2025年夏の大阪と言えば、大阪・関西万博、ミャクミャク、そしてアルティメットサイバーセキュリティクイズ(UCSQ)2025でしょう。2025年7月12日に開催されたUCSQ 2025には、オンライン参加で121名、オフライン参加には86名がエントリーし、半日にわたる熱戦を繰り広げました。
UCSQは、今や誰にとっても無関係ではなくなったサイバーセキュリティに関する「知識」を問うクイズ大会です。エンジニアはもちろん、それ以外の幅広い職種の人々に、手を動かすスキルの有無を気にせず、楽しみながらセキュリティ知識を確認し、興味・関心を深めることを目的に、2015年から毎年7月の第2土曜日に開催されてきました。
オフライン参加者に配られたバッジのデザインは二次創作ガイドラインに沿って作られたミャクミャク風で、会場には万博のパビリオンと同じようなスタンプも用意されました。また参加者の間でもお勧めパビリオン情報を交換したり、スタンプ帳を披露したりする姿が見られたほか、偶然にも準決勝の合間にブルーインパルスの展示飛行が窓からチラッとのぞける瞬間まであり、大阪・関西万博の空気を感じながらのイベントとなりました。
●「ほんとにそっちでいいんですか?」、脱落者ゼロの問題もあったマルバツクイズ
第八回となったUCSQ 2025は、これまで同様、予選と敗者復活戦、準決勝、決勝の三段階にわけて行われました。勝ち抜いた上位入賞者はもちろん、キリ番などをゲットした参加者にも、スポンサー27社および個人スポンサー10名の支援で用意された豪華賞品が提供されるため、皆、笑いを交えつつも真剣に取り組んでいました。
オープニング前に問題のヒントが隠された動画が一通り流れた後、13時からいよいよクイズのスタートです。
オンライン予選では制限時間内に問題を解いていきます。正答率が同じ場合はより短時間で回答した参加者が上位となりますが、制限時間が迫ると「ピッ……ピッ……ピッ……」とタイマー音が流れていやでも雰囲気が緊迫し、まさにプレッシャーとの戦いです。冷静に考えれば何ということもない問題なのに、焦って引っかけの記述を見落としてしまったり、裏を読むだけでなくさらに裏の裏を読もうとしてはまってしまったりと、参加者それぞれに悲喜こもごもの戦いがありました。
一方、オフライン会場の予選は恒例のマルバツクイズです。読み上げられた問題文に対し、○か、×か、正解と思うパネル側に移動します。もし間違えた方を選択するとワンアウトとなり、三問間違えると退場というルールで、同じく4名が準決勝に進みます。
これも恒例の、アメリカ横断ウルトラクイズにリスペクトを払って用意された自由の女神に関する第一問からスタートし、脅威やウイルス、リスクベース認証の定義を踏まえた問題などにチャレンジしていきました。
数問で早々に脱落し、「今年の夏は終わった……」と肩を落として見学に回る参加者の姿があった一方、セキュリティ関連のニュースや情報に気を配ったり、IPAの「情報セキュリティマネジメント」などの資格試験に取り組むといった普段からの研鑽が功を奏してか、全員が正解側を選択し、受け狙いも含め脱落者が一人もいない問題もありました。
また基本的には頭の中にある知識で勝負するはず……なのですが、UCSQの形式が知られてきたためか、問題を読み上げる池田総裁や他の参加者の顔色をうかがったり、移動する周りの人に付いていく作戦を取る人もちらほら見え隠れするようになりました。そのたびに池田総裁から「私の顔は見ないで、自分の気持ちで動いてください!」「ほんとにそっちでいいんですか? いいんですね?」と呼び掛けられ、会場から笑いが起こっていました。
ダイレクトにセキュリティの知識を問う問題だけでなく、ITシステムの知見に関する問題、さらには綴りや単位に罠が仕掛けられた引っかけ問題に加え、「『KSIG』をシーザー暗号で10文字ずらすと『UCSQ』になる」「四文字のパスワードについて、1から9の数字を使った組み合わせは、6561通りである」といったとっさの頭の回転が問われる問題を経て、準決勝進出者が決まっていきました。冷静に考えればすぐ解答できたり、答えを知っているはずの問題でも、いつもとは違う焦った状況になるとつい間違えてしまうのは、現実の試験や仕事でも「あるある」ではないでしょうか。
