ここから本文です

情報危機管理コンテストで考える――人材は育てるもの? それとも育つもの?

6/22(木) 7:55配信

@IT

 さまざまなセキュリティインシデントの経験を経て、事故前提型の対策が提唱されるようになり、いざというときに備えたプロセスや体制作りに取り組む組織が増えてきた。だが往々にしてセキュリティインシデントというものは、事前の想定範囲内には収まらず、「過去問」通りに解こうとしても、うまくいかないことの方が多い。それでも、過去問を解こうとして身に付けた知識や考え方、ものの見方は、これから未知の問題に取り組む際に役立つはずだ。

表彰式後の記念撮影

 ならば、プレッシャーがかかるものの、安心して失敗できる環境でさまざまなインシデントに対応する経験を積み、未知の問題に直面してもパニックに陥ることなく取り組むメンタルと技術的なスキル、チーム内外にまたがるコミュニケーション手法を若い技術者に学んでもらおう――こうした狙いの下、情報セキュリティ人材の育成を目指す「第12回情報危機管理コンテスト」の決勝戦が、2017年5月25日から27日にかけて和歌山県田辺市で開催された。

 「サイバー犯罪に関する白浜シンポジウム」との併催で行われるこのコンテストは、2017年で12回目を迎える。参加チームは年々増加し、今回は、学生有志が2~4人1組で構成する26チームが参加した。企業へのコンサルタント役としてセキュリティ面でのアドバイスを行う一次予選、オンラインで実施する二次予選を通過した5チームが、半日にわたる本戦に挑んだ。

 「年々、全体のレベルが向上している」と、審査委員の高倉弘喜氏(国立情報学研究所)が評価した通り、各チームとも持てるスキルをフル動員し、電話やメールで問い合わせに対応しながら「Webページが表示されない」「機密情報がWebに書き込まれている」といったインシデントに対処した。審査の結果、全員10代の学生、しかも初出場の木更津工業高等専門学校のチーム「Yone-labo」が経済産業大臣賞を受賞。技術を継承しながら第1回から参加し続けてきた常連校、関西大学の「KobaIPS」が文部科学大臣賞を受賞した。

 Yone-laboのメンバーに自ら経済産業大臣賞を手渡した世耕弘成経済産業大臣は、祝辞の中で、わが国のセキュリティにおいて「情報共有」「セキュリティ技術の開発と実装」「人材育成」の3つが課題になっていると指摘。その上で「情報危機管理コンテストは実践的対応力の育成を目指すものであり、ここでの経験を生かして我が国の情報セキュリティの屋台骨として活躍する人材になってほしい。また、ここに参加している周囲の人々はぜひそうした人材を評価し、処遇してほしい」と述べた。

●予選結果にも現れた参加校のレベルアップ

 情報危機管理コンテストの決勝戦は、一次予選、二次予選をくぐり抜けた5チームで戦う。サイバーセキュリティへの関心とともにコンテストの知名度が高まってきたこともあって、事前に「過去問」を研究し、さらには勉強会や合宿で実戦形式の練習に取り組むなど、対策に力を注いだチームもあった。

 一次予選は、スマートフォン向けアプリやWeb上で配車を依頼できるサービスを提供している企業からの相談に対し、セキュリティコンサルタントの立場に立ってアドバイスを行うという内容だった。相談内容は「誤った配車リクエストが届き、依頼された場所に行っても乗客がいないという事例が相次いでいる。アカウントの漏えいやデータの改ざんが起こっているのではないか」というもの。

 和歌山大学の吉廣卓哉氏によると、この課題の狙いの1つは、配車サービス「Uber」のようなWebサービスの浸透を踏まえ、新しい場面に遭遇した際の対応力を測ることだ。「今やサーバ管理といっても、データセンターだけでなく、さまざまなセンサーやIoTデバイス、スマートフォンなども範囲に含まれてくる。新しいWebサービスを展開する中で、システムのどこがまずいのか、どこから侵入されたかを発見できる能力が必要だ。そのために求められる知識は、アプリケーションの脆弱(ぜいじゃく)性や実装からビジネスの仕組みに至るまでと、格段に広がっている」(吉廣氏)

