アジアの若者が共に学び、つながりを作った「Global Cybersecurity Camp」一国だけでは解決できない共通の課題、解決のカギは?セキュリティ・アディッショナルタイム(43)

サイバー攻撃に立ち向かう人材をどう育てるかは、日本に限らず各国共通の課題だ。その解決を図るべく、アジア各国のコミュニティーの有志が集い「Global Cybersecurity Camp」を開催した。

» 2020年04月24日 05時00分 公開
[高橋睦美@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 「サイバーセキュリティは、1つの国だけで解決できる問題ではない。だからこそ、セキュリティに興味を持つ学生や若手技術者が共に学び、交流できる場が必要だ」――そんな思いを形にしたトレーニングキャンプ、「Global Cybersecurity Camp」(GCC)が2020年2月10〜14日、千葉県で開催された。

 GCCは、サイバーセキュリティ対策という各国が共通に抱える課題に対し、国や人種の枠組みを超えたグローバルな人材育成を促進し、同時に国をまたいだ緩やかなコミュニティーの形成を目的としたイベントだ。初回は韓国で開催され、2回目となる今回は日本がホスト国となった。日本の6人の学生に加え、オーストラリア、マレーシア、シンガポール、タイ、台湾、ベトナムから25歳以下の学生、29人が参加した。

29人の参加者

 ちょうど新型コロナウイルス感染症(COVID-19)が世界的に猛威を振るう兆しを見せ、渡航制限が始まる直前のタイミング。残念ながら参加を予定していた韓国の学生は来日を断念したが、体調・衛生管理に気を配りながら、合宿形式でサイバーセキュリティのスキルを学んだ。

体温チェックの様子

アジア全体にまたがるヒューマンプラットフォームを

 国内では2012年から、若年層の情報セキュリティ人材の発掘・育成を目的とした「セキュリティ・キャンプ」が開催されてきた。サイバーセキュリティに興味を抱く全国の学生が4泊5日の合宿形式でコンピュータサイエンスやセキュリティに関する演習に取り組む「全国大会」と、全国各地で開催される「地方大会」の両輪を通して、実践的な知識やプロセスを身に付けるだけではなく、同じ興味・関心を持つ「仲間」を見つける場として機能してきた。

 GCCはその枠組みを、アジア全体に広げたものと表現できるだろう。

 ITならびにサイバーセキュリティ人材の不足は、日本に限らず、各国共通の課題だ。セキュリティ・キャンプ協議会 国際連携グループでGCCのオーガナイザーを務めた篠田佳奈氏ら、共通の問題意識を持った有志がDEF CONで「アジアにヒューマンプラットフォームを作る必要がある」と意気投合。その後Slackや電話で、時にはオフラインで顔を合わせて話し合いながら準備を進め、2019年にまず日本と韓国、台湾、シンガポールの4カ国から学生を募って開催した。「2020年は評判が評判を呼び、参加国を8カ国に広げて開催することになった」(篠田氏)という。

 GCCの立役者の一人であり、台湾のTelecom Technology Centerの理事長を務める呉宗成氏は「人材不足は大きな問題であり、1つの国だけで解決できる問題ではない。サイバーセキュリティに関する教育を互いにシェアし、グローバルな視点で若者を育て、学生の視野を広げていくことが重要だ」と述べた。

 GCCは、この目的に賛同したアジア各国のセキュリティコミュニティーとスポンサーの支援で成り立っている。

 参加した学生らも、各国の大学やコミュニティーの協力を得て選考された。例えばオーストラリアはクイーンズランド大学サイバーセキュリティ学部の、タイではマヒドン大学および国立電子コンピュータ技術研究センター(NECTEC)の協力を得て学生を募集。またマレーシアのNanoSecやシンガポールのDivision Zero(Div0)、ベトナムのVNSecurityのように、セキュリティコミュニティーが主導して学生らに呼び掛けたケースもあった。台湾では、セキュリティ・キャンプのように毎年実施されているサマースクール、AIS3(Advanced Information Security Summer School)が中核となって学生らを送り込んでいる。

 ホスト国を代表してあいさつに立ったセキュリティ・キャンプ協議会代表理事の西本逸郎氏は、「世界がデジタル化していくために、サイバーセキュリティは必須。各国の発展という意味でも不可欠だ」と述べた。

 そして、自身がこよなく愛するラグビーになぞらえ、「サイバーセキュリティもラグビーと同じように、知らない人から見ると危険で、何をしているか分かりにくい。けれど『ラグビー憲章』が求めるように、一人一人が品位と情熱を持ち、規律を守り、結束して、互いにリスペクトを払いながらGCCを楽しみ、終わった後もその関係を続けてほしい」と呼び掛けた。

開会あいさつの様子

最先端のトレーニング、「解けるものなら解いてみろ」のつもりが……

 GCCの参加者が多国籍なら、講師陣もまた多国籍だ。セキュリティ・キャンプ協議会で講師を務める竹迫良範氏によると、「今回は『Call for Training』方式で講義内容を募集し、13件寄せられた中から7件を採択した。いずれも世界最先端のトレーニングが集まった」という。

