セキュリティエンジニアに一番必要なのは「好き!」の気持ち、MBSD Cybersecurity Challenges 2018 レポート | ScanNetSecurity
2020.03.31(火)

セキュリティエンジニアに一番必要なのは「好き!」の気持ち、MBSD Cybersecurity Challenges 2018 レポート

3回目となる「MBSD Cybersecurity Challenges 2018」の参加チームは前回の79チームからさらに大幅に増え、全国36校から106チームがエントリーした。また新たなスポンサーも増え、支援が広がっている。

研修・セミナー・カンファレンス セミナー・イベント
最優秀賞に輝いた「IPFactory」
最優秀賞に輝いた「IPFactory」 全 19 枚 拡大写真
 「好きこそ物の上手なれ」と言われるが、セキュリティの分野も例外ではない。毎日毎日報告される脆弱性をチェックし、どんな影響があるか、どうすれば対策できるかを調査していくのも、好奇心や興味がなければ続かない。

 そんな好奇心を抱く学生を発掘し、発揮してもらう試みが、専門学校・高等専門学校生を対象にしたセキュリティコンテスト「MBSD Cybersecurity Challenges」だ。3回目となる「MBSD Cybersecurity Challenges 2018」の参加チームは前回の79チームからさらに大幅に増え、全国36校から106チームがエントリーした。また新たなスポンサーも増え、支援が広がっている。

 12月12日に行われた最終選考会の冒頭挨拶において、主催の三井物産セキュアディレクション(MBSD)の代表取締役社長、神吉敏雄氏は、参加者に向けてぜひセキュリティ業界を志してほしいと呼び掛け、さらに「では、どんな人材が必要かと言うと、『好き』な人が一番。好きじゃないと続かない」と述べた。

 「好きが一番大事。そもそもこのコンテスト自体、誰かにやれと言われたり、命令して実現したわけではなく、担当社員がやりたいからやっている。皆さんにはぜひ、どんどん進化しているセキュリティの世界を好きになってほしいし、挑戦してほしい」と呼び掛けた。

 ちなみにMBSDでセキュリティを「好き」でやっているエンジニアは、普段どんな具合に仕事をしているのだろうか。例えばIDS/IPSで攻撃を検出するシグネチャを確認して不要なものを削る場合、普通のオペレーターならば、SOCに上がってくるアラートを見て判定するだけだ。だが「本当に好きな人は、最新の脅威動向を踏まえた上で『この手法は、今は流行っていないから今はいらない』という具合に、何を削り、何を残すかの作業を楽しみながらやっている」という。

●ログを解析し何が起きたかを明らかにーー180度異なる視点が求められた今回の問題

 コンテスト参加者の多くはやはり「セキュリティが好き」で、自らいろいろな知識を身につけたり、勉強会に参加してきた経験を持っていたようだ。だが今回は過去とはがらっと課題が変わり、これまでとは異なる視点が求められた。

 過去のMBSD Cybersecurity Challengesは、課題として与えられたWebサイトにどのような脆弱性があり、どのようなリスクがあるかを攻撃者的な視点で検査し、対策とともに報告するというものだった。これに対し今年の大会では、脆弱性を修正しないまま運用していたSNSサービスがとうとう本当に不正アクセスを受けてしまったため、ログなどのデータを解析して「何が起きたのか」を突き止め、対策と再発防止策を提案していくという、現実のセキュリティコンサルタントさながらの問題が与えられた。

 MBSDによると、侵害を受けたSNSサイトは第1回の大会で問題として使われたサービスを再利用したものだという。システムはSQLインジェクションやクロスサイトスクリプティングにはじまり、MySQLの設定不備やLinuxカーネルの「Dirty Cow」の脆弱性、sendMessage.phpの脆弱性など、多数の問題を抱えていた。

 そしてこれらの脆弱性を放置してSNSの運用を続けた結果、外部からのスキャンからデータベースへのアクセス、PHPを介した不正なファイルのアップロード、顧客情報の漏洩、トップページ改ざんにユーザー日記の改ざん、フィッシングサイトへの誘導……といった具合に、てんこもりの被害を受けてしまった。学生らは残されたログデータやアプリケーションのソースコードを元に、「いつ、何が起きたか」をまとめ、被害企業に報告するセキュリティコンサルタントの役割を担った。

 MBSDのプロフェッショナルサービス事業部副部長、吉田裕也氏らによると、「ログを元に何が起きたかを見つけていく『スレットハンティング』に対する注目が高まっている」トレンドがあるという。今回のSNSサイトのように、多くの被害が発生しないよう、日々のスレットハンティングが大事だ。脆弱性診断やバグバウンティといった攻撃者の目線に基づくスキルも重要だが、今回の問題では「守る人材」に必要なフォレンジックや論理的に考えるスキルの重要性を意識してもらえたようだ。

●随所にユニークな視点や工夫が見られた最終審査会のプレゼンテーション

 予選通過を目指してレポートを提出した80チームの中から審査を経て選ばれたのは、以下の10チームだった。

わふ  日本工学院八王子専門学校
竹花森のくまさん  東京電子専門学校
IPFactory  情報科学専門学校
MOFFU_MOFFU_ISC  情報科学専門学校
なにわのシリコンバレー:latest  ECCコンピュータ専門学校
Team.Aoki  静岡産業技術専門学校
NEthernet Ⅱ  東北電子専門学校
LynT4χ  東京都立産業技術高等専門学校
なんでもいい  麻生情報ビジネス専門学校
表示エラー  名古屋工学院専門学校

 これら10チームが最終審査会で、審査員を前にしてプレゼンテーションと質疑応答を行い、レポート内容と合わせて総合的に評価が行われた。

《高橋 睦美》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

    従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

  2. 脆弱性があるが開発者と連絡がつかないソフト一覧、使用中止呼びかけ(JVN)

    脆弱性があるが開発者と連絡がつかないソフト一覧、使用中止呼びかけ(JVN)

  3. 成人向け動画にログインすると別人アカウントに切り替わり、購入・視聴履歴等 閲覧可能に(ソフト・オン・デマンド)

    成人向け動画にログインすると別人アカウントに切り替わり、購入・視聴履歴等 閲覧可能に(ソフト・オン・デマンド)

  4. 機械学習アルゴリズムに脆弱性(JVN)

    機械学習アルゴリズムに脆弱性(JVN)

  5. ? ランサムウェアの犯人「新型コロナ危機の間は医療機関を標的にしないことを俺たちは誓う」(The Register)

    ? ランサムウェアの犯人「新型コロナ危機の間は医療機関を標的にしないことを俺たちは誓う」(The Register)

  6. 「Apache Tomcat」の脆弱性を確認するアクセスが増加(警察庁)

    「Apache Tomcat」の脆弱性を確認するアクセスが増加(警察庁)

  7. 新型コロナ対策で増加するリモートワークで重要な6つの要素(クラウドストライク)

    新型コロナ対策で増加するリモートワークで重要な6つの要素(クラウドストライク)

  8. CISO に求める役割ベスト3とこれから求める役割(IPA)

    CISO に求める役割ベスト3とこれから求める役割(IPA)

  9. GitHubの設定ミスが原因、取引先情報が外部から閲覧可能に(道新サービスセンター)

    GitHubの設定ミスが原因、取引先情報が外部から閲覧可能に(道新サービスセンター)

  10. プリンセス・クルーズのメールに不正アクセス、顧客情報流出可能性(カーニバル・ジャパン)

    プリンセス・クルーズのメールに不正アクセス、顧客情報流出可能性(カーニバル・ジャパン)

ランキングをもっと見る