「SECCON 2016決勝大会」開催、CTFを軸に広がる技術と人材の幅:セキュリティ・アディッショナルタイム(14)(2/2 ページ)
2017年1月28日、29日にかけて、国内最大規模の情報セキュリティ競技会「SECCON 2016」の決勝大会が行われ、世界各国から集った強豪チームが熱戦を繰り広げた。会場では同時に、競技の幅や裾野を感じさせるさまざまな企画も催され、多くの参加者を集めた。
CTF可視化というトレンドの発信源に
SECCONの名物と言えば、NICT(情報通信研究機構)が開発・提供している「NIRVANA改SECCONカスタム」だ。サイバー攻撃の可視化・分析のために開発されたプラットフォーム「NIRVANA改」をベースにSECCON用のカスタマイズを加えたもので、どのチームがどのサーバに対してトラフィックや攻略のためのExploit(攻撃コード)を送り込んでいるかをリアルタイムに可視化し、凝ったモーションとともに表示する。
今回は、各チームの順位をピラミッド上に示し、順位の入れ替わりが一目で分かる「Rankingモード」と、問題の攻略状況を確認できる「Questionモード」を新たに追加した「NIRVANA改SECCONカスタム Mk-III」によって競技の模様がグラフィカルに表示され、来場者の目を引いていた。
SECCON実行委員であり、NICTでNIRVANA改をはじめとする可視化システムの開発に当たっている井上大介氏は、「こうした可視化の仕組みがなければ、CTF大会をやっていても『ああ、PCに向かってカチャカチャやってるね』で終わってしまうかもしれない。競技の状況を臨場感ある形で伝えることにより、より長い時間滞在してもらうことができる。CTFの可視化は世界的なトレンドになっており、SECCONはその発信源の1つになっている」という。
事実、DEFCONで開催されたCyber Grand Challangeでもマシン同士の攻防がビジュアルに可視化されていた。また海外から参加したチームの中には、NIRVANA改SECCONカスタムに触発され、自身が地元でオーガナイズするCTFで可視化に取り組むところもあるそうだ。
では、現実のセキュリティ対策に、こうした可視化ツールはどう貢献するのだろうか。中には「ピコピコ画面が動くだけで、本当にセキュリティ対策の役に立つの?」と疑問を抱く人がいるかもしれない。しかし、セキュリティ対策を推進するには、技術者のみならず関わる人全ての理解が必要だ。その“アウェアネス”を高める上で、「可視化は大きな力になる」と井上氏は述べる。
「セキュリティ管理者にとって、どのようにトップマネジメント層のアウェアネスを高め、理解を得るかは大きな課題になっている。『アラートが1万件来ています』と言うだけなのと、こうした形でリアルタイムに攻撃が来ているのを見せるのとでは、分かりやすさ、伝わりやすさがまるで違う」(井上氏)
可視化の仕組みは、セキュリティオペレーションの現場でも力を発揮する場面はありそうだ。ちらっと見ただけで「いつもと違うな」と分かれば、その分、初動対応が迅速になる。「可視化によってセキュリティオペレーションを楽にしたい。誰にでも状況がぱっと分かるようになれば、運用担当でセキュリティの専門知識がない人でも(異常を踏まえてエスカレーションするなど)活躍してもらうことができる」(同氏)
井上氏によると、人間の視覚情報処理能力はまだAIなどでは追い付けない部分が多いそうだ。そのような「直感で分かる部分」にこだわって、NIRVANA改をはじめ、セキュリティ可視化システムの開発を続けていくという。
セキュリティ強化に向け、CTFが果たす役割は?
5年前はまだ漠然とした不安に過ぎなかったが、さまざまなサイバー上の脅威が具体化し、多くの官公庁や企業が被害に遭うにつれ、「セキュリティ対策、特にセキュリティ人材育成が喫緊の課題」と言われるようになった。その中で、CTFはどんな役割を果たせるのだろうか?