●一番難しかったかもという声まで出た、レベルの高い準決勝
オンライン・オフライン双方でこうした予選を勝ち抜いた4名ずつに加え、スポンサーから提供されたクイズで構成された敗者復活戦を勝ち抜いた2名が加わり、準決勝へと進みました。
準決勝はオンライン・オフラインをZoomでつないで四択で行われ、予選同様スリーアウトで敗退となります。「大阪万博の開催期間は?」という変化球も混じっていましたが、基本的には「情報処理安全確保支援士」相当の問題が用意され、難易度もやや高くなります。中には「準決勝が一番難しいんじゃないか」とつぶやく声もあったほどです。
しかし準決勝進出者もさすがにレベルが高く、MITRE ATT&CKやSEOポイズニングなど、セキュリティど真ん中の知識を問う問題では多くが正答していきました。
一方、意外と難しかったようなのが、「今年サポートが終了するWindows 11のバージョンは、21H2、22H2、23H2、24H2のうちどれか」といったIT運用全般に関連する問題です。これには、日付や細かな名称がうろ覚えになりがち、という要因もあるかもしれません。
オフライン会場ではギャラリーが画面越しに声援を送りました。さらに、一連の作問をチェックした立命館大学の上原哲太郎教授が、たとえば「Bluetoothを悪用してデバイスを不正に操作したり、情報を窃取したりする複数の脆弱性の呼称は」という問題に対し、正答(BlueBorne)を示すだけでなく、「この脆弱性はOSではなくファームウェアレベルの問題だったため、修正が非常に難しく、苦労したんです」と付け加えるという具合に、専門家ならではのさまざまなポイント解説を行ってくれました。
決勝進出者が決まったのは「不正なアクセスを正常なアクセスと誤って検出することは?」という問題でした。正解は「フォルスネガティブ」です。
ただ、オフライン会場では「あれ、フォルスポジティブでは?」「過検知、誤検知、どっち?」という声が上がり、ざわざわとする場面がありました。分かっているつもりで曖昧な理解で済ませている言葉が、実は多いかもしれないことを、あらためて痛感した瞬間でした。
この結果、10位がyuka8さん、同率ながら予選では上位だったさくぞ~さんが9位、kanさんが8位、kanadeさんが7位、こちらも同率ながら予選順位が上だったtotosan365さんが6位、huenoさんが5位となりました。
●引っかけ問題にも負けず繰り広げられた、熱い決勝戦
いよいよ迎えた決勝戦。勝ち残ったのは、ionさん、第一回から皆勤で参加し続け、今回はオンライン予選敗退からの敗者復活戦を経て悲願の決勝進出を果たしたキノズデンキさん、初参加のしょうさん、そして昨年に続き二回目の決勝に進んだNoribombさんの4名でした。
決勝戦は早押しクイズとアタック25方式の組み合わせです。最も多くのパネルを獲得した人が優勝します。決勝進出者は緊張の色を見せながら、最後の勝負に挑みました。
決勝戦の出題も「情報処理安全確保支援士」相当の内容です。CVSSや個人情報保護法といったセキュリティ関連の知識に加え、目標復旧レベルやIPv6といったITやネットワークそのものに関する問題が次々に出されていきました。
中には、「……は二段階認証ですが、右折することを何というか?」という引っかけ問題も出題されました。問題文の前半だけを聞いて慌てて「二段階認証」と答えてしまうとお手つきになってしまう仕掛けですが、Noribombさんは冷静に「二段階右折」と回答し、オフライン会場のギャラリーから喝采を浴びていました。
序盤は黄色のパネルのキノズデンキさんがリードする展開でしたが、青のパネルのionさんが追いつき、後半は圧倒的な展開となりました。
決勝ではまた「最も多く使われているパスワードは?」という問題に対し、
キノズデンキさん「123456」
「残念!」(会場:ざわざわ)
Noribombさん「12345」
「残念、もうちょっと長い」(会場:ざわざわ)
ionさん「1234567890!」
「残念」(会場:ざわざわ)
と、三人が次々とお手つきになってしまい、ここまでなかなか得点できていなかったしょうさんが、ここぞとばかりに
「123456789!」(会場:おおぉ~~~)
と正解する楽しい場面もありました。
