情報危機管理コンテストで考える――人材は育てるもの? それとも育つもの?:セキュリティ・アディッショナルタイム(17)(3/3 ページ)
さまざまなセキュリティインシデントに対応する能力をコンテスト形式で鍛える「第12回情報危機管理コンテスト」の決勝戦が、2017年5月25〜27日に和歌山県田辺市で開催された。競技シナリオにもない脆弱(ぜいじゃく)性を見つけたチームあり、意識的に初参加者を加えたチームあり、これまでのコンテストの枠を超えた戦いが繰り広げられた。
報告に課題が残る
このように、総じて技術はもちろん、チームマネジメントに関しても参加チームは年々成熟を見せている。1つだけ惜しい点を挙げるとすれば、報告やトラブルチケットのプロセスだろう。
各チームは競技終了後に、誰が何にどのように対処したかをまとめる「トラブルチケット」を提出することになっており、その内容も評価に加味される。だが全般に記述が薄く、時刻を記さないまま提出されたチケットもあった。中には、障害対応を優先して証拠となる不正なファイルをバックアップも取らずに消してしまった結果、原因究明ができなくなり、見当違いの原因を報告したチームもあったという。
実際のインシデントレスポンスにおいて、証拠もなしに報告することはできないし、分からないことは分からない、と正直に伝える必要がある。今回のコンテストを通して各チームとも、時系列に沿った記録と事実に基づいた報告の重要性を体験したのではないだろうか。もちろん、今後の学習や訓練次第で解決できる課題だと期待したい。
前日の準備から始まり、2日間にまたがる競技を終えた参加者には疲れも見えたが、「本当に勉強になった」「できればシスコシステムズの実機を使ってネットワーク設定や運用をもっと知りたい」「和歌山大の学生さんや他の大学の参加者とも交流して、自分たちなりの演習もやってみたい」と、前向きな言葉が出ていた。
人を育てるために、「育てる側」はどうあるべきか
世耕大臣が指摘した通り、セキュリティ人材の育成は引き続き課題とされている。同時に「人を育てる人」を育てる必要もあるだろう。川橋氏は、「スポーツでもそうだが、やはり指導者の力も重要だ。教える側の層が厚くならなければ人は育たない」と述べている。川橋研究室で劇団を経験した卒業生の中には、早くもIT企業で教える側に立っているエンジニアもいるそうだ。「うまく考え方を伝えるために手を替え品を替え教えることで、自分もまた勉強になる」(川橋氏)
コンテストに出場した各大学・高専の取り組みにも、学ぶところは大いにありそうだ。例えば経済産業大臣賞を受賞した木更津高専のYone-laboのメンバーは、全員10代。子どもの頃からITに慣れ親しんできた学生だけでなく、入学後に本格的にCプログラミングを始めたメンバーもいるというが、大学生・大学院生に引けを取らないスキルと落ち着いた対応ぶりを見せた。
木更津高専は、「高専 情報セキュリティ人材育成事業」において関東の拠点校に指定されている。木更津高専 情報工学科の准教授、米村恵一氏は、こうした背景もあり、「セキュリティに興味を持つ学生を募って、自由にサーバやネットワーク機器に触れられる環境を整えてきた」そうだ。4台のXeon搭載サーバ上にDockerでさまざまな環境を構築し、シスコシステムズのルータやスイッチといった機材を複数用意。さらに、同高専の卒業生でもある村上純一氏をはじめ、複数のセキュリティ専門家を学外から招いて特別講義を行い、マルウェア解析手法などを学んできたという。
こんなふうに米村研究室に出入りし、あれこれ試しては楽しむメンバーの何人かが情報危機管理コンテストに参加した。「事前に合宿を行って、日本年金機構の情報漏えい事件など、過去に発生したトラブルと同じ環境を再現して、どんな原因があったのかを検証しようとした。実際には環境構築がなかなかうまくいかなかったが、そこであれこれ試行錯誤した経験が役に立った」と学生の1人は振り返っている。
コンテストで主に電話対応や記録を担っていた望月雄太氏は、競技が行われた当日夜、ぎりぎりまで全国高等専門学校プログラミングコンテスト(高専プロコン)の課題に取り組んでいた。「セキュリティは、自分の興味と社会の必要性が合致する分野だと考えている。どちらかというと設計など上流工程の方が好きだし、向いていると思うので、技術を突き詰めるというよりも、エンジニアと周囲とをつなぐ役割を果たしたい」と述べていた。
参加者はその時々で異なるが、米村研究室に出入りしている学生の何人かは危機管理コンテストや高専プロコンの他に、トラブルシューティングコンテストにも参加し、腕を磨いているという。米村氏は、「こんな姿を見て、周囲の学生たちにも興味を持ってもらい、『自分もやってみたいな』と思ってもらえれば」と期待しているそうだ。
意識的に初参加者をチームに加える
第1回からずっと連続出場を果たし、文部科学大臣賞に輝いた関西大学のKobaIPSは、総合情報学部の小林孝史准教授の研究室を母体にしている。特筆すべきなのは、「勝ち」を狙って選抜メンバーでチームを構成することも可能な中、あえて、経験者1人と初参加者3人という組み合わせで複数のチームを作り、技術やノウハウを継承しながら競技に取り組んできたことだ。
小林研究室では過去の参加経験を踏まえ、勉強会やインシデントレスポンス大会などを実施してさまざまなシナリオへの対応力を養ってきた。さらに、こうしたコンテストに向けた取り組みとは別に、研究室のシステムを学生自身の手で運用管理することでもスキルを身に付けているという。「運用しながらでないと分からないこと、手を動かさないと分からないことも多い。問題を捉え、切り分けて解決する能力をゼミで身に付けてほしいと考えている」(小林氏)
話は飛ぶが、「内部不正」の要因としてしばしば「機会」「環境」「正当化」の3つがそろうことが言われる。全く正反対の方向だが、両校の取り組みを見ていると、人材育成においては、「機会」「環境」「興味」という3要素が果たす役割が大きいのではないだろうか。
「まず技術の根っこを理解し、使えるようになった上で、新しいものを作っていってほしいと考えている。僕はそのためのチャンスとモノ(機材)を用意して、『好きなことをやってね』と言っただけ。その結果が自然と人材発掘につながっているのではないか」(米村氏)
Copyright © ITmedia, Inc. All Rights Reserved.