自動化された攻防戦「CGC」が 2 億円の賞金以上に与えたインパクト

● DARPA 主催の優勝賞金 2 億円、構築費 56 億円のセキュリティコンテスト

2016 年 8 月 4 日（太平洋夏時間）にアメリカ・ラスベガスにて、自動化されたプログラム同士の攻防戦「CGC（Cyber Grand Challenge）」が、DARPA（国防高等研究計画局）主催で世界最大のハッカーカンファレンス DEFCON 24 とともに併催された。

CGC は用意されたプログラムの脆弱性を探し、それを修正するためのパッチを書く、そして敵チームのプログラムを攻撃するための攻撃コードを書き攻撃を行うという一連の行動をすべて自動化されたプログラムによって行うというものだ。

8 月 4 日の決勝戦は、100 チーム以上の予選参加者の中から勝ち上がった 7 チームによって行われた。各チームは Intel Xeon を搭載したサーバーを詰め込んだ水冷式ラック 1 台分の環境を駆使して競技を行う。さらに、この 7 チームの決勝戦参加者には 75 万ドル（約 7,600 万円）が資金として提供されている。

決勝戦では、カーネギーメロン大学の ForAllSecure チームの「Mayhem」というシステムが優勝し、優勝賞金 200 万ドル（約 2 億円）を手に入れた。他にも上位入賞のチームには 2 位 100 万ドル（約 1 億円）、3 位 75 万ドルが支払われている。

さらに驚くべきことに、DARPA はこの CGC の競技環境などを準備するために 3 年の歳月と 5,500 万ドル（約 56 億円）の資金を投じている。

何もかもが桁外れのこの競技は、これまでのセキュリティコンテストの CTF（Capture The Flag）と大きく違っている点がある。競技が開始すると各チームはプログラムを実行し、あとは競技が終わるまで見ているだけとなるのだ。過去に世界最高峰の DEFCON CTF も運営していた Kenshoto （見性戸）の VISI 氏自身も従来の CTF を「Traditional CTF」と呼ぶほどである。

● セキュリティ・ライフサイクル全体の自動化が目標

DARPA はアメリカの軍隊で使用する新技術の研究や開発を行う機関であるが、なぜこういったセキュリティコンテストを行っているのだろうか。

CGC のプログラムマネージャーのマイク・ウォーカーは「私たちはセキュリティ・ライフサイクルの全体を自動化することができることを証明している。」と語っている。セキュリティ監視を自動化し、より強いネットワークを作るための 10 年計画の最初の一手なのだと。

DARPA がこういった自動化の競技を開催するのは初めてではない。2004 年から DARPA Grand Challenge として、自動運転の自動車レースを開催していて、2007 年には優勝賞金 100 万ドルが提供されている。

DARPA は無人の軍用車の比率を上げるという目標を掲げている。無人軍用車を実現するための問題点を洗い出し、解決するという流れを、従来通りの企業や組織での研究や開発の速度に比べて、競技を開催することによって加速しているのだ。

実際、この競技が行われた後に車の自動運転に関するさまざまな研究開発が行われ、今では完全に自動運転で走る車もそう遠い未来の話ではなくなっている。

DARPA は技術を軍のためだけに使用しているわけではない。それらの技術を世の中に公開することも行っている。その代表的な例がインターネットだ。後の DARPA となるアメリカ国防総省の高等研究計画局（Advanced Research Projects Agency：ARPA）は、世界で初めてのパケット通信ネットワーク ARPANET を開発し、これが現在のインターネットの起源となっている。

今回のCGCでも、すべてのプログラムはオープンソースとして公開される。

● セキュリティ・ライフサイクル自動化の時代の幕が開けた

セキュリティ・ライフサイクルの全体を自動化するといっても、今のところまだ人間ができることと変わりがない。シンプルな脆弱性を自動的に見つけてはいるが、複雑な脆弱性にはまだ対応できていない。参加者の1人のコメントでは「競技の間中クラッシュせずに動き続けるプログラムを組むことが一番難しかった」と言っているほどだ。

CGC の後に行われた DEFCON CTF 2016 では、CGC とほぼ同じ競技システムを使って人間対コンピュータでの CTF が行われた。今回の優勝チームの「Mayhem」システムも参加者として加わっている。

CTF の結果として「Mayhem」システムは何組かのチームに競り勝っているが、結果は 13 位だった（本稿執筆2016年8月7日午後時点）。

しかし、コンピュータは囲碁ではプロ棋士に勝てないと言われていたが、Google DeepMind によって開発されたコンピュータ囲碁プログラムである「AlphaGo」が最高峰のプロ棋士である李氏との勝負に競り勝ったのも記憶に新しい。

CGC によってセキュリティ・ライフサイクルの自動化という時代の幕が開けた。これからこの流れが加速していくことは間違いがない。

日本ではセキュリティ従事者の人数を増やそうとしているが、そう遠くないいつの日か、セキュリティの問題を解決しているのは人間ではないかもしれない。