SECCON 2016 決勝大会と同時に行われたセッション「世代別! なぜセキュリティエンジニアはセキュリティを志す(した)のか?」では、そんな本質的な疑問が掘り下げられた。
そもそも前提として、本当にセキュリティ人材育成は必要なのか。あちこちで「○○万人不足」と言われるが、本当に足りないのか。そんな疑問に対し、SECCON実行委員でCTF for GIRLSをオーガナイズしてきたNTTセキュアプラットフォーム研究所 中島明日香氏は「人材育成という言葉ばかり一人歩きしているかもしれない」と指摘する。同じく実行委員のサイボウズ 伊藤彰嗣氏も、「セキュリティ人材と言われるものの理想像にずれがあるかもしれない」と述べた。
そもそもCTFはセキュリティ人材育成に必要なのか、セキュリティを高めていく上で何の役に立つのだろうか? 中島氏は「CTFには周りと競う、ゲーミフィケーション的な要素が含まれている。熱中していくうちに技術が身に付くものだと考えている」と述べた。さらに、海外のCTF大会では、優秀な成績を収めた学生がスキルを評価され、リクルートされるなど、本人のキャリアにプラスになっているという。
また、「コンピュータサイエンスを学ぶ場としてのCTFはアリだ」(中島氏)。伊藤氏によると、「バッファオーバーフローという言葉は知っていても、どういう動きをするかが分からない、メモリ構造を知らないという人もいる。そうしたことを学ぶ場は別途必要だと思うが、学んだことを使う場としてCTFが活用できる」と述べた。
さらにSECCON実行委委員会の事務局長で、数々のCTFに携わってきた園田道夫氏は、受験のテクニックと同じようにCTFにも特有の解法があり、勝つことを追求するならば別のスキルが必要になることに触れつつも、「バックグラウンドを備えていないと応用力も付かない。コンピュータサイエンスを知らないとCTFでは勝てない」と述べ、土台としての役割があるだろうと述べた。
日立システムズの本川祐治氏は、「CTFだけでやっていてもコミュニケーション能力が身に付かない」といった指摘について触れた。同氏はかつて、DEFCON CTFを見学した際、その場でいきなりあるチームから「これちょっと手伝って」と頼まれ、タスクをアサインされた経験があるそうだ。
本川氏は、「DEFCONをはじめ、多くのCTFはチーム戦。ゆえにチーム力がないと勝てない。勝ち進むチームは、チームのマネジャーがきちんとリソースを割り振り、マネジメントし、各プレイヤーも報告するといった部分がきちんとできている」と述べ、CTFを戦うことで、コミュニケーション能力や戦術・戦略も磨かれることに言及した。こうした優れたチームは、今度はCTFのオーガナイザーとして引き抜かれることもある。
さて、このように個々のスキルを磨く意味でCTFは有効だとして、ではその個人が所属する組織や、社会に対してはどうだろうか。中島氏は「CTFの問題を解くことが新しい価値を生み出せるようになれば、それが一番良く、皆が幸せになれるのではないか」と述べ、例えば競技に用いられた攻撃コードのデータセットをセキュリティ研究に役立てたり、CTFネットワークでさまざまなセキュリティ製品を検証するといった形で、さまざまな還元があり得るのではないかと述べた。
富士通/IPA(情報処理推進機構)の佳山こうせつ氏は、「CTFのゲームを設計するときに、きちんと価値を生む設計にしていくのはありではないか」とし、同時に、「CTFやそこで育つ人材の価値を、人事など会社の他の部署に伝える橋渡し的人材も必要である」と述べた。「次世代を応援し、会社としての数字も上げながら中長期的に人材を育成する裁量を持てるよう、セキュリティ分野の人ももっと出世すべき」(佳山氏)。
これを受けて伊藤氏は「技術部門以外のいろいろな部署に行って、一緒に仕事をしてみるのも面白いかもしれない」と述べた。同氏は、社内で改ざん対策について考える際、CTFの問題を1つの題材にし、法務や監査などの担当者と「こんな問題があるので、会社として対策を考えましょう」と議論したことがあるという。その経験を踏まえ「技術を持っている人が持っていない人と一緒に考えることも大事」と述べた。
また本川氏は、IoTや制御システムのセキュリティが叫ばれるようになった昨今、「しばしばサイバーセキュリティ側の人から、製造系・制御系に橋渡ししてほしい、と言われるが、実際には逆に、制御系のことを知っている人にサイバーセキュリティ側に来てほしい」と述べ、コミュニティーの広がりが必要なことを示唆した。
こうした動きを示すかのようにSECCONの内容も広がりを見せ続けている。CTFを1つの手段、1つのきっかけとし、今後ますます、さまざまな人々の交流や新たな化学反応が生まれることに期待したい。
Copyright © ITmedia, Inc. All Rights Reserved.