情報危機管理コンテストのここがすごい
(諸般の事情でボツになった原稿で恐縮ですが、第17回本戦を前に公開させていただきます)
IT業界はもちろん一般社会においても、サイバーセキュリティに対する関心は10年前、5年前に比べて格段に高まっています。「セキュリティについて学びたい」と考える学生さんも増えてきたようです。
それに伴って、座学だけでなく、実践を通して必要なスキルを学ぶワークショップやコンテストも、教育機関で盛んに行われるようになりました。その草分け的存在が、「サイバー犯罪に関する白浜シンポジウム」と同時に開催されている「情報危機管理コンテスト」でしょう。2022年には第17回を数え、5月27日に本戦が行われます。今回はどんな戦いが繰り広げられるのか、心から応援しています。
●インシデントレスポンスを、「お作法」も含め実践
このコンテストは、サイバー攻撃を受けたときの原因追及と対処、いわゆるインシデントレスポンスをどれだけ適切に行うかを競います。各チームは、顧客企業のITシステムの運用を担うパートナー企業の立場で、競技時間中に発生するさまざまなインシデント——Web改ざんやDDoS攻撃、脆弱性を付いた攻撃など——の原因を探り、最適と思われる対処法を実施していきます。
ここでは、システム構成を把握してログを解析し、脆弱性の有無をチェックして修正していくといった、障害対応に必要な高い技術力が求められるのはもちろん、組織の一員としてコミュニケーションを取り、情報を適切に共有し、承認を得ていくという社会人的な「プロトコル」も重要な評価項目となっています。
コンテストの運営・進行を担う和歌山大学川橋研究室の学生たちが顧客企業の担当者(CEOならぬセオさん)を演じてトラブル対応を依頼します。とはいえ、各チームから納得いく説明が得られなければ、対処にはGoサインがません。中には、セオさん側の承認を得ないまま、よかれと思って勝手に対処に突っ走るチームが現れ、「アグレッシブ」と評価されるのも風物詩の一つです。
●変わるIT環境の中で変わるもの、変わらないもの
……というコンテストの軸はずっと変わらないのですが、十年以上にわたって開催された中でIT環境は大きく激変しました。かつてはイーサネットによる有線接続がデフォルトで、サーバも物理的に用意していました。それが今や無線接続、仮想環境が当たり前、若い技術者が最初に触れるIT環境はクラウドが多数派という具合になっています。新型コロナウイルスの感染拡大に伴ってその傾向は加速し、オンラインでのコミュニケーションの比重が高まりつつあるようです。
こうした変化を受け、情報危機管理コンテストもこの2年はオンライン開催となっていました。コロナ以前の大会では、出場チームが一カ所に集まり、互いに顔をつきあわせながらああでもない、こうでもないと会話を交わしながら対処していったのですが、コロナ禍では基本的にオンライン。人間は、ちょっとした表情の変化や声音の違いから、「やばさ」を読み取ることができますが、それが困難な中で情報を整理し、優先順位を付けていくのは、社会人でも大変な作業です。そこを、Discordなどのツールをうまく使いながら補うのは、若い世代の素晴らしいところだなと感じます。
一方で気になるのが、仮想化・クラウド化が進んでブラックボックス化している部分の知識をどう身につけるかということです。環境が効率化し、コンテスト準備に必要な、機器の運搬や配線に関する職人的な技が占める比率は相対的に低下しました。コンソールを介してポチポチっと設定や監視ができること自体は素晴らしい進化なのですが、物理的なケーブリングなど「腕立て伏せ」に該当する経験がしにくくなるのも事実です。
クラウドファーストが言われる時代に、果たして「電源周りやケーブリングに関するスキルがどれだけ必要なのか」という意見にも一理あると思います。けれど、かつて飛行機の発券システムで大規模障害が発生した際、手作業のオペレーションに切り替えて事業を継続させた例が示すように、「コンピュータはどうやって動くのか」を下のレイヤも含めて理解していることが、いざというときに踏ん張れるかどうかの底力につながるんじゃないかな……というのは、インターネット老人会の一人として感じるところです。
●伸びしろばかりの参加チーム
CTFでもそうですが、回を重ねれば重ねるほど「過去問」の傾向がわかるし、「解法」も蓄積されていきます。関西大沢チームをはじめ、参加するチームの中には、研究室でノウハウやチートシートなどを共有し、ブラッシュアップしているところも珍しくありません。また、あらかじめ仮想マシンやAWS、Dockerを用いて演習環境を用意し、練習を重ねてから参加したチームまでありました。
