セキュリティ人材をどう育てるべきか、その一つの解が「セキュリティ・キャンプ」だ。彼ら、彼女らと過ごした4泊5日をレポートしよう。
この1〜2年、あちこちで耳にする言葉がある。「セキュリティ技術者が足りない」という嘆きの声だ。しかし、セキュリティ人材不足という課題が顕在化し、議論されるようになる前から、セキュリティ技術に関心を持つ優秀な若手技術者を育てようという試みが継続的に行われている。それがセキュリティ・キャンプだ。
セキュリティ・キャンプは、若く優れた能力を備えた情報セキュリティ人材の発掘・育成を目的とした取り組みだ。情報セキュリティに高い関心を持つ22歳以下の学生・生徒を対象に、情報セキュリティ分野の最前線で活躍する講師陣が、ハンズオン形式の実習も含めた実践的な講義を行う。中心となるのは、毎年夏休みの時期に4泊5日の合宿形式で行われる講習会「全国大会」だが、九州・北海道や東北など全国各地で「ミニキャンプ」や講義を中心とした「キャラバン」なども実施してきた。
セキュリティ・キャンプが始まったのは、ブロードバンドの普及に伴ってセキュリティ問題も広がり始めていた2004年のことだ。当時はまだ、脆弱性を突いた攻撃が世間を騒がせることはあっても、金銭的な被害や知的財産の侵害、政府機関やインフラなどに大きな実害を与えるまでには至らなかった。セキュリティ・キャンプではそうした当時から、脆弱性の仕組みや不正アクセスを防ぐための仕組みといった技術面はもちろん、スキルを持ったエンジニアがその力をどのように使うべきかというモラル面も含めたカリキュラムを組み、若手セキュリティ技術者の芽を育ててきた。
10年を経て、セキュリティ・キャンプの卒業生はのべ400人を超えた。その中には、チューターとしてセキュリティ・キャンプの運営に多数が携わっている他、Capture The Flag(CTF)のようなセキュリティ技術コンテストに参加したり、参加するだけでは飽き足らず企画する側に回ったり、実際にセキュリティ関連企業でエンジニアとして活躍している卒業生もいる。
こうした蓄積を振り返って、「回を重ねるごとにキャンプの運営は安定してきた。もともとやりたかった部分は形になった」と、セキュリティ・キャンプ実施協議会 会長の三輪信雄氏は述べている。「10年の厚みは大きい。ただ、その10年の間に技術や求められる人材像も変わった。今後は、年度をまたがったタテの交流の仕組みを作りたい。セキュリティをベースにした共通のつながりが、日本の優秀なIT人材の幹になる可能性がある」(三輪氏)
2014年のセキュリティ・キャンプ全国大会は2014年8月12日から16日まで、4泊5日の日程で行われた。全国各地から301名の応募があり、クラスによっては「解析しない限りエントリーできない応募用紙」などの課題をクリアして、平均7倍以上の選考をくぐり抜けた42名が集まった。
開講式において情報処理推進機構(IPA)理事長の藤江一正氏は「IT人材、中でもセキュリティ人材は少なく、即戦力が求められている。その意味で皆さんは“金の卵”。その意識を持って学んでほしい」と受講生を前に述べた。さらに「この機会を大切にして、講師やチューターも含めた“人のネットワーク”を作ってほしい」と呼び掛けた。
参加者のうち最年少は14歳の中学生だ。また、“セキュリティ女子”も3人と少ないながらも存在感を出していた。中には、直前に米ラスベガスで開催された「DEF CON」に参加してきた生徒もおり、早速周囲の参加者やチューターと「攻防戦形式のCTFって、どうやって経験を積めばいいと思う?」といった会話を交わしていた。
セキュリティ・キャンプの朝は早く、夜は遅い。4泊5日の期間中、8時半から夜9時半過ぎまでみっちりカリキュラムが組まれている。
中心となるのは、専門クラスに分かれての講義・実習だ。マルウェア解析や脆弱性の仕組みなどについて学習する「ソフトウェア・セキュリティ・クラス」、Webアプリケーションやスマートフォンアプリで用いられるHTMLおよびJavaScriptで作り込まれる、クロスサイトスクリプティング(XSS)などの脆弱性について考察する「Web・セキュリティ・クラス」、パケット解析ツールを用いてプロトコルやパケットの中身に関する知識を深める「ネットワーク・セキュリティ・クラス」、受講者が「ルーター自作」や「組み込みセキュリティ」といったテーマを設定して制作に取り組む「セキュアなシステムを作ろうクラス」の4クラスが設けられている。こうした専門コース以外にも、グループワークやセキュリティ企業の見学、スキルと知識を試すCTFも行われた。
