CYNEXとは
データ負けのスパイラルからの脱却のため、日本に必要なことは
CYNEX(Cybersecurity Nexus:サイネックス)は2021年4月に発足した、サイバーセキュリティ研究所の新たな組織です。Nexusは「結節点」という意味で、その名のとおり、サイバーセキュリティの産学官の結節点を作ることがミッションとなっています。
立ち上げの背景にあったのは、長くサイバーセキュリティ研究を続けるなかで、日本がデータ負けのスパイラルに陥っているのではないか、ということを強く感じていたことでした。日本はこれまで、国内でのセキュリティデータ収集を重視してきませんでした。なぜなら、データを集めるには時間がかかる。成果が出るのにも時間がかかるからです。しかし、データが集まらなければ最新の攻撃に基づいた研究開発や人材育成ができません。そうすると国産技術が作れず、その技術は普及しない。そして新しいデータは集まらずそれに基づいた研究ができない――。日本国内の情報がセキュリティのアプライアンスやサービスによって海外に持ち出され、海外で分析が加えられたサイバー攻撃の脅威情報を高額で買っているというアンバランスな状況に陥っています。
そんな日本でいま必要なことは、データを大規模に収集・蓄積し、それを定常的・組織的に分析して、国産のセキュリティ技術を生み出し、社会に展開していくことです。そのためにCYNEXが誕生しました。
4つのサブプロジェクト
日本のサイバーセキュリティの対応能力向上を目指す4つのサブプロジェクト
NICTにはサイバーセキュリティ研究室で長年培ってきた研究開発の成果やデータに加えて、ナショナルサイバートレーニングセンターという実践的サイバー防御演習CYDERなどの人材育成プログラムを行ってきた組織が持つノウハウがあり、それらをこのCYNEXに結集させています。
CYNEXでは、外部の組織と連携してデータを共同で解析したり、民間企業のセキュリティ製品のプロトタイプをCYNEXで長期運用して検証したり、育成すべき人材の受け入れを行ったりすることで、日本のサイバーセキュリティの対応能力の向上を目指しています。
そのためにCYNEXではCo-Nexusと呼ばれる4つのサブプロジェクトを立ち上げています。Co-Nexus A(Accumulation & Analysis)では共通のデータ収集基盤を用いてデータを集めることと、共同解析を行っています。例えば、NICTで開発しているSTARDUSTという実際の組織のネットワークのように見える大規模な解析環境があるんですが、それを参画組織に使ってもらうことで色んな攻撃事象を国内で解析できる仕組みを作っています。Co-Nexus S(Security Opration & Sharing)は人材育成と情報共有・発信を行っており、人材育成では企業のエンジニアの方に我々の解析チームの一員として参加してもらいスキルを磨いてもらったりしています。Co-Nexus E(Evaluation)では国産のセキュリティ製品のテスト環境を構築し、NICTのセキュリティエンジニアが機能検証やフィードバックなどを行います。Co-Nexus C(CYROP:Cyber Range Open Platform)では、サイバー演習を行うための環境やコンテンツをオープン化して国内の人材育成を加速化させようとしています。
CYNEXはまだ発足から2年も経っていない新しい組織ですが、この4つのCo-Nexusを軸にして既に民間企業や大学との連携を始めています。
今後の展望
セキュリティ自給率の向上を目指して
内閣サイバーセキュリティセンター(NISC)の中にサイバーセキュリティ戦略本部があり、2019年5月に研究開発戦略専門調査会からサイバーセキュリティ研究・技術開発取組方針が出されています。そこでは日本の課題として、サイバーセキュリティ自給率の低迷が挙げられています。「セキュリティ自給率」というのは実は僕たちが言い始めた言葉なんですが、食料自給率が「国内に供給した食料のうち国内で生産した割合」を示すように、セキュリティ自給率は「私達が使っているセキュリティ技術・製品のうち国内で作られたものの割合」を表しています。日本は先進国の中で食料自給率が低い国ですが、食料自給率が低いということは多くを海外からの輸入に頼っている状況であり安定供給にリスクがあるといえます。同じようにセキュリティ自給率が低い状況は、国際競争力確保の観点からもリスクの観点からも問題だと言えるということです。
CYNEXはこのセキュリティ自給率の向上を最終的な目標として活動していて、令和4年度までは初期参画組織と共に各Co-Nexusの立ち上げとプロジェクト試行を実施し、令和5年度からアライアンスの本格稼働を予定しています。初年度で既に30以上の組織に参画頂いており、色々面白い成果に繋がっていきそうな予感がしています。サイバーセキュリティ研究室で行ってきた研究開発とは違うフェーズの取組として、日本をより安全な国に底上げしていく活動が出来たらなと思っています。