技術力だけでなくコミュ力も問われる大学対抗のセキュリティコンテスト:競い、育てる「第10回情報危機管理コンテスト」リポート(1/2 ページ)
「サイバー犯罪に関する白浜シンポジウム」と併催される「情報危機管理コンテスト」は、インシデントやぜい弱性報告への対処力を大学対抗戦の形で競うものだ。実社会さながらの対応が求められるその内容とは?
実社会のコミュ力が問われるセキュリティコンテスト
「……はい、白浜商事でございます」。
突然鳴り響く電話に慌てることなく受話器をとった学生は、チームごとに割り当てられた社名を名乗った。そして先方が伝えるトラブルの状況を手早くメモして電話を切り、聞き耳を立てて待ち構えるチームメンバーに振り返って状況を報告。こうして決勝戦第1問目への挑戦が始まった。
2015年5月、和歌山県の南紀白浜で大学対抗セキュリティコンテスト「情報危機管理コンテスト」が開催された。「サイバー犯罪に関する白浜シンポジウム」と併催される同コンテストは、今年で10回目を迎える。
「当初は、(ゲーム形式でセキュリティの技術力や知識力を競う)CTF(Capture the Flag)をやろうと考えていた」。そう話す、同コンテストの発案者で総指揮を執る和歌山大学の川橋(泉)裕氏は、「でも白浜シンポジウムは警察関係者と情報セキュリティの専門家をつなぐイベントだから、ピッキングの方法を競うようなコンテストはダメと言われた」と振り返る。
そこで諦めなかった同氏。「では防御力を競うコンテストはどうか」と提案し、何とか承認を取り付けたという。
同コンテストは、インシデントやぜい弱性報告への対処力を競う大学対抗戦だ。参加チームは、とあるWebサービス会社のサーバーをオンサイトで管理するシステム会社の派遣エンジニアとなり、サービス利用者や支店からの電話やメールの問い合わせに対応する。
CTFと違うのは、与えられた課題を勝手に解決すると減点対象になることだ。問い合わせ内容は上司の「セオ(=CEO)さん」に報告し、検討中の対応方法を説明、指示を仰いで顧客への状況説明や報告も行う。実社会のサーバー管理業務さながらの対応/コミュニケーション力が問われる同コンテストは、その「リアルさ」が特長でもある。
競技を支える「劇団」
決勝では、用意されたシナリオが進捗具合に応じて解放される。そのシナリオを回す重要な役割を担っているのが、川橋氏の研究室に所属する学生たちで、川橋氏たちは敬意をこめて「劇団」と呼んでいる。
劇団は、ユーザーや社員などの数役を演じるチーム担当者(学部生)と、チームの進捗状況をホワイトボードにまとめながら担当者をサポートする遊軍(院生)に分かれて対応する。
劇団員は、事前に2週間近くのトレーニングを受けている。そこでは演技の特訓だけでなく、細部まで決められた電話応対マニュアルを徹底的に頭に叩きこみ、全員の意識共有を図る。これは、参加チームからの問い合わせや報告に対してムラのある対応をしないよう、競技としての公平性を保つためだ。
競技得点には、シナリオを解いた場合のポイントの他、シナリオにはないファインプレーがあった場合に劇団が追加できる「いいね」ポイントがある。加点の判断を一任された劇団は、それだけ川橋氏たちからの信頼が厚いということだ。
戦術や創意工夫にチームの個性が光る
第一次予選、第二次予選を突破し、決勝戦へとコマを進めたのは、岡山大学(チーム名:セキュリティ賛歌)、関西大学(チームコバゼミ)、信州大学(KEMURI-MOKU2)、同志社大学(PurpleHaze)、早稲田大学(m1z0r3)の5大学だ。
決勝前日に白浜へ到着した参加者たちは、競技会場で全体の説明を受けた。各チームの机上にはルーターやノートパソコンなどが用意され、競技環境の構成や設定情報などをまとめた資料が配布された。説明終了後は解散となり、提供機器の写真を撮って資料の参考にするチームや、対策を練るためにいそいそと会場を出るチームなど、決勝戦に向け思い思いの準備を始めた。
決勝戦では、ウイルス感染被害やフィッシングメール攻撃、NTPぜい弱性、root権限の奪取および改ざんなど、異なる知識や技術力を必要とするインシデントをテーマに、6つのシナリオが用意されていた。
