初のオンライン開催「第15回情報危機管理コンテスト」決勝戦――リモート環境で新たに気付いたセキュリティ人材育成の知見とは：セキュリティ・アディッショナルタイム（44）

2020年5月29、30日に「第15回情報危機管理コンテスト」の決勝戦が開催された。運営側は、競技、審査、その模様のライブ配信を全てオンラインで行うという初の試みに挑んだ。

[高橋睦美，＠IT]

　新型コロナウイルス感染症（COVID-19）の感染拡大に伴い、国内外のさまざまなイベントが中止や延期となったり、オンラインでの開催に変更されたりしている。毎年和歌山県白浜町で開催されてきた「サイバー犯罪に関する白浜シンポジウム」も、2020年は、8月にオンラインで開催されることになった。

　一方、守る立場に立って、コミュニケーションスキルも含めて技能を競う併催イベント「情報危機管理コンテスト」の決勝戦はというと、関係各所の協力を得て2020年5月29、30日にオンラインで無事に開催された。運営側は、競技、審査、その模様のライブ配信を全て「オンライン」で行うという初の試みに挑んだ。

和歌山大学の学術情報センターと各チームをつなぎ、例年とは異なる形で開催、運営された第15回情報危機管理コンテスト

　考えてみれば、システムトラブルもサイバー攻撃も、われわれがリモートワークであろうとなかろうとお構いなしにやってくるものだ。対面でのコミュニケーションが難しい中、チームワークを発揮し、うまく情報を共有しながらどう問題を解決に導くかは、コロナ以後の世界で非常に重要なスキルといえる。決勝戦に進出した5チームは、初の試みを通して身をもってこの難しい課題に取り組んだ。

15回と回を重ねる中でも変わらないコンテストの「軸」

　第15回を数えることになった情報危機管理コンテストだが、YouTubeで中継されたトークによると、学生らの力を生かし、白浜シンポジウムの参加者向けにインターネットコネクティビティを提供していた和歌山大学の川橋（泉）裕講師に、「10周年に当たって記念イベントをしてほしい。CTF（Capture The Flag）のようなコンテストはどうだろうか？」というアイデアが寄せられたことが始まりのきっかけだった。

　「けれど、このシンポジウムの主催者は和歌山県や和歌山県警であり、そうした立場の人が、攻撃スキルの高い人を表彰するのはいかがなものかと考えた。そこで、立場を入れ替え、われわれが攻撃を行い、参加者にそれを直してもらうコンテストを始めることになった」（川橋講師）

　その後、回を重ねるごとに新たな機軸を盛り込んだり、企画を進化させたりしてきた情報危機管理コンテストだが、決して変わらない軸がある。それは、攻撃のスキルではなくトラブルシュートの能力を競うこと。それも、適切にログを読み解き設定を変更するといった技術的なスキルだけではなく、組織の中でうまく情報を共有し、コミュニケーションを取る能力も含めた総合力を問うことだ。

　「このコンテストでは技術力やスキルだけではなく、チームワーク、そして顧客や上司といった関係者とのコミュニケーションや対応力が問われることになる。さらに、学生には大変かもしれないが、法律や常識をベースに自分たちの作業の正当性を確保する段取りを組みながら作業を進め、その記録をチケットとして残していく部分も問われる」（川橋講師）。つまり、「うちのサーバ管理チームには、ぜひこの人にいてほしい」と思えるかどうかがポイントだ。

　川橋講師はさらに、「可能であれば根本解決を図り、それが難しければその場しのぎでもいいから対応する能力が必要になる。また、シナリオにはさまざまな登場人物がいて、それらが組み合わさって動いていくので、必要に応じて自分から電話で状況を確認したり、パスワード変更を依頼したりといった対応も必要になる。角が立たないよううまく依頼する、現実さながらの能力が必要だ。シンポジウムに参加して視察する見学者には、毎回、こうしたソーシャルな部分も含めて、現実に近い、面白いコンテストだと評価していただいている」と述べた。

