専門学校・高専対象の脆弱性発見コンテスト、「ペンテスター」になって授業ではできない体験を 3ページ目 | ScanNetSecurity
2020.03.31(火)

専門学校・高専対象の脆弱性発見コンテスト、「ペンテスター」になって授業ではできない体験を

三井物産セキュアディレクション(MBSD)は、全国の専門学校生・高等専門学校生を対象にしたセキュリティコンテスト「MBSD Cybersecurity Challenges 2017」を実施した。

研修・セミナー・カンファレンス セミナー・イベント
堂々昨年のリベンジを果たした情報科学専門学校の IPFactory
堂々昨年のリベンジを果たした情報科学専門学校の IPFactory 全 14 枚 拡大写真
●自分の中で「攻撃」と「防御」のいたちごっこを考え、安全な環境作りを

 ミニセミナーを行った同社セキュリティスペシャリストの国分裕氏は、工事現場の標語や東京ディズニーリゾートが掲げる理念を例に挙げ、「どんな業界にいっても、安全に仕事ができるようにすることはとても大事。そのときには、偶発的な脅威から生命や財産を守る『セーフティ』と、意図を持った相手から守る『セキュリティ』、双方の違いを意識し、それぞれに対策を考えなければいけない」と呼び掛けた。

 特にセキュリティを考える際に重要なのが、攻撃者の視点だ。「守るときには、どういう攻撃が来るかを考えなければいけない。『攻撃者がどういうことができるか』と『その攻撃から守るために何ができるか』という両面で想像力が必要だ。実際にどんな攻撃ができるかを確認し、防御のための対策をやってみて、その上で、さらにその対策をかいくぐる攻撃ができないかを考える……しばしばセキュリティは攻撃と防御のいたちごっこと言われるが、悪い意味ばかりではなく、それを自分たちの中で考えていくことが必要だ」と国分氏は述べ、今回の診断体験をそのきっかけにしてほしいとした。

 ただその際には、ルールを守ることが大前提だ。いくらセキュリティのためだからといって、Webサイトを落としたり、データを壊したりしては威力業務妨害に問われる恐れがあるし、不正アクセスは論外だ。国分氏は「診断では、『このくらいなら問題ないだろう』と思っていても、意図する以上にサービスが落ちてしまうことがある。決して勝手に人のサービスに対して診断は行わないでほしい」と強調した。

 それでも試したいときには勉強会のような場があるし、周りの大人たちに相談するという手もある。国分氏はそんな機会を利用してスキルを磨いてほしいと学生らに呼び掛けた。「いくら本だけ読んでもうまくはならない。手を動かして、反復練習をして、作り出す技術と壊す技術、そこから守る技術を身につけてほしい」(国分氏)

●授業だけでは分からない事柄を体験し、ステップアップへ

 コンテストの入賞者にはGoogle HomeやAmazon Kindle、アライドテレシスが提供するスイッチングハブといった賞品に加え、MBSDのインターンシップ参加権が与えられた。

 優勝チームのIPFactoryを送り出した情報科学専門学校の教務部教務課課長、武藤幸一氏は、「こうした産学の連携は非常に重要だと考えている。学校でも広くさまざまな知識を教えているが、コンテストで問われた説明能力のように、学校だけでは経験できないこともたくさんある」と述べ、インターンシップを通じて現場でセキュリティ業務に携わる人々の話を聞くことで、さらに多くのことが得られることを期待しているとした。

 武藤氏によると、最近、ニュースやドラマの中でサイバーセキュリティが取り上げられる機会が増えてきたこともあり、セキュリティに興味を持つ学生は増えてきているという。

 実際、IPFactoryのメンバーの一人は「進路について考えていた際、ニュースでセキュリティという言葉を耳にすることが増え、調べてみると、自分と同じような年齢の人たちがセキュリティコンテストでどんどん活躍していることを知って、自分もやってみようと考えた。本格的に勉強を始めたのはこの学校に入ってからだが、やってみるととにかく面白いし、この先ぜひ、セキュリティ系の仕事に就きたい」と述べていた。

 情報科学専門学校では、そんな風にセキュリティに関心を持つ学生らが、放課後に自主的に集まって勉強を重ねており、今回のコンテストに限らずさまざまな力試しの場に参加しているそうだ。昨年は入賞を逃して悔しい思いをしたことから、技術だけでなく、問題点をどのように報告書に落とし込むかを学生らが自分たちで考え、見事リベンジを果たした。

 逆に、普段は主にサーバやネットワーク技術について学んでおり、「セキュリティは専門外だが興味本位で参加し、ゼロから勉強しながら脆弱性を見つけていった」という「ヤマネコ」のメンバーは、「今後、システム構築でもネットワークをやっていく上でもセキュリティは必須の常識になる」と、コンテストを機に、さらにセキュリティ領域について学びたいと述べていた。早速他のチームと交流し、CTFの過去問やセキュリティに特化した勉強会が参考になるといった情報を仕入れ、帰路についたようだ。

 このように、授業や書籍で得た知識やスキルを、「脆弱性診断」というビジネスの現場に即した形に落とし込み、さまざまな視点を得られるという意味で、非常にユニークなコンテストと言えるだろう。セキュリティ分野に興味を持つ学生同士、さらに現役のエンジニアらが交流を深める機会としても、次回以降にも期待したい。
  1. «
  2. 1
  3. 2
  4. 3

《高橋 睦美》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

    従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

  2. 脆弱性があるが開発者と連絡がつかないソフト一覧、使用中止呼びかけ(JVN)

    脆弱性があるが開発者と連絡がつかないソフト一覧、使用中止呼びかけ(JVN)

  3. 成人向け動画にログインすると別人アカウントに切り替わり、購入・視聴履歴等 閲覧可能に(ソフト・オン・デマンド)

    成人向け動画にログインすると別人アカウントに切り替わり、購入・視聴履歴等 閲覧可能に(ソフト・オン・デマンド)

  4. 機械学習アルゴリズムに脆弱性(JVN)

    機械学習アルゴリズムに脆弱性(JVN)

  5. ? ランサムウェアの犯人「新型コロナ危機の間は医療機関を標的にしないことを俺たちは誓う」(The Register)

    ? ランサムウェアの犯人「新型コロナ危機の間は医療機関を標的にしないことを俺たちは誓う」(The Register)

  6. 「Apache Tomcat」の脆弱性を確認するアクセスが増加(警察庁)

    「Apache Tomcat」の脆弱性を確認するアクセスが増加(警察庁)

  7. 新型コロナ対策で増加するリモートワークで重要な6つの要素(クラウドストライク)

    新型コロナ対策で増加するリモートワークで重要な6つの要素(クラウドストライク)

  8. CISO に求める役割ベスト3とこれから求める役割(IPA)

    CISO に求める役割ベスト3とこれから求める役割(IPA)

  9. GitHubの設定ミスが原因、取引先情報が外部から閲覧可能に(道新サービスセンター)

    GitHubの設定ミスが原因、取引先情報が外部から閲覧可能に(道新サービスセンター)

  10. プリンセス・クルーズのメールに不正アクセス、顧客情報流出可能性(カーニバル・ジャパン)

    プリンセス・クルーズのメールに不正アクセス、顧客情報流出可能性(カーニバル・ジャパン)

ランキングをもっと見る