 吉廣氏は「2016年の一次予選で、多くの可能性を列挙したチームが通過したことを踏まえてか、各チームとも、さまざまな角度から多くの原因を列挙してきた。その意味では各チームの意気込みが見え、レベルは高くなっている」と述べた。一方で、「いろいろな可能性やシナリオを挙げるのはよいが、根拠をどのように考え、どのように優先順位を付けるのか、その判断力が問われてくる」と指摘し、知識の列挙から一段進んだ取り組みを求めたいと述べている。

 この一次予選を通過した12チームが、ブルートフォース攻撃などへのインシデント対応を測るオンラインでの二次予選に参加。その結果、勝ち抜いた5チームは、岡山大学大学院の「セキュリティ讃歌」、関西大学の「KobaIPS」、木更津工業高等専門学校の「Yone-labo」、東京大学の「eeic2017」、早稲田大学大学院の「m1z0r3_NSL」という顔ぶれになった。うちYone-laboとeeic2017は初出場だ。

●実経験を基に作成された問題に取り組み、「ハマる」ポイントを経験

 決勝戦で各チームは、ユーザー企業からシステム管理を委託されている情報システム企業の担当者として、ほぼ半日にわたる競技時間中に相次いで発生するセキュリティインシデントに対処する。Capture The Flag(CTF)とは異なり、守る立場でシステムを安定的に運用し続ける能力が問われる。

 決勝戦の内容は学生にはやや荷が重いかもしれない。顧客企業のIT担当者や社員、さらには顧客企業の顧客からの電話やメールによる問い合わせに適切に対応し、社会通念上適切なプロセスに沿って、顧客側に分かりやすく説明し、了解を得た上で作業することも求められる。たとえ技術的に正しい方法であっても独断専行で設定を変更してはいけない。障害対応と原因究明、顧客対応をバランスよく進められるかも評価ポイントの1つだ。

 会場は、和歌山県立情報交流センター「Big-U」(田辺市)の一室だ。競技前日、くじを引いた順に席を選び、チーム内の役割分担に従ってどのように陣取るかを決めるところから競技は始まる。マネジメント方法によって一列に並んだり、4人が背中合わせに座ったり……。最初は電話の音が鳴るとビクッとする参加者もあったが、熱が入ってくるにつれ、Slackで黙々と情報を共有するチームあり、皆に画面が見えるように床に座りこんで操作するチームあり、予想通りにいかず頭を抱えるチームあり、山を越えて「よっしゃ!」とハイタッチを交わすチームあり、のびのびと競技に取り組んだ。

 さて、一口にサイバー攻撃といってもさまざまな手法があり、原因や影響範囲は異なる。時には複数のレイヤーにまたがる問題が組み合わさって、思いもよらぬ経路で情報が流出したり、いったん対応したと思っても繰り返し同じ症状が発生したりする。コンテストではそんな現実を再現し、学生たちの多面的な障害分析能力を試していった。

 危機管理コンテストの発案者で、競技運営に当たる和歌山大学の川橋裕(泉裕)氏によると、今回のテーマは、「個人のリソースをターゲットにしたインフラに対する攻撃」だ。その一例が、DNSやDHCPといったインターネットのインフラを偽装してユーザーを偽のサイトに誘導するというインシデントだ。各チームは、ログやネットワーク設定を確認しながら問題を特定し、あるべき姿に戻していくという地道な作業に取り組んだ。

 イルカ漁やクジラ漁に関わりの深い和歌山県という土地柄(?)か、和歌山大学が実際に受けたDDoS攻撃の経験を反映した問題も用意された。DDoS攻撃を直接受けるのではなく、自サイトのコンテンツ参照先がDDoS攻撃を受けて二次的な被害を受けたという想定で、問題の切り分けとサービス継続のための判断力を測った。

 コンテストは、チームが競い合う形式ではあるが、教育も大きな目的の1つになっている。各チームのハマり具合を見ながら時折ヒントを出していた川橋氏は、「現場を経験し、時に失敗することで、うまい使い方や直し方を積み上げていくことができる。そこでコンテストでは安心して失敗できる環境を用意し、ハマるポイントを教えていくことで、効率よく学んでほしいと考えている。今回の問題も、自分たちの経験を門外不出にするのではなく、糧として提供したもの。ぜひこの経験や考え方を持ち帰り、周囲にも伝えてほしい」と述べている。

