュラムを持つ大学は、学部レベルでは長崎県立大の情報セキュリティ学科しかなさそうです。このカリキュラムがうまく回れば素晴らしいセキュリティ人材が育成できそうですね。
ただ、個人的にはこのカリキュラムの理想を実現すること、またこのカリキュラムを消化できる能力のある学生を集めるのは、かなり大変だろうと感じています。 正直なところ、うち(立命館)に来る学生さんには、学部レベルからマネジメント関係を教えようという気にはなりません(話としては触れるかもしれませんが)。 学生の消化できる量を考えると広く薄くやっている余裕はないので、まずは情報科学の基礎とセキュリティ関連技術をしっかり身につけてもらう方が良いと感じています。
ということで、セキュリティを大学で学ぶには、学部時代にはカリキュラムを良く見て、計算機の構成、OSなどの基本ソフトウェア、プログラミング、ネットワーク、 暗号技術について学ぶことができるところを選ぶと良いかと思います。特にプログラミングとネットワークに関しては演習があるところがお勧めです。 このようなカリキュラムを持つ大学なら比較的選択肢は広くなると思います。
最近の大学はどこでもカリキュラムやシラバスを公開していますので、どのような講義が開講されておりどのようなことが学べるのか調べるのも簡単になりました。 例えば立命館大学情報理工学部ではカリキュラムはこちらに 主な科目名とともに書かれています。この科目名をこちらのシラバスに入力すると、 どのような内容が講義されているのかよく判ります。他の大学も同様になっているので、ちょっと手間ですけど、是非見てみて下さい。
次に、大学院に進むべきか否かですが、これはセキュリティに関しては是非、修士課程に進むことをお勧めします。残念ながらセキュリティは求められるものが 広く、学部だけではとても全てを学びきれません。上記のSecBoKにあるようなスキルの多くについて、 少なくともそれがどのようなものであるか理解するという段階に達するだけでも、 大学院での学びと経験は必要になると思います。大学だけでは技術的セキュリティの基礎で精一杯ですが、大学院まで進むと 人的セキュリティや運用のセキュリティを含むマネジメントについても学べる機会が格段に増えます。 逆に言えば、そういうことを学ばせてくれる先生がいらっしゃる研究室に配属されるよう、進路を選ぶ必要があります。 大学院の場合は(SecCapなどいくつかの特別プログラムを除けば)講義より、研究室(ゼミ)での研究活動を 通じた学びの方が重視されるからです*1。
また、大学院は大学とは違うところに行くこともできます。大学院になるとセキュリティを専攻するところが増えますし、そもそも大学院大学が 選択肢に入ってきます。例えば情報セキュリティ大学院大学は教授陣の層が厚く、守備範囲が広いので、 様々なことが学べるでしょう。また、兵庫県立大学の大学院応用情報科学研究科は カーネギーメロン大学(CMU)とのダブルディグリープログラム を持っていますので、セキュリティ分野の最高峰の一つであるCMUの教育を受けることも出来ます(授業料が高いですが…)。 そして奈良先端科学技術大学院大学などの大学院が連携して提供しているSecCapというプログラムは 本当に幅広い講義と演習が含まれているので、セキュリティについて大きな力が付くと思います *2。
いずれにせよ、大学院は本当にどの研究室に配属されるかでやりたいことが出来るかが変わるので、 目指す大学院にどのような先生がおられてどのような研究をされているかよく調べるべきです。 大学院の各専攻の教員や研究室の一覧はWeb上にありますし、パンフレットなどが整備されている場合もあります (例えば立命館だと学部の研究室がこのように一覧になっていて、簡単な研究紹介があります。 大学院情報理工学研究科が情報理工学部と一体になっているってことが外側から判りにくいのが難ですが…) 他にも先生のお名前でGoogle検索をしたり、CiNiiと呼ばれる論文データベースや、 Google Scholarで英語論文を調べたりするとだいたいの研究内容がわかります。 例えば私の名前で検索するとこんな感じですね。
これで見ればだいたいどんな研究をしているかわかりますが、セキュリティを専門にしておられる先生だけでなく、 セキュリティ「も」やってます、という先生も少なくないので、研究内容をよく調べてみてそういう方も候補にしたら 良いのではないでしょうか。そして実際に連絡を取って、学びたいことややりたい研究についてよく事前に 相談すると、多くの先生はきっと応じて下さいます。
以上が書きかけの文章から起こし直したもの。海外の大学についてはもう書く元気がないのでどなたかに任せちゃいます。
ところで、最後に宣伝を。知恵袋でもちょっと頭出ししましたが、立命館大学情報理工学部は2017年度に改組を予定しています。 学科をコースに再編成するのですが、コースの中に「セキュリティ&ネットワークコース」を設けることになっています。 カリキュラムとしては、情報システムやネットワークの基礎技術に関する講義を中心に、暗号だけではなく セキュリティに関する講義を設けて手厚くします。さらに演習も行います。加えて、現在行っている京都府警との連携は 継続するほか、企業との連携を深めたり、引き続く大学院ではSecCapへの参加なども検討しています。 セキュリティエンジニアやアナリスト、コンサルタントを目指すような学生さんを集められたら良いなと思っています。 追ってちゃんとした広報もしますので、ご期待下さい。
