検索
連載

情報危機管理コンテストで考える――人材は育てるもの? それとも育つもの?セキュリティ・アディッショナルタイム(17)(2/3 ページ)

さまざまなセキュリティインシデントに対応する能力をコンテスト形式で鍛える「第12回情報危機管理コンテスト」の決勝戦が、2017年5月25〜27日に和歌山県田辺市で開催された。競技シナリオにもない脆弱(ぜいじゃく)性を見つけたチームあり、意識的に初参加者を加えたチームあり、これまでのコンテストの枠を超えた戦いが繰り広げられた。

Share
Tweet
LINE
Hatena

進行を手助けし、総合的な対応能力を測る川橋研究室の学生たち

 コンテストでは、和歌山大学川橋研究室の学生らが大きな役割を果たしている。彼らは、ケーブリングやネットワーク機器の設置、仮想マシンの設定といったコンテスト環境の構築・運用に当たるだけでなく、競技を進行させる「劇団」としても活躍しているのだ。競技が始まると、時には顧客企業のIT担当者(または代表者「セオさん」)として、時にはその企業でアカウントを流用されてしまった社員として各チームからの電話やメールに対応し、進行を手助けする。

コンテスト進行を支える和歌山大学川橋研究室の学生
コンテスト進行を支える和歌山大学川橋研究室の学生

 彼らは、各チームとのやりとりを時刻とともにホワイトボードに書き出し、記録していく。並行して、ディスプレイに表示される各チームの入力ログを付き合わせて進捗(しんちょく)状況を把握し、「各チームがどんな仮説に立って、どんな対応を取ったか。その手段は適切だったか」を確認している。同時にかゆいところに手の届く、機転の利いた対応には「いいね」、承認を得ないままの勇み足や、見当違いの対応で障害を再発させた場合には「わるいね」を付けていき、これも評価の対象となる。

前日遅い時間まで準備を進める
前日遅い時間まで準備を進める

 こうした対応を適切に行うため、彼らは3月から、ゴールデンウイークも返上してコンテストの準備に当たってきた。ワークフローや想定問答集を作成し、前日も遅い時間まで入念にシミュレーションを行っていた。コンテスト用の環境は川橋研究室の仮想マシン上に構築されており、「きのくにe-ネット」経由で会場と接続している。こちらの調整も直前まで行っていた。まさに縁の下の力持ちだ。

 実は今回、川橋研究室の学生らに混じって、ラックでセキュリティ教育サービスに携わっている2人のエンジニアも「劇団」に加わり、学生チームへの対応に当たった。同社の大竹章裕氏(サイバーセキュリティ事業部 セキュリティアカデミー)は「参加者もこちらも、姿の見えない相手の腹を探り合いながら必死に競技に取り組むところが面白いと感じた。このような世界があることを知ってもらい、素質と使命感のある若い人材を見いだすという意味でも、このコンテストは非常に有用だと思う」と述べている。

想定問答集に沿ってのシミュレーションも入念に行う
想定問答集に沿ってのシミュレーションも入念に行う

 さすがに、情報危機管理コンテストの環境を企業向けに丸々用意するのは難しいという。ただ、「市場では、座学による知識の伝達だけではなく、実際に体験する、次のステップの教育が求められているように思う」と大竹氏は述べ、「事故が起こった」という想定でケースやシナリオを学ぶ演習型の教育に対するニーズの高まりに対応していきたいという。

得意、不得意が鮮明になった決勝戦

 コンテスト決勝戦では、ファイル書き換えによるリダイレクトやWordPress REST APIの脆弱性のような、Webやアプリケーションレイヤーの問題に迅速に対応したチームが目立った。一方で、多数のチームが苦戦したのが、レイヤー2や同3のネットワークに関する知識が求められる課題だ。SYNフラグの付いたパケットに機密情報を含んだペイロードが組み込まれ、情報が外部に漏えいしてしまったインシデントへの対応には、いずれのチームも時間を要していたようだ。