結局、中盤から後半にかけて圧倒的な強さを見せたionさんが見事優勝を飾りました。「昨年は予選であっけなく敗退したので、準決勝に行けたらいいなというくらいの気持ちでしたが、まさか優勝できるとはびっくりしています」と、喜びを語っていました。
予選や準決勝でもそうでしたが、よく知っている事柄でも、プレッシャーにさらされるとなかなか答えられないことがあります。Noribombさんは「お手つきしている間に出題された問題の方が正解できていました」と振り返り、次回に向けて対策を練ろうと決意を新たにしていました。
●セキュリティに興味を抱く人たちが出会い、この先に生かす場に
クイズを楽しんだ後は、川口設計の川口洋氏による講演が行われました。
川口氏は、影響の大きさの割にあまり話題になることのない「財務会計システム」のリスクや、岡山県精神医療センターで発生したインシデント報告書から読み取れる、社内の「力学」を踏まえたセキュリティ対策の難しさ、そして、VPN機器に代表されるインターネットに面したエッジデバイスにおける対策といった「気になるポイント」を挙げ、技術的な課題もさることながら、いかにうまく「政治力」を駆使するかが重要になってきているのではないかと述べました。
たとえばセキュリティ的に脆弱性が指摘されたならアップデートすべきというのは当たり前です。しかし現実には、ユーザー部門の業務の都合や「偉い人」の鶴の一声、予算繰りといったさまざまな事情で、理想通りに進めないケースが山のようにあります。
川口氏は「こうした状況を動かすには、技術以外の政治的な力も使いながら、意思決定層へ働きかけていくことが必要だと、最近とみに感じています」と述べました。オフライン会場でも、思い当たる節があるのか、苦笑いを交えながら頷く参加者の姿が見られました。
ただ、この問題におそらく一つの正解はないでしょう。川口氏は、セキュリティに興味を抱いて集まり顔を合わせたオフライン来場者も、オンラインの参加者も、この機会にぜひ、それぞれがどんな課題や悩みを抱えており、どんな備えをしているのかをわいわいと議論してほしいと呼び掛けました。
一連のプログラムが終了すると、お待ちかねの成績発表と賞品の授与です。
今年は、恒例の「総裁と高級焼肉」のほか、Mac MiniやゲーミングデスクトップPC、Nintendo Switch2といった一段と豪華な賞品が、知識と勘、運を駆使して勝ち抜いた上位入賞者に贈られました。さらに、キリ番をゲットした参加者には「EXPO ミャクミャクグッズ三点セット」も含めた魅力的な賞品が贈られ、見事ゲットした参加者がうれしそうに受け取っていました。
半日にわたるクイズ大会を終えた後は、懇親会で盛り上がる番です。乾杯の後、クラフトビールやその場で原木から切り出した生ハムなどを手に、和気藹々と会話を楽しんでいました。万博関連の話題も盛り上がっていたのが印象的で、急遽「じゃあ、明日は一緒にパビリオンを回りましょう」と意気投合する参加者もあったほどです。
セキュリティというと、難しいもの、怖いものというイメージがまだまだ強いかもしれません。今回「会社の中にいるだけでは世の中に置いていかれてしまうのではないかという危機感を抱き、参加してみました」と語っていたある初参加者は、実際来てみると、笑いあり、ボケありで、想像以上に楽しい時間を過ごせたと振り返っていました。オフラインならではの人との出会いも楽しんだそうです。
また普段はシステムインテグレーターで働き、Hardening競技会をきっかけにUCSQの存在を知った別の参加者は「SEとしてすでに支援士の資格を持っていたけれども、今回参加して、まだ自分の知らない情報をいろいろと知りました」と述べています。こうした知識を仕事に生かすのはもちろん、メンバーや後輩など周りの人々にも共有していきたいそうです。
総じて、コミュニティとして集まり、会話する楽しさをあらためて感じた一日になったのではないでしょうか。「来年もぜひ参加したいけれど、チケット争奪戦が大変そう……」という声も漏れ聞こえてきましたが、次回にもぜひ期待したいところです。
「セキュリティは難しいと思われますが、今日のような簡単な入口もあります。1を1.1にするだけでもいいので、ぜひいろんな人に波及させ、裾野を広げ、日本を守ることにつなげていければと思います」(池田総裁)
