長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る:AWS WAFの設定ミスや不正送金のシナリオで、現場で通じる対応力も審査
2024年も7月4〜6日に、サイバー犯罪に関する白浜シンポジウムと並行し、第19回情報危機管理コンテストの決勝戦が開催された。約20年、人材を輩出してきたコンテストは、どのような思いの下で進化し続けたのか。今後はどうなっていくのか。
セキュリティは何のために必要なのだろうか。それ自体が目的ではない。社会基盤やビジネスを安定的に動かし、誰もが安心して安全に暮らせるようにするための、重要な手段の一つといえるだろう。
この観点からいくと、セキュリティ技術だけではなく、その周辺を取り巻くさまざまなIT技術やサービスに関する知識や、仲間や関係者と連携しながらサーバを適切に運用していくスキルの重要性も、今までになく高まっている。
そんなスキルを持つ有望な学生が競い合う場が、「情報危機管理コンテスト」だ。毎年和歌山県で開催される「サイバー犯罪に関する白浜シンポジウム」と並行して開催される、学生を対象としたコンテストだ。
約20年、人材を輩出してきたコンテスト
第1回のコンテストから19年という年月の間にIT環境は大きく変化した。基盤はオンプレミス環境で動作する物理サーバから仮想サーバ、そしてクラウドへと移行し、Webアプリケーションを構成するスタックも変化している。
何より、セキュリティインシデントが発生したときの社会的影響がこれまでになく大きくなり、周囲からいっそう厳しい目が注がれるようになった。「セキュリティなんかお金の無駄」と言われたのも今や昔。サイバー攻撃が増加し、さまざまな企業、組織の被害が報じられるにつれ、サイバーセキュリティは経営課題とされ、多くの人に重要性が認識されるようになってきた。
それに伴って急務となっているのが、守る側の人材育成だ。
最近は学生の側からも「セキュリティの仕事」への関心は高まっており、セキュリティ関連の学部や研究室の志望者は以前と比べて増加しているという。また、コミュニティーに参加して知識を身に付けたり、毎週のようにさまざまな場で開催されるCTFに(Capture The Flag)参加して腕を磨いたりする姿も見掛けるようになった。
情報危機管理コンテストはこうした環境の変化を反映しつつ、常に、現実に起きている攻撃を反映しながら、トラブルシューティング能力を問う課題を用意してきた。
参加学生は3〜4人でチームを組み、架空企業のサーバ管理者としてインシデントにリアルタイムに対応していく。求められるのはログなどを読み解いてインシデントの原因を探り、適切に修正する技術的なスキルだけではない。顧客からの苦情に対応し、状況や善後策を経営層や外部の関係機関に報告して納得できるように説明して承認を得るコミュニケーション能力も問われる内容で、最後には報告書の提出も求められる。技術だけではなく、総合力が求められるコンテストだ。
デジタル技術が浸透した今、ITシステムやネットワークの裏側の仕組みを理解し、さらにセキュリティ知識や説明能力も備えたコンテスト参加者への注目度は高い。過去の参加者の中には、IT企業や事業会社のエンジニアとして活躍したり、コミュニティーで活動したりしている人材も多い。
年々高まる水準の中で、楽しみながら取り組まれた1次予選
2024年も7月4〜6日に、サイバー犯罪に関する白浜シンポジウムと並行し、「第19回情報危機管理コンテスト」の決勝戦が開催された。全国16校の大学や専門学校から参加した29チームの中から、1次予選、2次予選を経て選ばれた5チームが、ほぼ丸一日かかる決勝戦に臨んだ。
決勝戦に先立ち、1次予選では、ショッピングモール内にECサイトを構築していた宝飾店から「顧客の個人情報や扱う宝石の品質、デザインに関する情報が漏えいしてしまったが、どこをどう調査したらいいのかも分からず途方に暮れている」と相談を受けたセキュリティコンサルタントとして、原因の分析とアドバイスを行う。その内容が審査された。
この宝飾店のシステムは、ビデオ会議を通じて顧客と対話しながら販売することもできる。アプリを通して海外のバイヤーが宝石を登録し、マッチングも行えるといった複雑な、しかし昨今のWebサービスではよく見掛ける仕組みだ。そんな複雑なシステムを読み解き、考えられる侵害経路や脆弱(ぜいじゃく)性を網羅した12チームが2次予選に進むことになった。