●進行を手助けし、総合的な対応能力を測る川橋研究室の学生たち

 コンテストでは、和歌山大学川橋研究室の学生らが大きな役割を果たしている。彼らは、ケーブリングやネットワーク機器の設置、仮想マシンの設定といったコンテスト環境の構築・運用に当たるだけでなく、競技を進行させる「劇団」としても活躍しているのだ。競技が始まると、時には顧客企業のIT担当者(または代表者「セオさん」)として、時にはその企業でアカウントを流用されてしまった社員として各チームからの電話やメールに対応し、進行を手助けする。

 彼らは、各チームとのやりとりを時刻とともにホワイトボードに書き出し、記録していく。並行して、ディスプレイに表示される各チームの入力ログを付き合わせて進捗(しんちょく)状況を把握し、「各チームがどんな仮説に立って、どんな対応を取ったか。その手段は適切だったか」を確認している。同時にかゆいところに手の届く、機転の利いた対応には「いいね」、承認を得ないままの勇み足や、見当違いの対応で障害を再発させた場合には「わるいね」を付けていき、これも評価の対象となる。

 こうした対応を適切に行うため、彼らは3月から、ゴールデンウイークも返上してコンテストの準備に当たってきた。ワークフローや想定問答集を作成し、前日も遅い時間まで入念にシミュレーションを行っていた。コンテスト用の環境は川橋研究室の仮想マシン上に構築されており、「きのくにe-ネット」経由で会場と接続している。こちらの調整も直前まで行っていた。まさに縁の下の力持ちだ。

 実は今回、川橋研究室の学生らに混じって、ラックでセキュリティ教育サービスに携わっている2人のエンジニアも「劇団」に加わり、学生チームへの対応に当たった。同社の大竹章裕氏(サイバーセキュリティ事業部 セキュリティアカデミー)は「参加者もこちらも、姿の見えない相手の腹を探り合いながら必死に競技に取り組むところが面白いと感じた。このような世界があることを知ってもらい、素質と使命感のある若い人材を見いだすという意味でも、このコンテストは非常に有用だと思う」と述べている。

 さすがに、情報危機管理コンテストの環境を企業向けに丸々用意するのは難しいという。ただ、「市場では、座学による知識の伝達だけではなく、実際に体験する、次のステップの教育が求められているように思う」と大竹氏は述べ、「事故が起こった」という想定でケースやシナリオを学ぶ演習型の教育に対するニーズの高まりに対応していきたいという。

●得意、不得意が鮮明になった決勝戦

 コンテスト決勝戦では、ファイル書き換えによるリダイレクトやWordPress REST APIの脆弱性のような、Webやアプリケーションレイヤーの問題に迅速に対応したチームが目立った。一方で、多数のチームが苦戦したのが、レイヤー2や同3のネットワークに関する知識が求められる課題だ。SYNフラグの付いたパケットに機密情報を含んだペイロードが組み込まれ、情報が外部に漏えいしてしまったインシデントへの対応には、いずれのチームも時間を要していたようだ。

 「CTFならば問題サーバにつながらないことはあまりないが、このコンテストではそういった部分に原因が潜んでいることもある」(川橋氏)

 同氏はさらに、老子の言葉になぞらえて「インターネットの仕組みは道に、道は『仕様』にのっとっている。いいことも悪いことも、仕様に載っていることしか起こらない。道理にのっとった攻撃には、道理にのっとった防御しかできない。つまり、RFCをどれだけ理解しているかが大事だ」と述べ、この経験を機に、ぜひ低いレイヤーへの理解も深めてほしいと学生に呼び掛けた。

