午前7時のしなもんぶろぐ

駆け出しのセキュリティエンジニア、しなもんのぶろぐ。

サイバーセキュリティ教育は文化となるか――「未来のKidsサイバーセキュリティ教室」の挑戦

10月 18日頃、情報処理推進機構 (IPA) 産業サイバーセキュリティセンターから、「ITリテラシー&サイバーセキュリティ教育カリキュラムの手引きと模擬SNSサイト」が公開されました。

第5期中核人材育成プログラムの卒業プロジェクト (卒プロ) の一つ「未来のKidsサイバーセキュリティ教室 - No SEC No Life」 (以下、本 PJ) の一部という形です。

www.ipa.go.jp

私自身は本 PJ に直接関わっていなかったのですが、本 PJ の掲げたビジョンと作成された成果物は今後の日本のサイバーセキュリティを考えるうえで重要な一歩ではないかと考え、本記事にて簡単に紹介します。

 

 

 

「未来のKidsサイバーセキュリティ教室 - No SEC No Life」とは

中核人材育成プログラムと卒プロについてはこちらで説明しています。

am7cinnamon.hatenablog.com

第5期では 20 以上のプロジェクトが企画されました。「未来のKidsサイバーセキュリティ教室 - No SEC No Life」もそのひとつです。

 

(なお、卒プロの中には成果物を公開していないプロジェクトもあります。 5期の公開率は高めですが、それぞれの目的や狙いから結果としてそうなったにすぎず、別に公開プロジェクトがそうでないプロジェクトよりエライとかそういうことはないです)

 

本 PJ は次の 3 つを目的としています。

1. 子供たちのITリテラシー向上
2. 子供がサイバー攻撃の怖さを認識し、自らリスクを回避できるようにする
3. サイバーセキュリティ教育を文化にしたい

 

これらが評価され (?)、本 PJ は デジタル庁による「2022 年度 good sigital award 部門優秀賞 (教育部門)」を受賞しています。

 

good sigital award (デジタル庁)

https://digital-days.digital.go.jp/gda/award/

 

活動の成果として、3種類のコンテンツが作成されました。

 

  1. ITリテラシー&サイバーセキュリティ教育カリキュラムの手引きと模擬SNSサイト
  2. セキュリティ啓発動画「名探偵サイバーセキュリティキッズ ~消えた先生~」
  3. セキュリティ擬似体験型アドベンチャーゲーム「CYBER SECURITY =The Seeds of Salvation=」

 

www.youtube.com

 

啓発動画とアドベンチャーゲームは教育カリキュラムにも組み込まれていますが、それぞれ単独でも使えるようになっています。

本記事では主に「ITリテラシー&サイバーセキュリティ教育カリキュラムの手引きと模擬SNSサイト」をご紹介します。

 

教育カリキュラムの内容

一言でいうと、学校におけるサイバーセキュリティ授業で使うことができる教材です。

きちんと調べたわけではないのですが、授業で使えるレベルのボリュームを持つ児童向けの教材はあまり例がないのではと思います。

はっきりそう書かれているわけではありませんが、おそらく小学校高学年程度を想定しています。

 

次の 4 つの課目から構成されています。

 

  1. スタディ1: 動画で学ぶパスワードの大切さ
  2. スタディ2: フィッシングの学習
  3. スタディ3: 不正アクセス体験から学ぶパスワード管理の重要性 Security Learning SNS for Kids (ハンズオン)
  4. ゲームで学ぶCyberSecurity

 

スタディ2とスタディ3については、PJ メンバーが実際にいくつかの小学校を訪れて模擬授業を実施しました。

(その時の様子はこちら)

www.yges.ed.jp

スタディ2: フィッシングの学習

フィッシングは電子メールや SNS などを使っていれば誰でも直面する脅威で、現代では子供であっても無縁とはいえません。

また、メディアなどで誤った情報が氾濫し、正しく恐れることが思いのほか難しい状況でもあります。

 

こうした現状から、スタディ2ではフィッシングとは何か、気をつけるべきことは何かを学んでもらうことを目的としています。

 

 

個人的に一番評価しているポイントは、「フィッシングサイトは、本物のサイトの画像を流用したりするので、見分けが付かない場合がある」と明記したことです。

 

 

何度かイベントや勉強会でフィッシング対策に関するコミュニティに参加したことがありますが、有識者の方が口を揃えて言うのは「フィッシングを見分けようとしてはいけない」ということです。

そもそも本物のコンテンツを丸パクリするのだから外観が本物そっくりなのは当たり前で、いつでも有効で簡単に使える「見分け方」は存在しません。それにもかかわらず「見分け方」と称するものを安易に薦めるのは有害です。

 

ではどうするのか、というのが簡単な問題でないのですが、ひとまず「見分けることが困難である」という現実を子供たちに認識してもらうのは良いアイデアだと私は思います。

 

スタディ3: 不正アクセス体験から学ぶパスワード管理の重要性 Security Learning SNS for Kids (ハンズオン)