予選の企画、審査を担当する和歌山大学システム工学部の吉廣卓哉教授は、「幾つか条件がある中で、技術的にどのような侵害方法があり得るのかだけではなく、人的に誰が情報にアクセスできるかの両面から原因を絞り込んでいかなければならない課題にしました」と述べる。そんな中でも、決勝戦に進出するチームはやはり、あり得る可能性をほぼ全て押さえた、満点に近い回答を提出してきた。
しかもそうしたチームは、技術的なポイントを押さえているだけではなく、コミュニケーション面でも高く評価できるという。「決勝戦まで進出するチームはいずれも、顧客視点で、細かなところまで配慮してアドバイスしており、社会人としても通用するほどの完成度でした」(吉廣教授)
技術面でも、またそれ以外の面でも、参加チームの水準が年々上がってきていることを実感しているという。
ただ、「あまりに問題の難易度を高くしてしまうと、新たな挑戦者は取り組みにくくなります。幾つかのツッコミどころもあえて用意し、達成感も得られるように留意しています」(和歌山大学学術情報センター、藤本章宏講師)という。関心を持った学生が壁の高さに挫折することなく、チャレンジしやすい問題作りも意識している。
参加チームの中には残念ながら1次予選で敗退してしまうところもあったが、アンケート結果を見ると「勉強になった」「楽しかった」と、予選だけでも多くの学びを得て、満足度が高いことが分かるという。
腕に覚えのあるチームが集まった決勝戦
さらに、決勝戦と同様のトラブルシューティングや電話対応をインターネット経由で行う2次予選を経て決勝戦進出チームが決定した。会場に姿を見せたのは、下記5チームだった。
| 関西大学 | kobaism |
|---|---|
| 静岡大学 | itsawayaka |
| 名古屋工業大学 | P01TERGEIST |
| 名古屋工業大学 | GH05TBUSTERS |
| 立命館大学 | Rist |
関西大学の「kobaism」は総合情報学部の小林孝史研究室のメンバーで構成されたチームだ。勝ち抜くことだけではなく、学生の知識向上を目的に先輩と後輩、コンテスト経験者と未経験者を組み合わせたチーム構成ながら、過去の知見も生かしてほぼ毎回決勝戦に顔を見せている。
また静岡大学の「itsawayaka」と名古屋工業大学の「P01TERGEIST」(ポルターガイスト)もこの数年の“常連”だ。それぞれWebセキュリティやマルウェア解析といった研究に取り組む傍ら、MWS(anti-Malware and anti-cyberattacks engineering WorkShop:マルウェアとサイバー攻撃対策研究人材育成ワークショップ)やCTF大会、そしてセキュリティ・キャンプに参加するなど、貪欲に知識を身に付けてきた。
itsawayakaは、学生がPCなどを利用する際の困り事を支援する学生サークルを母体としており、普段から相談/対応能力を培ってきた。一方、P01TERGEISTは、過去大会2回連続で「経済産業大臣賞」を受賞しており、満を持しての参加だ。そして、同じ研究室の後輩たちで構成された「GH05TBUSTERS」(ゴーストバスターズ)は、P01TERGEISTを打倒すべく、そろいのTシャツまで作成してくる気合の入れようだった。
新顔の立命館大学「Rist」は、普段からCTFやハッカソンなどに参加しているサークルを母体としたチームだ。参加メンバーはちょうど研究室が決まったばかりで、白浜シンポジウムとも縁の深い上原哲太郎教授の研究室に所属することになったという。
毎回、コンテストの運営支援と参加チームのサポートに携わり、さまざまな学生たちを見守ってきたラックの長谷川長一氏は「毎年各チームが決勝の会場入りする際は、学生さんたちのコンテストに対する緊張と期待の両方が入り交じった空気を感じています。今年は例年以上にチームワークを重視し、楽しみながら上位を目指す、というチームがそろっていたと思います」と述べ、運営側にとってもとてもやりがいを感じられるコンテストだったと振り返った。
コンテストにはもう一つ、大事なチームがある。決勝戦の企画、運営に当たる和歌山大学 川橋裕研究室の学生たちだ。
決勝戦では、参加各チームは架空会社のサーバ管理者となって次々に発生するセキュリティインシデントに対応する。その際、「劇団員」としてこの架空会社の関係者や顧客を演じるのが川橋研究室の学生たちだ。半年以上前からシナリオを練り、決勝専用の環境を構築して検証し、リハーサルを重ねるといった具合に、多くの時間と労力を費やして準備を進めてきた。
