千葉大学が、セキュリティ人材の育成を目的とした「セキュリティバグハンティングコンテスト」を実施する。技術と法律/倫理面で講習を受けた学生に「ライセンス」を与え、実際の大学システムに存在する脆弱性を発見してもらう。独自のルールや仕組みの下で行われる学生向けバグバウンティは国内の大学として初の試みという。
自社のWebサイトやサービスに存在する脆弱(ぜいじゃく)性をセキュリティ研究者に指摘してもらい、サービスの品質を高めようとする「脆弱性報奨金制度」の認知度が、少しずつ高まっている。「バグバウンティ」とも呼ばれるこうした制度は、米グーグルや米フェイスブックといった海外の主要IT企業はもちろん、国内でもサイボウズやLINE、pixivなどの企業で採用されている。発見者には謝礼として報奨金を贈呈したり、クレジットを明記して労に報いる仕組みだ。
こうした動きを背景に、千葉大学がユニークな取り組みを開始した。同大学は2016年11月24日に、セキュリティバグ報告奨励制度を設けるとともに、同大学の学生を対象にした「セキュリティバグハンティングコンテスト」を実施すると発表したのだ。海外にもバグバウンティプログラムを実施している大学は既に幾つかある。しかし、独自の仕組みとルールの下で、かつコンテスト形式でのバグバウンティを実施するのは、同大学によると恐らく初のケースという。
コンテストでは、参加を希望する学生を対象に講習会を実施。倫理観と法律に関する知識、脆弱性検査のスキルを身に付けた学生に「ハンターライセンス」を交付し、同大学の情報システムに存在する脆弱性を調査/報告してもらう。学生のセキュリティに関する興味を高め、知識と技術を備えた人材を育成するのが目的だ。
第1回セキュリティバグハンティングコンテストでは、2016年12月15日から2017年1月15日までの1カ月間を「セキュリティバグ探索およびレポート作成期間」とし、ライセンスを所持する学生に指定された2つのシステムの脆弱性やバグを探してもらう。セキュアスカイ・テクノロジー 常勤技術顧問の長谷川陽介氏などの有識者で構成する審査委員会が脆弱性についてまとめたレポートを審査し、優秀者を決める流れだ。
現実の世界では、「情報セキュリティ早期警戒パートナーシップガイドライン」に基づき、情報処理推進機構(IPA)による脆弱性の届け出/受け付けの枠組みが構築され、JPCERTコーディネーションセンター(JPCERT/CC)が間に立って発見者とシステム運用者の調整を行い、修正後に脆弱性情報を公表する仕組みが整えられている。千葉大学のセキュリティバグハンティングコンテストもこれに習う。脆弱性を発見したら、個々が勝手に公表するのではなく、まず千葉大学の情報機器対策チーム「C-csirt」に報告するよう求める。C-cisrtは報告内容を検証した上でシステム運用部局に通知し、対応/修正を行う。もし外部のソフトウェアに起因する脆弱性だったならば、C-csirtと連携してIPAに脆弱性情報として届け出るルールとしている。
千葉大学副学長で総括情報保護管理責任者(CISO)を務める石井徹哉氏は、具体的には第1回のコンテストを終え、成果を検証した後になるとしながらも、継続的にバグハンティングプログラムを実施し、対象システムも拡大していくことを検討していると説明した。また参加した学生には、授与されたハンターライセンスを「セキュリティへの関心とスキルを証明するもの」として就職活動などで活用することも期待しているという。
2016年12月15日に行われた講習会には、事前に申し込んだ学生63人のうち47人が参加し、長時間にわたり、倫理と法律、セキュリティ技術に関する学習とハンズオン形式の研修を行った。多くは普段の授業や研究でITに親しんでいる工学部や理学部の学生/院生だが、中には法政経学部や薬学部、園芸学部からの参加者もあったという。
千葉大学では、ITシステムの利用者に必要なリテラシーとしてのセキュリティ教育は実施しているが、セキュリティに特化した専門講座はまだないという。だが参加者の中には、普段からネットワークやセキュリティに関する研究を行っている大学院生もおり、「ぜひ入賞を狙いたい」と意欲を見せていた。
コンテストを支援するセキュアスカイ・テクノロジー代表取締役の乗口雅充氏は、講習会冒頭のあいさつで「セキュリティ人材の不足は、業界にとって大きな課題であることは間違いない。その中での千葉大学の今回の取り組みは意義あること」と述べた。そして参加した学生に向け「IT業界はレッドオーシャン市場とブルーオーシャン市場が入り交じっているが、その中でもセキュリティは比較的ブルーオーシャンだ」と語り、今回のコンテストをきっかけに、一層の関心を持って研究してもらいたいと呼び掛けた。
石井氏は講習会の中で、不正アクセス禁止法をはじめとするサイバーセキュリティに関する各種の法律も紹介。「コンテストもそうだし、コンテストを離れたバグハンティングでもそうだが、きちんと法律を守って調査を行ってほしい」と述べ、さらに「脆弱性を知ったからといって、勝手にSNSで暴露するなど、むやみに公開してはいけない。きちんとC-csirtに届け、そこからIPAを通じて調整してほしい」とルールの順守を重ねて強調した。
技術面に関して講義を行った長谷川氏は、SQLインジェクションやクロスサイトスクリプティングといった主な脆弱性の解説や診断ツール、「小まめにメモを残すこと」といったTipsなどを紹介した。その上で、自身も含めたユーザーを守るためには、脆弱性を見つける能力だけでなく、脆弱性について適切に伝える能力も大切だと強調した。
「バグハンターあるある」の1つに、脆弱性を見つけて報告したところ、「それで何が問題なのか」「これは仕様です」という回答が戻ってきて「徒労に終わった」と感じてしまうものがある。しかし長谷川氏は、「いわゆる脆弱性ではなくても、ユーザーにとって明らかに問題である場合もある。仮に『これは脆弱性ではない』という答えが返ってきても、自分で本当に問題だと考えるならば、きちっと分かってもらえるように伝える能力が大事だ」と言う。
千葉大学のバグハンティングプログラムではこうした観点から、見つけた脆弱性の性質だけでなく、レポートの内容も審査するという。日時や環境、診断項目といった事実だけでなく、「現実にどういった脅威があるかを想定して書いてほしい」と長谷川氏。さらに「検査しても脆弱性が見つからないこともある。そのときは『ない』と判断した根拠をしっかり述べてほしい」とした。
「脆弱性を見つけるのに必要なものは、技術的な知見と、『あれ、おかしいな』と気付く感性、そしてチャレンジ精神だ。試行錯誤していくと、システムの裏側にいる開発者の思考も見えてくる。ルールを守った上で、おかしいな、と思ったことはどんどん試してほしい」(長谷川氏)
Copyright © ITmedia, Inc. All Rights Reserved.