 「CTFならば問題サーバにつながらないことはあまりないが、このコンテストではそういった部分に原因が潜んでいることもある」(川橋氏)

 同氏はさらに、老子の言葉になぞらえて「インターネットの仕組みは道に、道は『仕様』にのっとっている。いいことも悪いことも、仕様に載っていることしか起こらない。道理にのっとった攻撃には、道理にのっとった防御しかできない。つまり、RFCをどれだけ理解しているかが大事だ」と述べ、この経験を機に、ぜひ低いレイヤーへの理解も深めてほしいと学生に呼び掛けた。

 競技はもちろん、報告やチケット作成にも丁寧に取り組んだ岡山大学大学院のセキュリティ讃歌は、機密情報を分割してSYNパケットのペイロードに載せることで情報が抜かれる手口を、参加チームの中で唯一特定し、「ベストアナリスト賞」を受賞した。会場ではhpingコマンドを用いていた。「普段から研究室のネットワーク管理をやっていた経験が生かせたのでは」と述べている。セキュリティに携わる仕事を視野に入れて就職活動中のメンバーもいたそうで、「競技中に就活の電話がかかってきた」中での成果となった。

岡山大学大学院のセキュリティ讃歌
岡山大学大学院のセキュリティ讃歌

 早稲田大学大学院のm1z0r3_NSLは、CTF経験の豊富なチームだ。その経験もあって、「とにかく怪しいところに駆け付けるのは早かった」と評価され、「ベストリーチ賞」を受賞した。一方で、せっかく収集した情報の解釈に課題が残るという講評を受け、「きちんと伝え、報告する必要があるところがCTFとは大きく異なる。問題を解くことを優先してしまったが、正確性やコミュニケーション、連絡の重要性を認識でき、勉強になった」と振り返っている。

早稲田大学大学院のm1z0r3_NSL
早稲田大学大学院のm1z0r3_NSL

 東京大学のeeic2017は、WordPress REST APIの脆弱性への対応作業を十数分で完了させるという早業を見せ、「ベストアプリレイヤ賞」を受賞した。「個人でCTFやハッカソンに参加し、セキュリティに興味を持つ有志が集まって参加した。防御や初動対応を体験でき、守りと攻めの両面が分かる良い機会になった」という。メンバーの1人は「つらい時間帯もあったが楽しかった」と振り返った。

東京大学のeeic2017
東京大学のeeic2017

 毎回、レッドブルで乾杯するのが験担ぎになっていたという関西大学のKobaIPSは、今回はその余裕もなく競技に没頭し、受話器を握って対応しているさなかにタイムアップを迎えた。だが、「チームが険悪にならないことが目標の1つ。その意味では楽しくできてよかった」と、同チームの高岡奈央氏は述べている。同氏は、チーム全体を視野に入れて適切にコーディネーションを取っていたことが評価され、JPCERT/CC賞を受賞している。

関西大学のKobaIPS
関西大学のKobaIPS

 そして、競技シナリオにない脆弱性も見つけるなどして、総合的に高く評価されたのが木更津高専のYone-laboだった。「劇団側が電話をかける前に、チームの方から『今、ブログサイトに決算報告書が公開されていますけれど、これ、だめじゃないですか』とインシデントを報告してきたのは初の事態。問題を解決して終わりというチームが多かったが、Yone-laboの場合は、『この問題は解決したけれど、他に何か問題につながりそうな可能性はないか』をしらみつぶしに当たって、気が付いたものを報告してくる、非常にしっかりとした仕事をしていた」と高倉氏は講評した。

木更津高専のYone-labo
木更津高専のYone-labo

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  2. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  3. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  7. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  8. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  9. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  10. 「ランサムウェアに一度感染したら、身代金を払ってもまた攻撃される」のはほぼ確実? ウィズセキュア調査
ページトップに戻る