競技環境の運用も重要なタスクだ。他のセキュリティコンテストでもそうだが、環境が不安定ではそもそも競技にならない。また、あまりにとがり過ぎた問題では、解く側も納得できない。川橋研究室の学生らは、現実に即したインシデントを再現しつつ、やりがいのある競技をどう実現するかというプレッシャーにさらされてきた。
「毎年少しずつメンバーが入れ替わる中でも新しいアイデアを出し、コンテストとして成立するようなクオリティーを保つべく、マネジメントに心を砕いています」(和歌山大学 川橋裕講師)
シナリオ実現に必要な環境も複雑化しており、「今回は、ローカル環境でだけ有効なWhoisラッパーも作成しました。コンテストの環境は年々インターネットそのものに近づいているといえるかもしれません」(川橋氏)
ベンダーと川橋研究室の協力で実現された、現実に即した2つのシナリオ
決勝戦は7月5日、午前と午後それぞれ150分間ずつだった。最後に報告書をまとめ、提出するところまでがコンテストの評価対象となる。
過去のコンテストでは、企業Webサイトが改ざんを受けたり、ユーザーのなりすましが発生したり、DDoS攻撃を受けたりといったシナリオが用いられてきた。この数年はセキュリティベンダーの協力を得て、設定をより深く確認したり、サポート窓口に適切に質問を投げ掛けたりして解決に近づいていく能力を問うシナリオとなっていることが特徴だ。
午前中は、Amazon Web Services(AWS)の協力を得たシナリオ。「AWS WAF」(Web Application Firewall)、「Amazon CloudFront」の設定ミスによってWebサイトにアクセスできなくなってしまう障害の解決に取り組むことになった。現実の世界でも、担当者の設定ミスが情報漏えいや不正アクセスの糸口になってしまうインシデントは多々発生しているが、まさにそれをなぞった形だ。
一方、午後のシナリオは「金融とサイバー」をテーマに、みずほリサーチ&テクノロジーズの協力を受けて作成された。銀行の利用者がフィッシングメールにだまされてIDとパスワードを攻撃者のサイトに入力してしまい、その情報がさらに悪用されて不正送金につながる……というインシデントにいかに対応するかが問われた。
なぜ不正送金が起きたかを突き止めるだけでなく、「不正サイトのテイクダウンを警察に依頼したり、これ以上不正メールが届きにくくなるようDMARC(Domain-based Message Authentication Reporting and Conformance)などを設定したりするところまで問う内容としました」と川橋氏。プロジェクトマネジャーを務めた川橋研究室の近藤銀音さんは「過去の危機管理コンテストで出題されたシナリオとは少し毛色が違い、情報の整理が大事なシナリオになっています。悩んだ参加者の方も多かったと思います」と話した。
参加チームの動きは、川橋研究室およびラック、みずほリサーチ&テクノロジーズの協力者で構成された「CIC」(Contest Information Center)で逐一トレースされる。CICのメンバーは、何度もリハーサルを重ねたシナリオに沿って競技を進行させつつ、川橋研究室が作成した独自ツールによってログを収集し、電話対応の記録を残して審査に備えた。進捗(しんちょく)が芳しくない場合はそれとなくサポートし、円滑なコンテスト運営を支えることもあった。
川橋研究室の卒業生で、今はラックでセキュリティエンジニアとして活躍する中川慶祐氏もCICに参加し、学生らをバックアップした。「今年は初めて金融系のシナリオが登場しました。年々複雑になるシナリオを円滑に進めることができるのは、これまでの歴代運営メンバーの経験や技術力が後輩に引き継がれ、運営メンバーにおいても人材育成がなされている結果と思います」(中川氏)と、過去からの蓄積を生かしながらコンテストがさらに進化していると評価している。
より現実に近いシナリオに苦戦しながらも対応
コンテストは、各自のポジショニングから始まる。外部対応と調査といった役割分担を明確にしているチームは指示や報告がやりやすい1〜3人のフォーメーションを取る一方で、モブトラブルシューティング的に全員で意見を出し合いながら取り組むチームは4人がフラットに並んだり、1つの円を描くように集まったりと、それぞれ意思疎通しやすい形に席を取り、持参した機材やマイキーボード、ディスプレイをセッティングした。さらに、事前の準備事項に沿って環境設定を調査したり、ログを確認したりと、インシデントの発生に備えた。