それ以前に、普段からサイバーセキュリティの研究に携わっている学生が珍しくないことを感じます。たとえば第16回本戦に出場した名古屋工業大学チームにはIoTセキュリティに関する研究を、北陸科学技術大学院大学(JAIST)チームにはサイバーレンジ(演習環境)の研究を、千葉大学チームにはDDoS攻撃対策やSQLインジェクション対策の研究をしているメンバーが加わっている、といった具合です。また、CTFやHardeningといった、他の実践形式のコンテストへの参加経験を持つ人も参加していました。
こうした土台もあって、参加者のレベルは年々アップする一方です。情報危機管理コンテストでは5つの課題を用意し、各チームの進捗を見ながら進行していくのですが、第16回では非常に進行が早く、毎年お約束の「Web改ざんによってリダイレクトされる仕掛けになってしまった」という一つ目のシナリオは、各チームとも手際よく、ものの30分ほどで対処されていきました。ごくまれに、CTFで「全問正解」が出たりすることもありますが、情報危機管理コンテストでもそんな日が来るかもしれません。
そんな中で文部科学大臣賞を受賞したのが、京都大学のチーム「PandA5号館」でした。実は予選でも「パーフェクト」と評されていたチームです。プロコン経験はあるものの、セキュリティ系コンテストは初だったそうですが、チームワークを発揮すると言うよりも個々の能力をベースに3人のメンバーがそれぞれの車線を爆走する形で、速いペースで障害に対応していきました。「途中から、問題を説くこと自体を楽しみ過ぎちゃっていた」というコメントには、いい意味で末恐ろしさを感じます。
経済産業大臣賞を受賞したのは、JAISTの「ftp_user」です。チーム名からしてそうですが、「ガチ勢が来た」と下馬評の高かったチームで、「ログを残す」という研究室の文化を生かし、適切な対処を取っていきました。
またJPCERT/CC賞は、名工大の山本さんが受賞しました。オンライン開催ということもあって、メンバーの言うこととセオさんの言うこと、それぞれをかみ砕いて適切に伝えていくコミュニケーション面と、問題解決に取り組む雰囲気作りに苦労したそうです。「技術力とコミュニケーション、両方を兼ね備えなければいけない」という振り返りのコメントは、社会人を何年やっていても耳に痛い言葉です。
●情報機器管理コンテストのここがすごい
そんなわけで、おそらく今まさに熱戦が繰り広げられているであろう情報危機管理コンテストですが、何がいいかというと、
・気軽に失敗できる
セキュリティインシデントは、現実の環境では起きてはならないことです。ただ、万一の時にどう適切に対処するかを学ぶには、場数を踏むのが一番であるのも事実。そこで、コンテストを通して、いざというときにどんな状況に陥るかを身をもって体感し、「こうするといいんだな」「こうするとドツボにはまるんだな」と実感できるのは貴重な経験でしょう。その中からインシデント対応の時に大切な「冷静さ」や「情報の伝え方」といったAttitudeも自ずと感じ取れるように思います。
・「ベンダーシナリオ」で、普段なかなか触る機会のないツールに触れられる
セキュリティ市場にはさまざまな種類のソリューションがありますが、金額面でなかなか手が出せないものも少なくありませんが、危機管理コンテストの問題の中には「ベンダーシナリオ」として、商用ソリューションを試しながら問題解決に当たる課題が用意されています。第16回のコンテストでは、ベンダーが提供するクラウドベースのフォレンジックサービスを活用し、端末のデータの中からマルウェアの疑いのあるファイルを解析していく、という課題が用意されました。普段なかなか触れる機会のないツールを、実際に手を動かして試せるのも貴重な機会だと思います。ここから、「あ、こんな分野もあるんだ」と、興味が広がるきっかけにもなるのではないでしょうか。
・コンテストに向けた予習を通して地力が上がる
年々感じることですが、よりよい成績を目指してしっかり予習してくるチームが増えています。いろいろなOSやツールに触れ、適切な設定を知ることで、技術力は間違いなく向上します(なにせ若いのだから、伸びしろはたっぷりです)。こうして築いたベースに対し、予想外の脆弱性を突いてきたり、思わぬところに原因を仕込んだシナリオにぶつかって、「自分の足りないところ」を知ることで、さらに力を付けていくことができると思います。
といったところでしょうか。コンテストでの経験を一つの糧に、研究や仕事の中で活躍してほしいと期待しています。