 競技はもちろん、報告やチケット作成にも丁寧に取り組んだ岡山大学大学院のセキュリティ讃歌は、機密情報を分割してSYNパケットのペイロードに載せることで情報が抜かれる手口を、参加チームの中で唯一特定し、「ベストアナリスト賞」を受賞した。会場ではhpingコマンドを用いていた。「普段から研究室のネットワーク管理をやっていた経験が生かせたのでは」と述べている。セキュリティに携わる仕事を視野に入れて就職活動中のメンバーもいたそうで、「競技中に就活の電話がかかってきた」中での成果となった。

 早稲田大学大学院のm1z0r3_NSLは、CTF経験の豊富なチームだ。その経験もあって、「とにかく怪しいところに駆け付けるのは早かった」と評価され、「ベストリーチ賞」を受賞した。一方で、せっかく収集した情報の解釈に課題が残るという講評を受け、「きちんと伝え、報告する必要があるところがCTFとは大きく異なる。問題を解くことを優先してしまったが、正確性やコミュニケーション、連絡の重要性を認識でき、勉強になった」と振り返っている。

 東京大学のeeic2017は、WordPress REST APIの脆弱性への対応作業を十数分で完了させるという早業を見せ、「ベストアプリレイヤ賞」を受賞した。「個人でCTFやハッカソンに参加し、セキュリティに興味を持つ有志が集まって参加した。防御や初動対応を体験でき、守りと攻めの両面が分かる良い機会になった」という。メンバーの1人は「つらい時間帯もあったが楽しかった」と振り返った。

 毎回、レッドブルで乾杯するのが験担ぎになっていたという関西大学のKobaIPSは、今回はその余裕もなく競技に没頭し、受話器を握って対応しているさなかにタイムアップを迎えた。だが、「チームが険悪にならないことが目標の1つ。その意味では楽しくできてよかった」と、同チームの高岡奈央氏は述べている。同氏は、チーム全体を視野に入れて適切にコーディネーションを取っていたことが評価され、JPCERT/CC賞を受賞している。

 そして、競技シナリオにない脆弱性も見つけるなどして、総合的に高く評価されたのが木更津高専のYone-laboだった。「劇団側が電話をかける前に、チームの方から『今、ブログサイトに決算報告書が公開されていますけれど、これ、だめじゃないですか』とインシデントを報告してきたのは初の事態。問題を解決して終わりというチームが多かったが、Yone-laboの場合は、『この問題は解決したけれど、他に何か問題につながりそうな可能性はないか』をしらみつぶしに当たって、気が付いたものを報告してくる、非常にしっかりとした仕事をしていた」と高倉氏は講評した。

●報告に課題が残る

 このように、総じて技術はもちろん、チームマネジメントに関しても参加チームは年々成熟を見せている。1つだけ惜しい点を挙げるとすれば、報告やトラブルチケットのプロセスだろう。

 各チームは競技終了後に、誰が何にどのように対処したかをまとめる「トラブルチケット」を提出することになっており、その内容も評価に加味される。だが全般に記述が薄く、時刻を記さないまま提出されたチケットもあった。中には、障害対応を優先して証拠となる不正なファイルをバックアップも取らずに消してしまった結果、原因究明ができなくなり、見当違いの原因を報告したチームもあったという。

 実際のインシデントレスポンスにおいて、証拠もなしに報告することはできないし、分からないことは分からない、と正直に伝える必要がある。今回のコンテストを通して各チームとも、時系列に沿った記録と事実に基づいた報告の重要性を体験したのではないだろうか。もちろん、今後の学習や訓練次第で解決できる課題だと期待したい。

 前日の準備から始まり、2日間にまたがる競技を終えた参加者には疲れも見えたが、「本当に勉強になった」「できればシスコシステムズの実機を使ってネットワーク設定や運用をもっと知りたい」「和歌山大の学生さんや他の大学の参加者とも交流して、自分たちなりの演習もやってみたい」と、前向きな言葉が出ていた。

●人を育てるために、「育てる側」はどうあるべきか

 世耕大臣が指摘した通り、セキュリティ人材の育成は引き続き課題とされている。同時に「人を育てる人」を育てる必要もあるだろう。川橋氏は、「スポーツでもそうだが、やはり指導者の力も重要だ。教える側の層が厚くならなければ人は育たない」と述べている。川橋研究室で劇団を経験した卒業生の中には、早くもIT企業で教える側に立っているエンジニアもいるそうだ。「うまく考え方を伝えるために手を替え品を替え教えることで、自分もまた勉強になる」(川橋氏)