10時を回り、顧客から「急にWebページが見えなくなってしまった」と電話で問い合わせが入ったことをきっかけに、いよいよ本格的な対応がスタートする。顧客にヒアリングしてどんな事象が起こっているのかを把握し、システム側ではどのようなエラーやログが出ているかを確認して原因の当たりをつけていく――。文字にすると簡単だが、フルに頭を働かさなくてはできない作業に、各チームとも取り組んでいった。
前述の通りコンテストにはベンダーが協力し、顧客サポートに当たっているAWSのエンジニアが別室に控え、各チームの質問に答える体制を用意していた。
例えば、「添付ファイルを付けた場合にエラーが出るけれど、何ででしょう?」と学生が尋ねると、「CloudFrontのエラーメッセージは確認しましたか? 他に情報はありませんか?」と逆に質問される。「ええと……」と言葉に詰まった学生は急いで部屋に戻り、あらためてコンソールに向かって情報を洗い出す――という具合に、正解そのものを伝えるのではなく、漠然とした状態の解像度を高めて問題解決に近づくように誘導していった。
この障害は、AWS WAFで一定サイズ以下のファイルをブロックするよう誤って設定してしまっていたことが原因だった。どのチームも試行錯誤を繰り返しながら正解に近づいていき、最終的には社内と連絡を取って優先順位を確認しながらAWS WAFのルールを作るというミッションを進めていった。
午後はがらりと変わって、フィッシングメールに起因する不正送金の原因を探り、対策するシナリオとなった。通報内容を基に、ログイン履歴と認証情報、データベースへのアクセスログといったさまざまなログを確認し、「不審なメールを受け取って開いてしまった」「スパムメールがばらまかれている」「なりすましアクセスによる不正送金」という複数の点をつないで、1つの線を描いていく作業に取り組んだ。
このシナリオではみずほリサーチ&テクノロジーズが協力し、銀行、そして警察当局のロールを担って報告を受け付けた。
外部報告の場合、社内で設定変更などの承認を得る場合以上に、「ステークホルダーごとにどのような情報が必要か」を踏まえて情報を出し分けていく必要がある。例えば、銀行の担当者向けならば、単純に「不正送金が起こっています」だけではなく、「被害者は誰か」「それによる被害額はいくらなのか」が重要になる。警察への届け出やテイクダウンの依頼では、こうした情報に加え、どのような罪状で届け出るかも考えなくてはならない。
いずれも学生にとってはちょっと荷の重い対応といえるが、そんな中でも各チームは、苦心しながら取り組んでいった。
さらに、パスワードの変更をはじめとする当面の被害を食い止めるための暫定的な対処に加え、DMARC導入や多要素認証の採用といった、より根本的な長期的対策も提案し、実施していった。これらの一環として、フィッシング対策協議会などの情報も参考に、顧客への告知や注意喚起をしっかり提案したチームが複数見られたことも印象的だった。
決勝進出チームともなると過去の蓄積を生かし、「SQLインジェクションへの対処が必要なのでは」「『WordPress』がやられるんじゃないか」など、あらかじめシナリオを「読んで」対応手順やチートシートを準備していたチームも多い。だが、「いきなりAWS WAFが来るとは思わなかった」と感想を述べる参加者もいたように、より現実に近い内容を前に面食らった参加者もいたようだ。
過酷な1日となったが、手を動かしながらも「大丈夫、落ち着いて確認していこう」と声を掛け合ったり、「危機管理、みんなで落ちれば怖くない!」と明るく盛り上げたりする参加者があったことも印象的だった。
多忙な中でも手を抜かず、丁寧に対応したチームが評価
このように出題がレベルアップする一方で、参加各チームも負けず劣らず高い技術とコミュニケーション能力を発揮する場となった危機管理コンテスト。過去には、問題の早期解決を優先するあまり、CEOの許可を得ることなく勇み足に走るチームもあったが、今回はそんな暴走もなく、いずれのチームも、組織の一員として適切な振る舞いを心掛けていた。
そういった水準の高さもあって、審査委員長を務めた国立情報学研究所の高倉弘喜氏は「今年は本当に差をつけがたく、悩みました」と率直に振り返った。
インシデントに対して常に素早く動き始めていたkobaismには「インスピレーション賞」が、問題解決に真剣に取り組み、設定を誤ってしまう場面もありながら粘り強く取り組んだRistに「パッション賞」が贈られた。そして、逆に設定一つ一つをしっかり確認しながら、見落としがないように進めていったGH05TBUSTERSには「クール&ワイズ賞」が贈られた。
