セキュリティエンジニアに一番必要なのは「好き!」の気持ち、MBSD Cybersecurity Challenges 2018 レポート | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.05.21(火)

セキュリティエンジニアに一番必要なのは「好き!」の気持ち、MBSD Cybersecurity Challenges 2018 レポート

3回目となる「MBSD Cybersecurity Challenges 2018」の参加チームは前回の79チームからさらに大幅に増え、全国36校から106チームがエントリーした。また新たなスポンサーも増え、支援が広がっている。

研修・セミナー・カンファレンス セミナー・イベント
最優秀賞に輝いた「IPFactory」
最優秀賞に輝いた「IPFactory」 全 19 枚 拡大写真
 「好きこそ物の上手なれ」と言われるが、セキュリティの分野も例外ではない。毎日毎日報告される脆弱性をチェックし、どんな影響があるか、どうすれば対策できるかを調査していくのも、好奇心や興味がなければ続かない。

 そんな好奇心を抱く学生を発掘し、発揮してもらう試みが、専門学校・高等専門学校生を対象にしたセキュリティコンテスト「MBSD Cybersecurity Challenges」だ。3回目となる「MBSD Cybersecurity Challenges 2018」の参加チームは前回の79チームからさらに大幅に増え、全国36校から106チームがエントリーした。また新たなスポンサーも増え、支援が広がっている。

 12月12日に行われた最終選考会の冒頭挨拶において、主催の三井物産セキュアディレクション(MBSD)の代表取締役社長、神吉敏雄氏は、参加者に向けてぜひセキュリティ業界を志してほしいと呼び掛け、さらに「では、どんな人材が必要かと言うと、『好き』な人が一番。好きじゃないと続かない」と述べた。

 「好きが一番大事。そもそもこのコンテスト自体、誰かにやれと言われたり、命令して実現したわけではなく、担当社員がやりたいからやっている。皆さんにはぜひ、どんどん進化しているセキュリティの世界を好きになってほしいし、挑戦してほしい」と呼び掛けた。

 ちなみにMBSDでセキュリティを「好き」でやっているエンジニアは、普段どんな具合に仕事をしているのだろうか。例えばIDS/IPSで攻撃を検出するシグネチャを確認して不要なものを削る場合、普通のオペレーターならば、SOCに上がってくるアラートを見て判定するだけだ。だが「本当に好きな人は、最新の脅威動向を踏まえた上で『この手法は、今は流行っていないから今はいらない』という具合に、何を削り、何を残すかの作業を楽しみながらやっている」という。

●ログを解析し何が起きたかを明らかにーー180度異なる視点が求められた今回の問題

 コンテスト参加者の多くはやはり「セキュリティが好き」で、自らいろいろな知識を身につけたり、勉強会に参加してきた経験を持っていたようだ。だが今回は過去とはがらっと課題が変わり、これまでとは異なる視点が求められた。

 過去のMBSD Cybersecurity Challengesは、課題として与えられたWebサイトにどのような脆弱性があり、どのようなリスクがあるかを攻撃者的な視点で検査し、対策とともに報告するというものだった。これに対し今年の大会では、脆弱性を修正しないまま運用していたSNSサービスがとうとう本当に不正アクセスを受けてしまったため、ログなどのデータを解析して「何が起きたのか」を突き止め、対策と再発防止策を提案していくという、現実のセキュリティコンサルタントさながらの問題が与えられた。

 MBSDによると、侵害を受けたSNSサイトは第1回の大会で問題として使われたサービスを再利用したものだという。システムはSQLインジェクションやクロスサイトスクリプティングにはじまり、MySQLの設定不備やLinuxカーネルの「Dirty Cow」の脆弱性、sendMessage.phpの脆弱性など、多数の問題を抱えていた。

 そしてこれらの脆弱性を放置してSNSの運用を続けた結果、外部からのスキャンからデータベースへのアクセス、PHPを介した不正なファイルのアップロード、顧客情報の漏洩、トップページ改ざんにユーザー日記の改ざん、フィッシングサイトへの誘導……といった具合に、てんこもりの被害を受けてしまった。学生らは残されたログデータやアプリケーションのソースコードを元に、「いつ、何が起きたか」をまとめ、被害企業に報告するセキュリティコンサルタントの役割を担った。