ヒヤヒヤでもあり楽しくもあった初のオンライン決勝戦

　今回もこの大方針は変わらないが、変わったことが1つある。毎年白浜のビッグUで行われてきた決勝戦が、オンライン開催となったのだ。

　「今回は、参加者もコロナの影響で、大学など1カ所に集まることができず、自宅などから分散参加することになり、それを支援するため、シスコシステムズのWeb会議システム『WebEx』のトレーニングモードを活用することにした。もちろん、われわれスタッフも『3密』を作ってはいけない。オンラインで分散、共有という形で運営しているが、なにぶん初めての試みなのでいろいろ苦労もある」（川橋講師）

　コンテストを毎回支えてきたのが、川橋研究室の学生たちだ。Contest Information Center（CIC）として競技環境を用意し、オペレーションを行い、時には顧客、時には上司などさまざまな役割を演じながら電話やメール越しに受け答えを行い、円滑な進行を支えてきた。このため、シナリオ作成や、「どんな問い合わせがあったらどう答えるか」というシミュレーションなど、2〜3カ月かけて準備を進めてきた。

　また競技の進行状況は、審査員が各チームの様子を間近で観察する他、トラブルシュートの状況を「株価」として反映させるチャートを作成してビジュアル化してきた。川橋研究室が独自に作成したシェルヒストリのトラッキングツールをはじめ、複数のツールを用いて、各チームが入力したコマンド1つに至るまでモニタリングし、「的確に問題を捉えて対処しているか、それとも見当違いの方向で模索しているのか」など、チームの状況を把握しており、あまりに行き詰まっている場合は「ヒント」を与えることもある。

各チームのトラブル対応状況は「株価チャート」に反映され、数値化される

　今回は、それらを全てリモートで行うことになった。

　もともと情報危機管理コンテストの2次予選はリモート開催で行われてきた。また数年前から競技環境に仮想化技術が導入され、リモートでの運用経験がゼロというわけではないし、セキュリティ人材育成プログラム「enPiT」の演習でもリモート運用に慣れてはいたそうだ。とはいえ、何かトラブルがあったときにすぐに別室に駆け付けて対処できた過去の大会とは違う。前日から綿密にチームごとの疎通確認、接続確認を実施して決勝戦に臨む形になった。

　「昔は、後ろにCICの学生がチームの様子をショルダーハックし、オペレーションルームに戻ってきて、『あのチームがこの問題の原因に気付きました』と報告していたが、今回はそれをリモートでできるようにいろいろな工夫を凝らした。WebEXを通して『各チームがどんな会話を交わしているか』が分かるようになり、チームの様子がもっと分かるようになってきたのが楽しい一面でもある」（川橋講師）

顔が見えない代わりにオンラインでの会話に耳をすませ、参加チームが「どのように仮説を立ててトラブルシュートに当たっているか」を把握するCICのメンバー

　Slackに加え、学生が「あ、これコンテストの進行に使えそう」とひらめいて採用したDiscordも駆使し、さまざまなチャネルを使って、目には見えない参加チームの様子をモニタリングし、評価するという難題に取り組んだ。

　川橋氏はさらに「確実にトラブルを起こす、攻撃を成功させるのは非常に難しい」と話す。リモート環境で確実にネットワークのトラブルを起こすには、実は高いスキルが要求される。さらに、攻撃される側の状況をあれこれ想定しながらシナリオを練り上げていくのは、非常に大変な作業だったという。

　「研究室では演習を通じて、『どうすれば攻撃を成功させてホストを乗っ取ることができるか』を学んでいるが、そこで終わらせるのではなく、そうした攻撃に対してちゃんと対処方法があり、痕跡が残ることまで教育している。正しい恐怖心を持つことこそ、正しい教育につながっていくと考えている」（川橋講師）。そして、もし興味があれば、自分たちでもこうしたコンテストを企画し、運営を通じて学んでみてほしいと呼び掛けた。

「取りあえず動けばいい」か、「トラブルの中身を分かった上での対応」か？