久しぶりにBarnes&Noble(米国の大手書店)をうろうろしていたところU.S.NEWS & WORLD REPORT America’s Best Graduate Schoolsの2006年度版が出ているのを見つけた。カーネギーメロン大学の私が関係しているプログラムの各カテゴリについて現時点での最新ランキングは以下のとおり。
Computer Science
1. Carnegie Mellon University (PA) 4.9
Massachusetts Institute of Technology 4.9
Stanford University (CA) 4.9
University of California Berkeley 4.9
Engineering Specialties: Computer Engineering
1. Massachusetts Institute of Technology 5.0
2. Stanford University (CA) 4.9
University of California Berkeley 4.9
4. Carnegie Mellon University (PA)
Public Affairs Specialties: Information & Technology Management
1. Carnegie Mellon University (PA)
2. Syracuse University (NY)
3. Harvard University (MA)
情報セキュリティというカテゴリでのランキングは存在しないが、今年神戸に開校する日本校で提供する情報セキュリティプログラムは、これらコンピュータサイエンス、コンピュータエンジニアリング、情報技術管理の中から関連科目をピックアップした学際プログラムとなるため、全米ランキングの評価としてもかなり良い線をいっていると言っても良いかと思う。
ちなみに書店で販売している雑誌($9.95)よりもOnline Edition($14.95)の方が圧倒的に情報量が多いようだ。
■America’s Best Graduate Schools(U.S.NEWS & WORLD REPORT)
http://www.usnews.com/usnews/edu/grad/rankings/rankindex_brief.php
■Information Security (MSIT-IS) Japan(Carnegie Mellon University)
http://www.ini.cmu.edu/academics/MSIT-ISJapan/index.htm
公的には認知されておらず、お金で大学や大学院の学位を発行するディプロマミルが問題となっている。
米国では地域ごとに中立の認定機関が設置され、大学が一定の水準を満たすものであることを認定しており、このような機関に認定を受けていない大学は非認定校として、公には評価されないことになっている。
これまで、認定校のリストなどが公開されておらず、ディプロマミルを抑制するためにデータベースの公開に至ったと思われる。日本でもいくつかの組織が学位販売ビジネスを展開しているようで、学歴詐称やあやしげな組織の資金源として使われたりすることもあるようだ。最近ではe-Learningの普及などで、国内にいながら海外の大学の学位が取得できるなどのキャッチセールスで非認定校が講義を提供していることもあるので注意が必要だ。
ちなみに現在を含め私がこれまでに関係している大学は全てれっきとした認定校です。(当然ですが。)
【参考情報】
Institutional accreditation system(U.S. Secretary of Education)
http://www.ope.ed.gov/accreditation/Search.asp
「ニセ学位」対策に米教育省がデータベースを作成(Hotwired Japan, Wired News)
http://hotwired.goo.ne.jp/news/culture/story/20050209202.html
ディプロマミルに関する日本のリンク集(Yahoo!グループ ブックマーク)
http://groups.yahoo.co.jp/group/free_soft/links/university_001082961651/
以前紹介したエントリーからちょっとした議論になっている。もともとは単なるblog向けの軽いネタとして取り上げただけの話だと思うが、厳しい意見も出ているようなので感じたことを書いてみる。
そもそも日本の大学院教育と米国の大学院教育の位置づけは大きく異なる。日本では大学院は研究者養成の傾向が強く、米国は研究者養成に加えプロフェッショナル養成も大きな割合を占めている。米国大学院の一般的な講義は、一つの科目について週に90分程度の講義が2回か、3時間程度の講義が週に1回行われる。各講義の度にテキストや論文などを大量に読まされ数回の講義毎に関連する実習課題が出される。課題は講義時間以外に行うので相当の時間とエネルギーが授業のために費やされる。単なる座学だけではなく実際に自分の手を動かして勉強をするので実践的なスキルが身につく。
博士課程であっても必修の授業などがありその成績も評価につながるので、研究がしたいからといって手を抜くことはできない。このような環境で研究者としてやっていくためには、ハードな授業をこなしつつ自分の研究を進めて行く必要があり、研究者として成功している人は本当に優秀な人が多い。頭だけではなく手も動かして仕事ができる。研究者としてのキャリアに興味がなくなればそのまま優秀なエンジニアとして通用するし、卒業生の市場での評価も高い。一方、その後教員として教える場合には、専門外の知識も持っているので幅広い科目を教えることができるし、社会の変化にも対応して新たな分野にも挑戦しやすく、踏み込んだ議論や教育も可能だ。