「話題としては若干のタイムラグがあるものの、システム管理者であれば気付いてほしい、むしろ気付かないとまずい話ばかりだ」(審査員の国立情報学研究所、高倉弘喜氏)
そんなシナリオに対し、学生たちは豊かな発想や機転を利かせて取り組んだ。
競技開始後、審査員をまず驚かせたのはPurpleHaze(同志社大学)だ。今年の会場の机は、演台の方向に向かって並べられたスクール形式で、床に固定され、自由なレイアウトができない状態だった。机の間隔もそれなりに離れているため、普通に着席してしまうと互いの距離が遠くなり、共同作業もしづらい。
それを、2台の机に挟まれる形で背中合わせに座ることで解決したのが、PurpleHazeだ。ちょっと振り返ればメンバーのPC画面も見えるなど、必要最低限の動きで情報共有できる。与えられた環境を最大限に生かす発想力に、審査員は感嘆した。
紳士的なユーザー対応で高く評価されたのは、セキュリティ賛歌(岡山大学)だ。同チームは、ウイルス感染被害が発生するというシナリオで、問い合わせのあったユーザーへの対応だけでなく、他の人にも被害が及んでいることを想定し、注意喚起をホームページにアップした。
競技という視点だけでは生まれない、きめ細かなユーザー対応力を見せつけたセキュリティ賛歌のメンバーは「普段から研究室でしごかれているから」と照れ笑いしつつ、将来はセキュリティ分野に進みたいと語った。
また、問題発生・解決後に他への波及などを点検し、関連シナリオまで解いてしまったのが、KEMURI-MOKU2(信州大学)だ。「サーバー運用の現場でも、何か問題が発生したときに他で見落としがないか総点検をかける。それをやってのけた。非常によく考えて動いていた」(審査員)。同コンテストでは、ルールを違反した場合と、トラブル発生時に急降下し復旧で上がる「株価」が減点ポイントとなるのだが、深い洞察力のおかげでシナリオをまたぐ際の株価急降下を回避できた唯一のチームとなった。
同期で仲が良く、「問題に行き詰ったときは率直に意見をぶつけ合える」と話すチームメンバーは、「実践力を身に付ける機会を探して同コンテストに辿り着いた」と話す。「実はあまりセキュリティに関心がなかった」と打ち明ける初参加のメンバーの一人は、今回で興味が沸いてきたと述べる。
そして今回最も審査員を唸らせたのが、経済産業大臣賞を受賞し優勝したm1z0r3(早稲田大学)だ。同チームは、まず全問を解くという同コンテスト開始以来、初めての偉業を達成。「こういう手の早いチームは暴走したり許可なしに設定変更したりしがちだが、それもなかった」(審査員)
二つ目は、競技終了後の30分で報告書をまとめ、提出しなければならないのだが、その報告書を図表付きで提出した点だ。「ルールにも違反事項に記載されていなかったので、前の晩、サーバーやネットワーク構成などの事前資料をベースにテンプレートを準備した」と明かす報告書担当者は、競技中も報告書作成に徹したという。
三つ目は、徹底した役割分担だ。メンバーの一人、笹生憲氏が電話対応と指示出しの総指揮を執り、二人は技術担当として手を動かし、残る一人は報告書作成に専念する。特にマネジメントを一手に引き受けた笹生氏は、「細かいチェックを入れつつ、自分を抑えながらチームを統率していた姿が素晴らしかった」として、MVP賞を受賞した。
「役割分担は、各自の得意分野を活かそうということで自然とそうなった」。そう述べるm1z0r3はCTFでも活躍するチームで、SECCON CTFの決勝戦に残る強豪チームの一つだ。
「CTFと違って、本コンテストでは電話対応をしなければならず、また株価の指標を意識して原因究明する前に異常なトラフィックへ対処するといった、実務で生かせる学びが多い」。そう述べるチームメンバーは、自分たちの足りないところも分かったので、さらに精進したいと力を込めた。
CTFで鍛えられた尖がった感性と、情報危機管理コンテストに求められる実務能力とを併せ持つ人材が今後も増えるのではないか。第10回の結果は、そんな期待をコンテスト運営陣に抱かせるものとなった。
Copyright © ITmedia, Inc. All Rights Reserved.