GCCの講師陣

 具体的には、攻撃キャンペーン「APT-10」で使われたマルウェアのリバースエンジニアリングといった、ゴリゴリの解析技術についてのプログラムはもちろん、ファジングにAIを適用して未知の脆弱(ぜいじゃく)性を自動的に見つけ出す方法を学ぶ講義、MIPSやArmといったアーキテクチャを前提にIoT機器に搭載されているファームウェアのリバースエンジニアリングを行う講義などが用意された。また、ソーシャルメディアも含めたオープンな情報源、いわゆるOSINT(Open Source INTelligence)を活用する方法も含まれており、今どきのセキュリティリサーチに必要な要素を盛り込んだ講義となった。

開始時の様子

 中でも、初日から最終日まで数回に分けて行われた講義が「インシデントレスポンスで攻撃者を追いかけろ」という競技形式の講義だ。インシデントレスポンスやフォレンジクス、マルウェア解析に関する技術を駆使して証拠として渡された仮想マシンを解析し、「いつ、何が起こったのか」を追跡していく内容だ。

 各国の参加者をシャッフルして4〜5人1組のチームを編成し、得点を競う形式だったこともあり、参加者らは黙々と、昼食も忘れるほど熱中。1問解くごとに、ハイタッチを交わしながら取り組んでいった。タイからの参加者の一人は「タイでは、CTF(Capture The Flag)はあまりポピュラーではなく、興味を持つ人たちが独学で学ぶ程度。今回はとてもいい機会になりました」と述べていた。

CTFの様子

 当初は「ログ解析はほとんどやったことがなくて、戸惑った」という参加者もいたが、その成長ぶりは講師を務めたIIJの鈴木博志氏、梨和久雄氏が共に舌を巻くほどだったという。「1日目には進みが遅い学生もいたけれど、ちょっとフォローして理解を手助けしたら、後半はどんどん勝手に問題を解き進めていった」(鈴木氏)。夜中の2時にも問題に取り組んだログが残っていたという。梨和氏は「いろんな国からの参加者が、みんなで助け合いながら問題に取り組んでもらえてうれしい」と振り返っていた。

 「『解けるものなら解いてみろ』というつもりで用意してきた問題が、ほぼ解かれてしまった。ある意味すがすがしい気持ちだ」と鈴木氏。苦笑まじりに「次のシナリオはどうしようか」と、講師側もうれしい驚きをかみしめていたようだ。

それぞれの場で、それぞれのコミュニティーで講義の成果の還元を

 丸4日にわたる講義と文化交流を経験した学生たち。ほんの1週間のプログラムだったが、閉会式の姿は一回り大きくなって見えたほどだ。初日は少なかった口数も、終わるころには軽く冗談を言い合うほどで、密なコミュニケーションが取れていることがうかがえた。

終了後の様子

日本からの参加者も「新しいことばかりで、とても勉強になった」「いろんな国からの参加者と協力して問題を解くのはとても楽しかったし、力の差も感じた」と述べていた。今回の経験は、これからの自身の成長にとって大きな経験となり、モチベーションとなったようだ。

 今後彼ら、彼女らは各国に戻ってそれぞれの道を歩むことになるが、各国のオーガナイザーが異口同音に述べていたことが1つある。それは「ここで得た経験を、今度は自分がトレーナーになるといった形で、それぞれのコミュニティーに還元していってほしい」ということだ。

 シンガポールのDiv0代表のEmil Tan氏は、「コロナウイルスの状況をにらみながら直前までミーティングを重ねて開催された今回のGCCは、講師やオーガナイザー、生徒らがどれほどレジリエントであるかを示した。全ての関係者に感謝しつつ、また2021年に会えることを期待したい。そして、将来続く生徒たちに、この経験を踏まえて貢献し返すとともに、この関係を継続し、グローバルなサイバーセキュリティリーダー間の連帯をこの先何十年も継続してほしい」と述べていた。

 西本氏も閉講式で「大人の世界では時々難しいことだが、サイバーセキュリティには、組織や国の枠組みを超えたコラボレーションが必要だ。GCCという場で、今後協力していける顔の見える間柄を作れたことは、大きな意義といえるだろう」と述べている。政治などの思惑も取り沙汰される中、こうしたつながりの持つ意味はますます大きくなるはずだ。

閉講式の様子

 「学生たちがこうした場を通じて自発的につながりを作っていく取り組みは、今後10年、20年先を見据えるととても大きなこと」(篠田氏)。立ち向かう課題が困難であればあるほど、国の枠を超えた協力体制が必要だ。2021年のGCCは、何事もなければ、IT担当大臣としてサイバーセキュリティにも積極的に取り組んでいるオードリー・タン氏のいる台湾で開催される予定だ。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。