最終日に行われた各クラスの発表では、その一端が紹介された。例えばWeb・セキュリティ・クラスでは、新たな取り組みとしてFirefox OSを用いた実習に取り組んだ。同クラスの講師を務めたはせがわようすけ氏は、「Webの延長線上にあるものであり、今後問題が生じる可能性もある。しかも問題はFirefox OSに限ったものではなく、似たようなデバイスで生じる恐れもある」と述べ、新たなプラットフォームにおける対策の重要性を指摘した。なお、受講生らはあらかじめ仕込んでおいた20個前後の脆弱性をほぼ見つけ、対策も提案するなど、優秀な成績だったという。
またソフトウェア・セキュリティ・クラスでは、リバースエンジニアリングに加え、フォレンジックツールを用いたインシデントレスポンス演習にも取り組んだ。何万行にも及ぶログの中から疑わしい実行ファイルが保存された痕跡を見つけ、それがどんなHTMLページを開いた結果によるものかを解析していく手順を、実戦さながらに学んだという。
マニアックさで群を抜いていたのは、セキュアなシステムを作ろうクラスだ。Raspberry Piを用いて擬似的なグレートファイアウォール、具体的にはDNSスプーフィングをするルーターを自作してみたり、ARMでのバッファオーバーフローに関してデモンストレーションを行ったりと、ハードウェアレベルに踏み込んでの実習が行われた。
一方ネットワーク・セキュリティ・クラスの発表内容は、自分たちが中堅ルーターベンダーの社員になったという想定で、ファジングの導入が企業にどんなメリットをもたらすかをプレゼンテーションするというもの。自社製品にファジングを適用することで、脆弱性をあらかじめつぶすことで売り上げ向上というメリットをもたらすと同時に、社員の技術力向上にも寄与すると説明した。
さて、セキュリティ・キャンプの目的の1つは、未踏プロジェクトなどと同様、突出した才能を持つ人材を発掘することだ。キャンプ初日の特別講演には、本来の意味での”ハッカー”マインドに満ちあふれたソフトイーサ 代表取締役/筑波大学大学院の登大遊氏が登壇し、「サイバー空間のハッキングだけでなく、実世界のあらゆる仕組みに興味を持ってハッキング能力を身に着けてほしい」と呼びかけた。
L2 VPNソフト「SoftEther」の開発者として知られる登氏は、今もなお数々の”ハック”に取り組んでいる。2013年からは、公開VPN中継サーバー「VPN Gate」の開発、運用を進めてきた。VPN Gateは、ボランティアベースで運用されている数千台ものサーバーを介して、自由なインターネットアクセスを可能にする仕組みだ。これを活用することで、検閲用ファイアウォールなどによって特定サイトやサービスへの通信が制限されている国からも、アクセスが可能となる。
しかし、検閲用ファイアウォールの運用担当者も仕事はしている。VPN Gateの仕組みに気付くと、クローラを用いて公開VPNサーバーのIPアドレスを取得し、それをブラックリストに追加して通信を遮断しようと試みてきたそうだ。登氏は、ブラックリストへの登録という対応が行われていることを把握すると、その仕組みを踏まえた上で対抗策を採った。つまり、VPN Gateのサーバーリストの中に、ルートサーバーやWindows Update、Google Public DNSといった「無実」のIPアドレスを紛れ込ませておくことにより、相手の通信を妨害する、という仕掛けだ。
だがこの対策に対し、検閲用ファイアウォール担当者は新たな対抗策を講じてきた。クローラーを改良し、VPN Gateサーバーが実際に稼働しているかどうかチェックするプローブ機能を追加することで、無実のIPアドレスを排除しようと試みてきたという。
そこで登氏が考えた策は、各サーバーのログの中に特徴的なアクセスが含まれていないかどうかをチェックする「協同によるスパイ発見」という仕組みだ。分散している複数のサーバーのログから、スパイ用と思われる共通のIPアドレスを抽出し、それを「スパイリスト」としてVPN Gate側のブラックリストとして活用する仕組みだ。この結果、おそらく担当者は対応をあきらめたらしい。「VPN Gateは中国ではTorの13倍使われている他、イランや北朝鮮など世界192カ国で利用されている。
ただ、これだけ便利な仕組みだけに、VPN Gateを経由して犯罪を試みた人物もあったそうだ。オーストラリア警察からの依頼を受けた登氏は、VPN Gateのログを基に犯人追跡を試みた。この犯人はTor経由でVPN Gateを利用しており、当初手掛かりを得るのは困難かと思われたが、調査を進める中で、最初にクライアントをダウンロードした際にだけは素のIPアドレスからアクセスしていたことが判明。そこから足が付いたということだ。