 MBSDのプロフェッショナルサービス事業部副部長、吉田裕也氏らによると、「ログを元に何が起きたかを見つけていく『スレットハンティング』に対する注目が高まっている」トレンドがあるという。今回のSNSサイトのように、多くの被害が発生しないよう、日々のスレットハンティングが大事だ。脆弱性診断やバグバウンティといった攻撃者の目線に基づくスキルも重要だが、今回の問題では「守る人材」に必要なフォレンジックや論理的に考えるスキルの重要性を意識してもらえたようだ。

●随所にユニークな視点や工夫が見られた最終審査会のプレゼンテーション

 予選通過を目指してレポートを提出した80チームの中から審査を経て選ばれたのは、以下の10チームだった。

わふ  日本工学院八王子専門学校
竹花森のくまさん  東京電子専門学校
IPFactory  情報科学専門学校
MOFFU_MOFFU_ISC  情報科学専門学校
なにわのシリコンバレー:latest  ECCコンピュータ専門学校
Team.Aoki  静岡産業技術専門学校
NEthernet Ⅱ  東北電子専門学校
LynT4χ  東京都立産業技術高等専門学校
なんでもいい  麻生情報ビジネス専門学校
表示エラー  名古屋工学院専門学校

 これら10チームが最終審査会で、審査員を前にしてプレゼンテーションと質疑応答を行い、レポート内容と合わせて総合的に評価が行われた。

《高橋 睦美》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. CrowdStrike Blog:「サイバー界のAK47」、Mimikatzを利用したシグネチャベースの検知回避

    CrowdStrike Blog:「サイバー界のAK47」、Mimikatzを利用したシグネチャベースの検知回避

  2. 国民健康保険関係書類の誤送付でマイナンバー含む個人情報が漏えい(神戸市)

    国民健康保険関係書類の誤送付でマイナンバー含む個人情報が漏えい(神戸市)

  3. 黒大豆販売サイトへの不正アクセスでカード情報が流出、一部は不正利用された可能性も(小田垣商店)

    黒大豆販売サイトへの不正アクセスでカード情報が流出、一部は不正利用された可能性も(小田垣商店)

  4. 謎のランサムウェア攻撃で Git のコミット消失、救出と引換にビットコイン要求の模様(The Register)

    謎のランサムウェア攻撃で Git のコミット消失、救出と引換にビットコイン要求の模様(The Register)

  5. 「給与所得等に係る個人市民税・府民税特別徴収税額の決定通知書」を誤送付、従業員の個人情報が他社に漏えい(大阪市)

    「給与所得等に係る個人市民税・府民税特別徴収税額の決定通知書」を誤送付、従業員の個人情報が他社に漏えい(大阪市)

  6. 最終回:疑問その9「日商エレを苦しませたCASB導入案件とは」~日商エレに聞く、CASBとクラウドセキュリティの疑問

    最終回:疑問その9「日商エレを苦しませたCASB導入案件とは」~日商エレに聞く、CASBとクラウドセキュリティの疑問PR

  7. 複数のCisco製品に脆弱性、対応を呼びかけ(JVN)

    複数のCisco製品に脆弱性、対応を呼びかけ(JVN)

  8. ユニクロ公式オンラインストアがリスト型攻撃の被害(ファーストリテイリング、ユニクロ、ジーユー)

    ユニクロ公式オンラインストアがリスト型攻撃の被害(ファーストリテイリング、ユニクロ、ジーユー)

  9. サイバー攻撃被害、日韓に存在した共通点

    サイバー攻撃被害、日韓に存在した共通点

  10. 「EC-CUBE」利用ECサイトへ脆弱性診断を無償提供(SHIFT SECURITY)

    「EC-CUBE」利用ECサイトへ脆弱性診断を無償提供(SHIFT SECURITY)

ランキングをもっと見る