かつてないスピードで変化する市場ニーズに迅速かつ柔軟に対応するため、仕様だけ決めて開発は外部パートナーに委託するのではなく、ユーザー企業自らWebアプリケーション、Webサービスの開発を行う、いわゆる「内製化」の動きが広がっている。
問題は、その過程でさまざまなバグや脆弱性が作り込まれてしまうのを避けられないことだ。残念ながら脆弱性の存在に気づかずそのままリリースされてしまい、情報漏洩などの深刻なインシデントにつながるケースも珍しくはない。そこで、開発プロセスの中にセキュリティ検査を組み込み、自らの手で早期に脆弱性を潰すことによってリリースのスピードを確保しつつ、コストを削減しようとする動きが先進的な企業の中で始まっている。いわゆる「セキュリティの内製化」だ。
●ミッションは「セキュリティ内製化を支援する診断ツールを開発せよ」
専門学校生や高等専門学校生を対象としたコンテスト「MBSD Cybersecurity Challanges 2021」では、まさにこの「セキュリティの内製化」をテーマとし、企業自身による診断を支援する脆弱性診断ツールの開発が課題として提示された。
三井物産セキュアディレクション(MBSD)の代表取締役社長、鈴木大山氏が「今回の課題はけっこう難しかったのではないか」と評するほどの課題だったが、予選には全国から50チームが参加し、診断ツールと操作マニュアルなどの資料を提出。この内容を元に選考された10チームが、2021年12月16日に行われた最終審査会でプレゼンテーションを行った。
●コロナ禍の制限の中でも随所に見られた創意工夫
MBSD Cybersecurity Challangesは、学生にセキュリティへの興味を持ってもらい、現実味のある課題に取り組むことでセキュリティ業務の一端を体験してもらうことを目的としたコンテストだ。過去のコンテストでは、セキュリティコンサルタントの立場になり、与えられたWebアプリケーションの脆弱性診断やフォレンジックを行ったり、開発者のリテラシー向上に向けたセキュリティ教育プログラムを提案するといった具合に、年々新たなテーマが設定され、難易度を高めてきた。
今回の課題は、デジタルトランスフォーメーション(DX)の流れの中で避けられないトレンドであるセキュリティ診断の内製化だ。だが社内にエンジニアを抱え、Log4Jの脆弱性のように新たな問題や脅威が生じた場合、速やかにキャッチアップして対応していくという作業が求められ、負担は大きくなるのも事実だ。各チームは、「納期遅延リスクの低減」「外部委託コストの削減」「診断内製化への寄与」といったキーワードがちりばめられていた課題の中からエッセンスをうまく汲み取り、さまざまなアイデアを盛り込みながら自分たちなりの形にしていった。
具体的には、SQLインジェクションやクロスサイトスクリプティング(XSS)、OSコマンドインジェクション、ディレクトリトラバーサル、ディレクトリリスティングやクロスサイトリクエストフォージェリ(CSRF)など、Webアプリケーションに存在する主要な脆弱性を検出する診断ツールの作成が求められた。しかも対象としてIDとパスワードを入力してログインする会員制サイト「MBSD SNS」を想定しており、ログインした状態での脆弱性検査が行えるかどうかも問われる。
新型コロナウイルスの影響が予想以上に長引き、この1~2年で新たに入学した学生たちは大きな影響を受けている。そんな中でも「課外授業はおろか、授業もオンラインが続いて交流の機会がなかった中、コンテストの話を聞いて決起しました」というチーム「くまドン」(日本工学院専門学校)の言葉が示したように、それぞれ持てる力を発揮して課題に取り組んだ。
各チームの取組に共通していたのは「セキュリティに関する知識がない人でも簡単に検査が行える、使いやすいツールにすること」だ。また技術面では、検査対象Webサイトのクローリング機能を実装し、利用者が少ない手間で検査が行えるようにしたり、わかりやすいレポートを出力するよう心がけるチームも目立った。もちろん、審査で大きくものを言うのは、いかに多くの脆弱性を高い精度で検出できるかどうかであり、作成したツールとOWASP ZAPを比較検証してその結果を示したチームもあった。
とはいえ、実装に苦労した部分もあったようだ。SQLインジェクションやXSS、OSコマンドインジェクションといった脆弱性は比較的どのチームのツールでも検出できたが、それ以外の脆弱性までは検出できなかったチームもあった。それでもあきらめずできる限りのことに取り組もうと、「どみねいたあず。109」(創造社デザイン専門学校)や「ステークホルダー」(北海道情報専門学校)のように手動検査モードで脆弱性の可能性がある項目を列挙し、レポートするアグレッシブな姿勢を見せたチームもあった。
一方、「c2VjdXJpdHk=」(日本工学院専門学校)のように、パーサーを用いてコンパクトなプログラムを作成し、またレポートも人間が読める形式に加えてXML形式で出力するなど、学生離れしたプログラムコードを書いて審査員に強い印象を残したチームもあった。
そして全体に目立ったのが、技術だけでなく、ユーザービリティも含めた幅広い視点で課題に取り組む姿勢だ。特にユニークだったのは「チームグー。」(創造社デザイン専門学校)で、スキャン中の時間を持て余さなくてすむよう待ち時間に神経衰弱ゲームで遊べるよう一工夫を加え、またレポートも単なるスコアではなく「大炎上」「プチ炎上」といったわかりやすい表現で指摘して強い印象を残した。
なおコンテストは基本的に4人1チームでの参加となるが、今回は、「1人で2人分働きます」というチーム「OS」(日本工学院北海道専門学校)、そして1人チームで参加したチーム「福岡」(東京電子専門学校)の健闘も光った。特にチーム福岡は、ペアプログラミングが実質不可能な状態で「プログラムを作成する際、どうしても間違いに気づくのが遅くなってしまった点で苦労しました」と振り返っていたが、それでも最終選考会に進出できたことは素晴らしいと言えるだろう。
●商用脆弱性スキャナでも課題の「過検知」が勝敗を分ける結果に
一連のプレゼンテーションの後に、順位発表、講評と種明かしが行われた。
![まるで成長しない社員向け、ユニークな教育プラン続出 ~ オンラインでも強い印象を残した [MBSD Cybersecurity Challenges 2020] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/33559.jpg)