スタディ3では、パスワード管理・なりすまし対策の重要性を理解してもらうため、実際に模擬 SNS サイトに不正アクセス体験を行い、「先生の秘密情報」を入手することを目指します。

 

模擬 SNS サイト (認証情報は「手引き」に記載)

https://kids-cyber-security.jp/

 

 

捨てられたプリントの書き込みや、SNS 内の投稿を利用することで、少しずつ秘密情報に近づいていくことができるようになっています。

この過程で、認証情報の管理を雑にしたり、安易なパスワードを設定したりすることの危険性が実感できます。

 

個人的には、子供に限らず大人がやっても面白いと思います。

本職のペネトレーションテスターでもない限り、たとえセキュリティを仕事としていても自分で (許可された) 不正アクセスを行ったことがある方はあまり多くないはずです。

(ハッキング体験できるサービスやバグバウンティプログラムもありますが、これはこれでややハードルが高いので)

 

また、このカリキュラムでは専用に構築されたサイトに対して行うので問題ないですが、他のサイトに不正アクセスを行うことはもちろん違法です。

このことは教材内でも強調されています。

 

 

繰り返しになりますが、この教材は、中核人材育成プログラム受講生が数人で立ち上げたプロジェクトで作成したものです。

講師の方や IPA の支援を受けたとはいえ、基本的に教育についてはシロウトの技術者たち (少なくとも現役の教育従事者は皆無) が集まって作ったものなので、おそらくいろいろアラはあると思います。

 

個人的には、そうした批判も含めて、この教材が呼び水となってサイバーセキュリティ教育に関する関心と議論が盛り上がることを期待しています。

 

過去の卒業プロジェクト

やや寄り道になりますが、過去の受講生の手による卒プロで、本 PJ に影響を与えたと思われるものがありますので併せて紹介します。

 

第4期の「カッコいいセキュリティ実行委員会」です。

 

www.ipa.go.jp

「カッコいいセキュリティ実行委員会」では、「子供たちにサイバーセキュリティの存在を知って欲しいという思い」からサイバーセキュリティ漫画を作成しました。

この漫画は集英社ジャンプルーキー!のサイトで読むことができます。

 

rookie.shonenjump.com

 

講中に、前期の修了生が自分のプロジェクトとその推進の様子を紹介するパートがあるのですが、5期のときは「カッコいいセキュリティ実行委員会」のリーダーの方も登壇され、私たち自身のプロジェクト進行の大きな助けになりました。

 

「こういうことやれるんだ、やってもいいんだ」という気づきと、得られたノウハウの両面で、「カッコいいセキュリティ実行委員会」が本 PJ にもたらした恩恵は少なくないように見受けられました。

 

個人的な雑感

私には子供がおらず、特に仕事や日常生活で深く関わることもないのですが、そんな私でも最近よく感じるのは、現在の子供や若者の間では、インターネットやデジタルデバイスはもはや空気のように当たり前にあるものなのではということです。

 

個人的な話で恐縮ですが、私が毎週視聴している「デリシャスパーティ♡プリキュア」というテレビ番組があります。

www.toei-anim.co.jp

本番組を見て感銘を受けたのは、主役の少女たち (中学生) がいたって自然に SNS を使いこなしていることと、それが自己実現の手段として肯定的に描かれていることでした。

(作中で一度だけ問題になったことがあるが、普通の人にはまず関係ない理由*1 )

本番組の主要対象は未就学児~低学年程度とされています。

今そのくらいの年齢の子供やその保護者にとっては、これが「当たり前のこと」なんだなと認識しました。

 

先日聴講した「情報セキュリティワークショップin越後湯沢2022」における講演でも、若年層にとってネットと SNS が生活と切り離せない関係になっていることが強調されていました。

note.com

これらから導かれるのは、こうした現状について私たち大人の方が認識・知識をアップデートしていかなければ、子供たちにセキュリティを語ることはできないということです。

ネットや SNS に危険があるのは確かですし、これからもなくなることはないでしょうが、だからといって「危険だから使うな」というようなアプローチは現実的ではありません。

デジタル技術、インターネット、SNS。これらの便利さとそれらが当たり前に普及している現実を踏まえて、その恩恵をどう安全に享受するかを考え、教えていく必要があると思います。

 

最後に

本記事では「未来のKidsサイバーセキュリティ教室 - No SEC No Life」を紹介しましたが、第5期中核人材育成プログラムでは他にも多数の PJ が成果を公開しています。

それぞれ対象者や目的が異なりますので、もしかしたら他に役立つ成果物が見つかるかもしれません。

併せてご覧いただければ幸いです。

 

www.ipa.go.jp

www.ipa.go.jp

www.ipa.go.jp

www.ipa.go.jp

www.ipa.go.jp

www.ipa.go.jp

www.ipa.go.jp

www.ipa.go.jp

www.ipa.go.jp

www.ipa.go.jp

*1:投稿を悪の組織に利用されていた。「現代では悪の組織も SNS を積極的に利用する」ということでもある