 コンテストに出場した各大学・高専の取り組みにも、学ぶところは大いにありそうだ。例えば経済産業大臣賞を受賞した木更津高専のYone-laboのメンバーは、全員10代。子どもの頃からITに慣れ親しんできた学生だけでなく、入学後に本格的にCプログラミングを始めたメンバーもいるというが、大学生・大学院生に引けを取らないスキルと落ち着いた対応ぶりを見せた。

 木更津高専は、「高専 情報セキュリティ人材育成事業」において関東の拠点校に指定されている。木更津高専 情報工学科の准教授、米村恵一氏は、こうした背景もあり、「セキュリティに興味を持つ学生を募って、自由にサーバやネットワーク機器に触れられる環境を整えてきた」そうだ。4台のXeon搭載サーバ上にDockerでさまざまな環境を構築し、シスコシステムズのルータやスイッチといった機材を複数用意。さらに、同高専の卒業生でもある村上純一氏をはじめ、複数のセキュリティ専門家を学外から招いて特別講義を行い、マルウェア解析手法などを学んできたという。

 こんなふうに米村研究室に出入りし、あれこれ試しては楽しむメンバーの何人かが情報危機管理コンテストに参加した。「事前に合宿を行って、日本年金機構の情報漏えい事件など、過去に発生したトラブルと同じ環境を再現して、どんな原因があったのかを検証しようとした。実際には環境構築がなかなかうまくいかなかったが、そこであれこれ試行錯誤した経験が役に立った」と学生の1人は振り返っている。

 コンテストで主に電話対応や記録を担っていた望月雄太氏は、競技が行われた当日夜、ぎりぎりまで全国高等専門学校プログラミングコンテスト(高専プロコン)の課題に取り組んでいた。「セキュリティは、自分の興味と社会の必要性が合致する分野だと考えている。どちらかというと設計など上流工程の方が好きだし、向いていると思うので、技術を突き詰めるというよりも、エンジニアと周囲とをつなぐ役割を果たしたい」と述べていた。

 参加者はその時々で異なるが、米村研究室に出入りしている学生の何人かは危機管理コンテストや高専プロコンの他に、トラブルシューティングコンテストにも参加し、腕を磨いているという。米村氏は、「こんな姿を見て、周囲の学生たちにも興味を持ってもらい、『自分もやってみたいな』と思ってもらえれば」と期待しているそうだ。

○意識的に初参加者をチームに加える

 第1回からずっと連続出場を果たし、文部科学大臣賞に輝いた関西大学のKobaIPSは、総合情報学部の小林孝史准教授の研究室を母体にしている。特筆すべきなのは、「勝ち」を狙って選抜メンバーでチームを構成することも可能な中、あえて、経験者1人と初参加者3人という組み合わせで複数のチームを作り、技術やノウハウを継承しながら競技に取り組んできたことだ。

 小林研究室では過去の参加経験を踏まえ、勉強会やインシデントレスポンス大会などを実施してさまざまなシナリオへの対応力を養ってきた。さらに、こうしたコンテストに向けた取り組みとは別に、研究室のシステムを学生自身の手で運用管理することでもスキルを身に付けているという。「運用しながらでないと分からないこと、手を動かさないと分からないことも多い。問題を捉え、切り分けて解決する能力をゼミで身に付けてほしいと考えている」(小林氏)

 話は飛ぶが、「内部不正」の要因としてしばしば「機会」「環境」「正当化」の3つがそろうことが言われる。全く正反対の方向だが、両校の取り組みを見ていると、人材育成においては、「機会」「環境」「興味」という3要素が果たす役割が大きいのではないだろうか。

 「まず技術の根っこを理解し、使えるようになった上で、新しいものを作っていってほしいと考えている。僕はそのためのチャンスとモノ(機材)を用意して、『好きなことをやってね』と言っただけ。その結果が自然と人材発掘につながっているのではないか」(米村氏)

最終更新:6/22(木) 7:55
@IT