専門学校・高専対象の脆弱性発見コンテスト、「ペンテスター」になって授業ではできない体験を 3ページ目 | ScanNetSecurity
2024.03.29(金)

専門学校・高専対象の脆弱性発見コンテスト、「ペンテスター」になって授業ではできない体験を

三井物産セキュアディレクション(MBSD)は、全国の専門学校生・高等専門学校生を対象にしたセキュリティコンテスト「MBSD Cybersecurity Challenges 2017」を実施した。

研修・セミナー・カンファレンス セミナー・イベント
堂々昨年のリベンジを果たした情報科学専門学校の IPFactory
堂々昨年のリベンジを果たした情報科学専門学校の IPFactory 全 14 枚 拡大写真
●自分の中で「攻撃」と「防御」のいたちごっこを考え、安全な環境作りを

 ミニセミナーを行った同社セキュリティスペシャリストの国分裕氏は、工事現場の標語や東京ディズニーリゾートが掲げる理念を例に挙げ、「どんな業界にいっても、安全に仕事ができるようにすることはとても大事。そのときには、偶発的な脅威から生命や財産を守る『セーフティ』と、意図を持った相手から守る『セキュリティ』、双方の違いを意識し、それぞれに対策を考えなければいけない」と呼び掛けた。

 特にセキュリティを考える際に重要なのが、攻撃者の視点だ。「守るときには、どういう攻撃が来るかを考えなければいけない。『攻撃者がどういうことができるか』と『その攻撃から守るために何ができるか』という両面で想像力が必要だ。実際にどんな攻撃ができるかを確認し、防御のための対策をやってみて、その上で、さらにその対策をかいくぐる攻撃ができないかを考える……しばしばセキュリティは攻撃と防御のいたちごっこと言われるが、悪い意味ばかりではなく、それを自分たちの中で考えていくことが必要だ」と国分氏は述べ、今回の診断体験をそのきっかけにしてほしいとした。

 ただその際には、ルールを守ることが大前提だ。いくらセキュリティのためだからといって、Webサイトを落としたり、データを壊したりしては威力業務妨害に問われる恐れがあるし、不正アクセスは論外だ。国分氏は「診断では、『このくらいなら問題ないだろう』と思っていても、意図する以上にサービスが落ちてしまうことがある。決して勝手に人のサービスに対して診断は行わないでほしい」と強調した。

 それでも試したいときには勉強会のような場があるし、周りの大人たちに相談するという手もある。国分氏はそんな機会を利用してスキルを磨いてほしいと学生らに呼び掛けた。「いくら本だけ読んでもうまくはならない。手を動かして、反復練習をして、作り出す技術と壊す技術、そこから守る技術を身につけてほしい」(国分氏)

●授業だけでは分からない事柄を体験し、ステップアップへ

 コンテストの入賞者にはGoogle HomeやAmazon Kindle、アライドテレシスが提供するスイッチングハブといった賞品に加え、MBSDのインターンシップ参加権が与えられた。

 優勝チームのIPFactoryを送り出した情報科学専門学校の教務部教務課課長、武藤幸一氏は、「こうした産学の連携は非常に重要だと考えている。学校でも広くさまざまな知識を教えているが、コンテストで問われた説明能力のように、学校だけでは経験できないこともたくさんある」と述べ、インターンシップを通じて現場でセキュリティ業務に携わる人々の話を聞くことで、さらに多くのことが得られることを期待しているとした。

 武藤氏によると、最近、ニュースやドラマの中でサイバーセキュリティが取り上げられる機会が増えてきたこともあり、セキュリティに興味を持つ学生は増えてきているという。

 実際、IPFactoryのメンバーの一人は「進路について考えていた際、ニュースでセキュリティという言葉を耳にすることが増え、調べてみると、自分と同じような年齢の人たちがセキュリティコンテストでどんどん活躍していることを知って、自分もやってみようと考えた。本格的に勉強を始めたのはこの学校に入ってからだが、やってみるととにかく面白いし、この先ぜひ、セキュリティ系の仕事に就きたい」と述べていた。

 情報科学専門学校では、そんな風にセキュリティに関心を持つ学生らが、放課後に自主的に集まって勉強を重ねており、今回のコンテストに限らずさまざまな力試しの場に参加しているそうだ。昨年は入賞を逃して悔しい思いをしたことから、技術だけでなく、問題点をどのように報告書に落とし込むかを学生らが自分たちで考え、見事リベンジを果たした。

 逆に、普段は主にサーバやネットワーク技術について学んでおり、「セキュリティは専門外だが興味本位で参加し、ゼロから勉強しながら脆弱性を見つけていった」という「ヤマネコ」のメンバーは、「今後、システム構築でもネットワークをやっていく上でもセキュリティは必須の常識になる」と、コンテストを機に、さらにセキュリティ領域について学びたいと述べていた。早速他のチームと交流し、CTFの過去問やセキュリティに特化した勉強会が参考になるといった情報を仕入れ、帰路についたようだ。

 このように、授業や書籍で得た知識やスキルを、「脆弱性診断」というビジネスの現場に即した形に落とし込み、さまざまな視点を得られるという意味で、非常にユニークなコンテストと言えるだろう。セキュリティ分野に興味を持つ学生同士、さらに現役のエンジニアらが交流を深める機会としても、次回以降にも期待したい。
  1. «
  2. 1
  3. 2
  4. 3

《高橋 睦美》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る