登氏は他にも、行政文書開示請求書を用いたさまざまな行政システムの合法的なハッキング(情報収集)や、光ファイバーやメディアコンバーターといった物理的な機器の調査に基づく「専用線はセキュリティが高い」という常識に対する疑問の提示、あるいは当時の筑波大学の成績履修システム「TIWNS」の調査など、身の周りのあらゆる仕組みに興味を持ち、解明するために手を動かしてきたという。
講演でたびたび登氏が強調したのは、「エンジニアならば、当たり前のように使われている身の周りのシステムがどんな仕組みで成り立ち、動いているかに興味を持つはず」ということ。コンピューター上で動作するソフトウェアであろうと、ハードウェアであろうと、あるいは法律や校則によって作られた社会的なシステムであろうと、それは変わらない。
同氏は、海外に出かける際にも、漫然と空港で時間をつぶすのではなく、出国管理システムがどんな機器で成り立ち、どのようになっているかをつぶさに観察したそうだ。「サイバー空間のハッキング能力を身に着けるには、幅広い総合ハッキング能力が必要だ。コンピューターに向かうだけでなく、実社会のいろいろなシステムに興味を持ち、どんな情報を入力するとどういう結果が得られるかを観察し、総合ハッキング能力を身に着けてほしい」(登氏)。
過去の回でもそうだが、セキュリティ・キャンプを見ていて驚かされるのは、初日と最終日とで参加者の表情が大きく異なることだ。最終日に行われた各クラス/グループワークの発表では、受講者らが堂々とプレゼンテーションを行った。
グループワークで優秀賞を受賞した「チーム3」のテーマは、「ライフログとセキュリティ」。Twitter上のつぶやきと実際の天気データとを比較分析し、スコアリングを基に居住する都道府県を推測しようと試みた。PHPでTwitterのAPIを叩き、取得したデータをスクレイピングしようとしたところ、API制限に引っかかってしまった上、「天気というものは意外と広範囲で同じだった」というオチが付いたが、目の付けどころのユニークさが印象的だった。
また、最優秀賞を得た「チーム2」は、Twitter上での不用意なつぶやきが炎上してしまう現象の解決策を2つ提案した。1つは、擬似的にリツイート(RT)させることで承認欲求を満たす、というジョーク的な機能だが、もう1つの提案は、画像内容の判別に機械学習機能を適用させようというアイデア。「過去の炎上画像を学習し、その特徴と共通点を持つ怪しい画像を投稿しようとすると警告が出る仕組み」だ。「CHU NI BYOU Client」と名付けたこのクライアントを、キャンプ後、D言語で開発予定という。
最後の閉講式では、まずセキュリティキャンプ実施協議会副会長の藤原慎氏が「グループワーク発表の中で、『経営陣がセキュリティを理解していないのではないか』という指摘があったが、実はそれは当たっている」と率直に述べた。だが一方で、セキュリティに関する問題が多発する中、セキュリティについて知りたいと考える経営者も増えつつあるという。「そうした層にしっかりセキュリティに関する知識を伝え、安心安全な社会を作る中で、皆さんが活躍してくれることに期待したい」(藤原氏)。
また三輪氏は、「キャンプを卒業したからといって、必ずしもセキュリティ業界に来る必要はない。セキュリティは幅広い分野に関わってくる。企画する人、安全に作る人、安全に運用する人の要望を受けて立ち、そこにとけ込んでいってほしい。ありとあらゆるところに散ってもらえることが、セキュリティ人材不足に対する1つの答えだ」と述べ、多様な可能性を考えてほしいと呼び掛けた。もちろん、散らばった先で役に立つのは、セキュリティにさらに詳しい専門家とのつながりだ。その意味で、これまで10年分の卒業生も含めたセキュリティ・キャンプのコミュニティを大切にしてほしいという。
最後には受講生一人一人に修了証が手渡された。受講者らは「短かったがとても楽しかった」「足りないところが分かった、これからもっと勉強していきたい」「ソフトウェアセキュリティに関心を持つ人は少ないと思っていたけれど、同じ関心を持つ人に出会えてよかった」「攻撃者の視点も分かった。今後、セキュアなものを作っていく参考にしたい」と思い思いの感想を述べていた。中には、独自に勉強会を開催したい、DEF CONに参加したいといった具体的な目標を掲げた受講者もいた。
これに対し講師からも、「今後も継続的に活動してほしい」「講師陣を目標にするのではなく、超えてほしい。そして、困ったときには助けを求めてほしい」と、温かい言葉が掛けられていた。
セキュリティ・キャンプ 全国大会 2014は終わったが、セキュリティ・キャンプ実施協議会では今後も全国各地で「セキュリティ・ミニキャンプ」などの実施を予定している。キャンプの卒業生が、そしてこれからの受講者が、また会える日は遠くないかもしれない。
Copyright © ITmedia, Inc. All Rights Reserved.