ハッキングセミナーの参加者傾向から考察する国内セキュリティの課題

　こんにちは。サイバーディフェンス研究所のジャック飯沼です。Scan読者の方にもこれまで多く受講いただいた、当研究所の実践ハッキングセミナーですが、2005年7月から開催を開始し、受講者数は2009年4月までの約4年間で400名を超えました。そこで、過去の受講者の傾向から、どのような職種がハッキング技術を習得しようとしているかを考察してみたいと思います。今回固めのタイトルですが、過去の傾向から主観を交えた考察を経て、最終的にセミナーの宣伝（ディスカウント有り）へとつながります。そう、この記事には、いわゆる「釣り」の要素があることを先ずお伝えした上で、でも結構「なるほど」的要素もあるので最後まで読んでいただきたいと思います。

　このセミナーは2日間の開催で約20万円の受講料です。決して安いセミナーではありません。むしろ皆さんから「高い」と言われ続けております。であればこそ、それだけのコストを負担してでも、ハッキング技術を習得したい方、もしくは習得する機会がある方はどのような職種にあるのか、比較的有効な検証ができるように思っております。

　先ず、セミナーにはネットワークハッキングとWebハッキングの2種類があります。全体受講者の内、Webの受講者が60％と、やはり昨今のWebアプリケーションへの攻撃のせいか、全体的な興味がWebアプリケーションに向いていることがわかります。受講される方は、当然業務でセキュリティ技術が求められる方々です。そこで、受講者をいくつかのカテゴリーに分け、どのような職種の方がハッキング技術を求める傾向にあるかを見てみたいと思います。ここでは、以下6つのカテゴリーに分けます。

・官公庁:　その名の通り官公庁の皆様です
・システム会社：　システムの提案、構築、運用、保守等をされる方々です
・セキュリティ会社：　セキュリティサービスや製品を提供される方々です
・開発会社：　ソフトウェア、アプリケーションを実際に開発する皆様です
・ユーザ会社：　情報システム部で管理・運用される方、もしくは自社サービスを開発される方々です
・その他：　上記カテゴリーに所属しない方々です（例：通信会社、コンサルタント、研究所）

　全受講者をこのカテゴリーに割り振ると、その比率は以下のようになります。

1位. システム会社（36%）
2位. 官公庁（28%）
3位. ユーザ会社（18%）
4位. セキュリティ会社（10%）
5位. その他（5%）
6位. 開発会社（3%）

　全体の1/3以上がシステム会社からの参加となりました。次いで、警察・防衛を初めとする官公庁、ユーザ会社とセキュリティ会社がそれに続きます。

　ここで、1位のシステム会社をもう少し詳しく見てみると、その90％以上が大手（従業員1,000人以上）からの参加となっております。やはり、大手企業では計画的な人材育成計画とある程度の教育予算が確保されているのでしょう。それは、2位の官公庁でも同様であると考えられます。

　また、3位のユーザ会社の内、これも70%以上は大手のWeb運営会社です。各会社のWebサービスを内部で実際に開発や構築をされている方々ですので、実際は6位の開発会社の方々と同様の業務とも言えます。こちらも、やはり大手のWeb運営会社ですと、セキュリティの重要性を認識され、一定の教育予算が確保されているものと考えられます。

　ここで、特筆すべきことは、6位の開発会社です。実際にアプリケーションを開発されている現場の方々は、400人中実に6名、Webハッキングでは僅か3名のみです。

　大手システム会社の方々、また大手のWeb運営会社の方々は一定の予算が確保されているため、有償のセキュリティセミナーへの参加ができますが、実際世の中に存在する多くのシステムやWebアプリケーションを構築・開発しているのは、大手から受託した中・小規模のシステム会社や開発会社です。このような状況下、以下2点が問題として提起されるのではないでしょうか。

1．Webセキュリティの2極化

　大手で自社開発されているWebサイトは、このようなセミナーへの参加も含めセキュリティ意識が高く、概ねセキュアな開発がされている一方で、外注で開発されたWebアプリケーションのセキュリティ強度は、受託会社の力量に大きく左右されてしまいそうです。

2．セキュリティ技術の上流工程での滞留

　大手システム会社では、セキュリティ技術の向上が進んでいる一方で、実際の構築作業を実施する現場まで波及していない模様。結果として、用件定義の段階ではセキュリティを意識しているものの、実際構築の段階でそれが適切に実現しているかは、これまた不明。こちらも受託会社の力量に左右されてしまいそうです。

　このような状態が継続すると、一部特定のWebサービスでは堅牢なセキュリティが確保される一方で、その他多くのWebサイトやシステムではセキュリティの基準もあいまいで、運用する側でも本当のセキュリティ状況が把握できず、場合によっては大きなセキュリティホールを残したままサービスを継続してしまうことになりかねません。それに対して、セキュアな構築や開発の標準化や、第3者によるセキュリティ診断は当然重要な解決策になってくるわけですが、本質的に改善するためには、「人材育成」がどうしても必要不可欠になります。これは決して「セキュリティ人材」ということではなく、システムエンジニア、開発者の皆様が、それぞれの分野でのセキュリティ技術を追加で身につける必要があるということです。

「そのような動きに少しでもお役に立ちたい！！」

ということで、長くなりましたが、ここからが宣伝です。

　上記認識を踏まえまして、一人でも多くの方に弊社セミナーを受講いただきたいと思っております。ハッキングの演習を通じて、攻撃者の思考や技術を理解することは、セキュリティを意識したシステム構築やアプリケーション開発をする上で極めて重要な要素です。そのような思いから、「Scanを見た」と言ってお申し込みいただいた方、もしくは、5月末までにネットセキュリティ総研よりお申し込みいただいた方に限り、通常の190,000円から10%のディスカウントをさせていただきます。

　サイバーディフェンスの実践ハッキングセミナーでは、単純に脆弱性を見つけるだけではなく、発見した脆弱性を複合連鎖させ、情報漏えいやシステムの攻略にどのように繋がるのかを能動的に演習してもらいます。それは、本質的にセキュリティ技術を身につけて頂く上で、極めて重要な要素となります。

　2009年度上期のセミナースケジュールを以下に公開しました。是非ともご参加のご検討をいただければと思います。

Zone-H 実践ハッキングセミナー〜 WEBアプリケーション編〜
http://shop.ns-research.jp/3/9/8643.html
Zone-H 実践ハッキングセミナー〜ネットワーク編〜
http://shop.ns-research.jp/3/9/8644.html

【執筆：サイバーディフェンス研究所ジャック飯沼】

【関連リンク】
サイバーディフェンス研究所
http://www.cyberdefense.jp