「大学院生は研究者なんだから独力で知識を身につけていくべき。」というような意見もあるが、それなら大学院に行く意義は薄れるし、授業なんてのは研究を阻害する邪魔ものでしかないということになる。むしろ「研究で大変だろうから授業は手を抜いていていいんだよ。」というような甘いことを言っていて大丈夫なの?というのが、本来のポイントかと思う。
先日、情報セキュリティについては様々な製品やベンダーが既にたくさんあるのに、いまさら日本で研究や人材育成をする必要があるのか?という質問を某中央省庁の方からいただいた。否定的な意味ではなくて本当に知りたかったのだと思う。世の中一般的にはそういった認識なのかもしれない。
アメリカや世界中の会社が様々なセキュリティ対策製品を作ってくれているのだから、それを使っていればいいじゃんと思われているとしたら大変危険だ。実際には日本国内で作られる製品や企業などのシステムは無数に存在するし、海外製品を買ってきたとしてもそれを評価したり安全に導入運用するための人材もやはり必要だ。
システム開発や運用、あるいは組織の運営管理の現場において情報セキュリティの技術やしくみを正しく理解して職務に反映できる人は圧倒的に不足している。官庁でも納入されるシステムのセキュリティ要件を見定めたり、政策に反映したりする必要があるのだが、とてもうまく機能しているとは思えない。
インターネットが普及する前は、セキュリティは特殊な領域でその分野に関わる人さえ知ってさえいれば良かった。ところが、社会のいろいろな面でコンピュータやインターネットが利用されるようになってくると、そうもいっていられなくなった。システムが増えた分だけセキュリティが分かる人も必要となる。
オンライン取引など重要な情報を扱うシステムを安全に設計し実装するには、当然セキュリティを考慮する必要があるが、開発を担当するベンダーにはセキュリティの知識を持っている人物が一人もいないこともある。結局、プロジェクトに居合わせた人の個人的な経験や思い込みで仕様が決まり納入されたりする。
このような情報セキュリティに関する人材不足は日本だけではなくて世界的な現象のようである。昨日まで必要ではなかった仕事が突然必要になっているのだから仕方がない。
先日、マイクロソフトのWordとExcelで使われている暗号化機能の実装に問題があることが発見されている。RC4というストリーム暗号において、同じ鍵ストリームを使って、異なるドキュメントが暗号化されてしまうという初歩的なミスだ。暗号化されたデータのXOR(排他的論理和)を計算することで、平文同士のXORが出力されてしまう。最近セキュリティに力を入れているはずのマイクロソフトでさえこの状態だ。
例え暗号アルゴリズム自体が安全なものでもであっても、システムへの実装が悪いと全く意味がなくなってしまう。このような事例は数え上げればきりがない。既存の暗号を使って安全に通信を行うプロトコルの設計であるとか、暗号モジュールをシステムに組み込んで安全に管理・運用するしくみの設計などは、これまでほとんどの人が経験してこなかった。こういったことをちゃんと考えるられる人が様々な現場で必要とされているのだが、その教育をどこもやっていない。
今後安心できる世の中を実現するためには、日本国内のいろいろな場面で情報セキュリティを理解した人が必要となってくる。国内でも人材を育成すると同時に、将来に向けた研究ノウハウの蓄積なども当然必要だろう。
【参考情報】
WordとExcelの暗号化手法に脆弱性(ITmedia)
http://www.itmedia.co.jp/enterprise/articles/0501/20/news020.html
The Misuse of RC4 in Microsoft Word and Excel(Hongjun Wu)
http://eprint.iacr.org/2005/007.pdf
これでいいのか!? 理工系大学院の絶句してしまう授業内容。(晴ときどき鬼瓦。)
http://www.okoshi.org/tadashi/bbs2/archives/000686.html
私と入れ違いに日本に戻られ画期的なSNSの開発で活躍をされている鬼瓦さんへのトラックバック。
というわけで、そういう授業を期待していたのですが、これがはじまって見ると、なんと、そのへんの本屋さんの店頭に並べてある1500円ぐらいの新書によくあるような、「1時間でわかる企業セキュリティ ~ネット時代の常識~」みたいな本に書いてあるような内容なわけです。
日本の大学院とアメリカの大学院では、社会的な背景や学生の気質の違いもあるので一概に比較できない気はするが・・。
紹介されているような入門講義のニーズや必要性が全く無いわけでもない。技術系の職場であってもExploitを書く必要があるところは限られてるし、実際にはもっとそれ以前のレベルで改善や教育が必要な場合が多い。17799準拠のポリシー書ける人の方が需要が多かったりするのも事実。セキュリティという広範な分野で一つでも欠陥があると全体的なリスクになるので網羅的な知識というのも無駄ではない。ま、本来大学院でやるべき内容だとは思わないが。
ネットワークセキュリティという分野自体、数年前まで大学の講義なんて日本に存在しなかったのだから、急遽担当することになった先生も被害者なのかもしれない。
- ブラウザにおける□□□が漏洩すると、プライバシーの問題がおきる可能性がある。
(1)Sugar (2)Cake (3)Cookie
「う~んと、え~っとなんだっけ、甘いやつ・・・。(1)Sugar かな?」
とかやってるのかな?
今日こちらで聴講した講義では、「TCPセッションハイジャックの攻撃と対策のプログラム」、「フォーマットストリングExploitの作成」が宿題にでてた。こんなの日本の普通の大学でやったら逆に学生から文句が出るような気が・・・。
他の講義はどうなんだろうか?ネットワークセキュリティの講義だけがこの状態だったのだろうか?
いずれにしても鬼瓦さんの貴重な時間が、この講義に費やされてしまったのが一番惜しいかもしれない。
最近のコメント