コンテストに協力した各社からも賞が用意された。「みずほリサーチ&テクノロジーズ賞」を受賞したのはitsawayakaだ。「Webサイトに掲載する顧客向けの告知文を、ほぼ完璧な仕上がりで作成していました」(同社)。AIで作ったものが30点程度にしかならないとすれば、itsawayakaの告知文は80点を付けられるものだったという。実は最初はAIに文面を作成させたが、「これでは使い物にならない」と判断し、急いで手直ししたものだったそうだ。
「AWS賞」はGH05TBUSTERSに贈られた。画面キャプチャーなども付けて「相手に読みやすいこと」を意識した最終報告書が高く評価されての受賞だ。「どんなに技術に詳しくても、相手に伝わらなければ正しい答えは返ってきませんし、報告も伝わりません。相手に伝わるために、あともう一工夫何をすればいいのかを考えてくれました」(同社)
コンテストで唯一個人に送られる「JPCERT/CC賞」を受賞したのは、itsawayakaの齊藤遼太さんだ。コンテスト会場でも、電話でCICと連絡を取る傍ら、チームメイトに「これを調べてください」「その報告は文面でお願いします」とテキパキと指示を出す姿が印象的だったが、審査員からも「今日からでも来てほしい」と言われるほど高く評価されていた。
その齊藤さんはというと、「チームメイトの3人が与えられた役割に対して100%、120%の結果を出してくれたが故に、私の方でも新たな指示を出したり、報告書を作成したりすることができました」と、チームメンバーの功績でもあると振り返っていた。
このitsawayakaは、「文部科学大臣賞」にも輝いた。チームワークに優れ、フットワークが軽く、“ほうれんそう”もしっかり行うといった具合に、チームとして非常に高いパフォーマンスを発揮した。
そして「経済産業大臣賞」は、3年連続でP01TERGEISTが受賞し、快挙を成し遂げた。原因究明や対処といった技術的な側面と、外部のステークホルダーへの説明を合わせた総合力の高さが評価された。特に、「報告書の中で、起きたことを淡々と並べるのではなく、原因をきちんとまとめて記述していたのはこのチームだけです」と高倉氏。P01TERGEISTの山根一真さんは「丁寧に文書を作成したことが評価につながり、大変うれしく思います」と喜びを表していた。
それぞれが自分たちにできる限りの力を尽くして取り組んだコンテスト。シナリオごとに、そしてチームごとに新たな気付きや学びが得られたのではないだろうか。
約20年コンテストを運営してきた川橋氏は、次の一歩も考えているという。用意されたシナリオの中でいかにインシデントに対応し、守るかを追求するだけでなく、攻めの視点でのシナリオも作り、両面で対決し合う、というものだ。
「視点を変えることによって得られるものは大きいはずです。攻めと守り、解く側と解かれる側、両方の視点を経験することによって、さらに知見は増えていくでしょう」と川橋氏は述べ、研修と組み合わせ、両面でインシデント対応を経験できるような枠組みも検討していくとした。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
初のオンライン開催「第15回情報危機管理コンテスト」決勝戦――リモート環境で新たに気付いたセキュリティ人材育成の知見とは
2020年5月29、30日に「第15回情報危機管理コンテスト」の決勝戦が開催された。運営側は、競技、審査、その模様のライブ配信を全てオンラインで行うという初の試みに挑んだ。
令和初の情報危機管理コンテストに見る、真の対応力――理想通りにいかない環境で、理想のインシデント対応に近づくには?
インシデント対応に備え、さまざまな手順やツールを整え始めた企業は多いことだろう。だが、全てを担当者の思い通りに制御できる環境はない。さまざまな制約や初見の機器といった、「アンコントロール」な環境の中でこそ、真の対応力が問われることになる。
「無知の知」から本当の「知」へ――学生らが多面的な問題解決能力を競った「第13回情報危機管理コンテスト」
2018年5月24〜26日に行われた「第22回サイバー犯罪に関する白浜シンポジウム」と併催の「第13回情報危機管理コンテスト」決勝戦では、23校35チームの中から予選を勝ち抜いた5チームが、技術だけでなくコミュニケーション能力も含めた総合的な解決力を競った。