セキュリティエンジニアに一番必要なのは「好き!」の気持ち、MBSD Cybersecurity Challenges 2018 レポート | ScanNetSecurity
2024.03.29(金)

セキュリティエンジニアに一番必要なのは「好き!」の気持ち、MBSD Cybersecurity Challenges 2018 レポート

3回目となる「MBSD Cybersecurity Challenges 2018」の参加チームは前回の79チームからさらに大幅に増え、全国36校から106チームがエントリーした。また新たなスポンサーも増え、支援が広がっている。

研修・セミナー・カンファレンス セミナー・イベント
最優秀賞に輝いた「IPFactory」
最優秀賞に輝いた「IPFactory」 全 19 枚 拡大写真
 「好きこそ物の上手なれ」と言われるが、セキュリティの分野も例外ではない。毎日毎日報告される脆弱性をチェックし、どんな影響があるか、どうすれば対策できるかを調査していくのも、好奇心や興味がなければ続かない。

 そんな好奇心を抱く学生を発掘し、発揮してもらう試みが、専門学校・高等専門学校生を対象にしたセキュリティコンテスト「MBSD Cybersecurity Challenges」だ。3回目となる「MBSD Cybersecurity Challenges 2018」の参加チームは前回の79チームからさらに大幅に増え、全国36校から106チームがエントリーした。また新たなスポンサーも増え、支援が広がっている。

 12月12日に行われた最終選考会の冒頭挨拶において、主催の三井物産セキュアディレクション(MBSD)の代表取締役社長、神吉敏雄氏は、参加者に向けてぜひセキュリティ業界を志してほしいと呼び掛け、さらに「では、どんな人材が必要かと言うと、『好き』な人が一番。好きじゃないと続かない」と述べた。

 「好きが一番大事。そもそもこのコンテスト自体、誰かにやれと言われたり、命令して実現したわけではなく、担当社員がやりたいからやっている。皆さんにはぜひ、どんどん進化しているセキュリティの世界を好きになってほしいし、挑戦してほしい」と呼び掛けた。

 ちなみにMBSDでセキュリティを「好き」でやっているエンジニアは、普段どんな具合に仕事をしているのだろうか。例えばIDS/IPSで攻撃を検出するシグネチャを確認して不要なものを削る場合、普通のオペレーターならば、SOCに上がってくるアラートを見て判定するだけだ。だが「本当に好きな人は、最新の脅威動向を踏まえた上で『この手法は、今は流行っていないから今はいらない』という具合に、何を削り、何を残すかの作業を楽しみながらやっている」という。

●ログを解析し何が起きたかを明らかにーー180度異なる視点が求められた今回の問題

 コンテスト参加者の多くはやはり「セキュリティが好き」で、自らいろいろな知識を身につけたり、勉強会に参加してきた経験を持っていたようだ。だが今回は過去とはがらっと課題が変わり、これまでとは異なる視点が求められた。

 過去のMBSD Cybersecurity Challengesは、課題として与えられたWebサイトにどのような脆弱性があり、どのようなリスクがあるかを攻撃者的な視点で検査し、対策とともに報告するというものだった。これに対し今年の大会では、脆弱性を修正しないまま運用していたSNSサービスがとうとう本当に不正アクセスを受けてしまったため、ログなどのデータを解析して「何が起きたのか」を突き止め、対策と再発防止策を提案していくという、現実のセキュリティコンサルタントさながらの問題が与えられた。

 MBSDによると、侵害を受けたSNSサイトは第1回の大会で問題として使われたサービスを再利用したものだという。システムはSQLインジェクションやクロスサイトスクリプティングにはじまり、MySQLの設定不備やLinuxカーネルの「Dirty Cow」の脆弱性、sendMessage.phpの脆弱性など、多数の問題を抱えていた。

 そしてこれらの脆弱性を放置してSNSの運用を続けた結果、外部からのスキャンからデータベースへのアクセス、PHPを介した不正なファイルのアップロード、顧客情報の漏洩、トップページ改ざんにユーザー日記の改ざん、フィッシングサイトへの誘導……といった具合に、てんこもりの被害を受けてしまった。学生らは残されたログデータやアプリケーションのソースコードを元に、「いつ、何が起きたか」をまとめ、被害企業に報告するセキュリティコンサルタントの役割を担った。

 MBSDのプロフェッショナルサービス事業部副部長、吉田裕也氏らによると、「ログを元に何が起きたかを見つけていく『スレットハンティング』に対する注目が高まっている」トレンドがあるという。今回のSNSサイトのように、多くの被害が発生しないよう、日々のスレットハンティングが大事だ。脆弱性診断やバグバウンティといった攻撃者の目線に基づくスキルも重要だが、今回の問題では「守る人材」に必要なフォレンジックや論理的に考えるスキルの重要性を意識してもらえたようだ。

●随所にユニークな視点や工夫が見られた最終審査会のプレゼンテーション

 予選通過を目指してレポートを提出した80チームの中から審査を経て選ばれたのは、以下の10チームだった。

わふ  日本工学院八王子専門学校
竹花森のくまさん  東京電子専門学校
IPFactory  情報科学専門学校
MOFFU_MOFFU_ISC  情報科学専門学校
なにわのシリコンバレー:latest  ECCコンピュータ専門学校
Team.Aoki  静岡産業技術専門学校
NEthernet Ⅱ  東北電子専門学校
LynT4χ  東京都立産業技術高等専門学校
なんでもいい  麻生情報ビジネス専門学校
表示エラー  名古屋工学院専門学校

 これら10チームが最終審査会で、審査員を前にしてプレゼンテーションと質疑応答を行い、レポート内容と合わせて総合的に評価が行われた。

《高橋 睦美》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る