2016.09.27(火)

高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件

研修・セミナー・カンファレンス セミナー・イベント

セキュリティ・キャンプ実施協議会と独立行政法人情報処理推進機構(IPA)が主催し、経済産業省が共催する「セキュリティ・キャンプ中央大会2012」は、情報セキュリティのハイレベルな技術者を育成するために2004年から開催されているイベントである。

7月9日月曜日の午後5時まで、「ソフトウェア」「Webセキュリティ」「ネットワーク」「セキュアOS」の4クラス各10名の応募者を受け付けているのだが、この応募課題が「ハイレベル過ぎる」「ヤバい」と一部で話題になっているので紹介したい。

たとえば「ソフトウェア・セキュリティ・クラス」の応募課題は次のような質問ではじまる。

  質問(どちらかに○をつけてください)
  [A] Windowsを使ったことはありますか?
  [はい・いいえ]

  [B] C言語は読み書きできますか?
  [はい・いいえ]

中学生、高校生を主な対象とするイベントでC言語とはどうかと思うが、ここまではまだ高度なIT人材育成のための研修イベントとして常識の範囲内といえるだろう。しかし、

  [C] マルウェアを解析したことはありますか?
  [はい・いいえ]

この質問あたりから、マウスをスクロールする指が止まる。中学生、高校生を主な対象とするイベントの応募課題である。さらには、

  Return-Oriented Programming(ROP)に対するあなたの考えを書いてください。

とか、

  以下はあるプログラムをIDAで逆アセンブルした結果です。これを見て気付いた点について、自由に書いてください。

  ----- バイナリ
  00000BA3: EB FF C0 48 40 48 51 FF 75 08 E8 96 18 00 00 89
  00000BB3: C2 EB FF C0 48 40 48 89 D0 C9 C3 89 F6

  ----- 逆アセンブル結果
  .text:00000BA3 loc_BA3:
  .text:00000BA3 jmp short near ptr loc_BA3+1
  .text:00000BA5 db 0C0h, 48h, 40h
  .text:00000BA8 dd 75FF5148h
  .text:00000BAC db 8, 0E8h
  .text:00000BAE dd offset read-0BAEh-4
  .text:00000BB2 dw 0C289h
  .text:00000BB4 dd 48C0FFEBh, 0D0894840h, 0F689C3C9h

に至って、セキュリティ・キャンプの志の高さがあらわになってくる。なにしろ、中高校生を主な対象とするイベントの応募課題である。

Return-Oriented Programmingは、既存プログラムを拝借しコードを組み替え悪意のある動作をさせる攻撃手法であり、IDAとは、コンピュータウイルス解析などにも用いられるが、要はリバースエンジニアリングツールだ。

おそらくは、プロのシステムエンジニアでも、苦労するか、あるいは手も足も出ないようなこの課題に、果たして正解を寄せる中高生の応募者はいるのだろうか。セキュリティ・キャンプに第1回から関わり、現在講師ワーキンググループのリーダをつとめる宮本久仁男さんを訪ねた。

ちなみに宮本さんは、NTTデータに勤務しており、情報学の博士号も持っているが、「課題を全部正答するのは難しい」と明るく即答してくれた。

――誰がこの課題を作っているんですか?

応募課題は、一線で活躍する各クラスの担当講師により作成されています。セキュリティ・キャンプの目的のひとつに、日本各地に埋もれている若い才能の発掘があるんです。技術やプログラミングの才能やセンスを見極めるには、その道のプロが見ないとわからないし、通りいっぺんのことを質問してもわからないことも多いのです。このため、このような課題を提示させていただいてます。セキュリティ・キャンプは「出る杭」をもっと出させるために行うイベントです。過去のセキュリティ・キャンプでは、中学生の参加者が、大学生の参加者に技術を教えたりしていたこともありました。そういう人たちを見つけたいんです。

――セキュリティ・キャンプの参加者の平均年齢はどのくらいですか?

16~17歳くらいです。最も若い参加者は中学2年生、逆に最高齢は大学4年生がいました。

――セキュリティ・キャンプの卒業生はその後どのように活躍していますか? やはりみなさんLACのようなハードコアなセキュリティに強い会社に入って研究一筋なんでしょうか。

確かにそういう方もいらっしゃいますが、全然違うキャリアを歩んでる方もいらっしゃいます。これまでセキュリティ・キャンプは合計357名の修了生を輩出しています。理系に進学している人はもちろん多いです。また、社会に出た方は、セキュリティ企業で活躍している人もいますが全員そういう訳ではありません。むしろ、金融システムとか重要インフラに関わったりWebサービスを提供する企業、そしてユーザ企業と言われる場こそ、これからの活躍の場があるようにも思います。

――この課題に正答できないと参加できないんですか?

実は必ずしも全部正答する必要はありません。それよりも、応募されるみなさんが、わからない問題に対して、どう調べて、どう挑戦したかを見させていただいています。ガッツと努力も重要な基準です。

――セキュリティ・キャンプは、今年から長期的な目標を設定したそうですが。

近年日本でも、APTや標的型攻撃など、重要情報や国家機密に対する攻撃が対岸の火事とはいえない状況になっています。これからの日本で、国家の経済や産業を守るための人材を発掘し、コミュニティを形成し育成していくことをセキュリティ・キャンプの目標としています。第9回目を迎える今年から、運営のための集まりを組織しています。そこにソニーや日立、富士通をはじめとする民間企業が会員として参画し、運営に協力する官民連携の運営スタイルがとられています。多数の応募をお待ちしています。7月9日月曜日の午後5時まで受け付けています。
《高橋 潤哉》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. 「攻殻機動隊 REALIZE PROJECT」と「SECCON CTF for GIRLS」がコラボ(SECCON2016、JNSA)

    「攻殻機動隊 REALIZE PROJECT」と「SECCON CTF for GIRLS」がコラボ(SECCON2016、JNSA)

  2. 企業内 CSIRT 構築の勘所、内製? or 外製?…RECRUIT-CSIRTの場合

    企業内 CSIRT 構築の勘所、内製? or 外製?…RECRUIT-CSIRTの場合

  3. 標的型やランサムウェアへの対抗策を最新事例で解説、「Email Security Conference 2016」を開催(ナノオプト・メディア)

    標的型やランサムウェアへの対抗策を最新事例で解説、「Email Security Conference 2016」を開催(ナノオプト・メディア)

  4. 「CODE BLUE 2016」、新たに2つのトレーニングと3つのコンテストを公開(CODE BLUE事務局)

  5. 10回目となる「Trend Micro DIRECTION」を東京、大阪で開催(トレンドマイクロ)

  6. 自動化された攻防戦 「CGC」 が 2 億円の賞金以上に与えたインパクト

  7. Black Hat USA 2016 でプレゼンスを発揮した日本人、アーセナルで注目集めたツールたち

  8. 「PacSec 2016」を11月26~27日に開催、賞金総額は約6,700万円(PacSec)

  9. PCログオンと複合機の認証を統合、高セキュリティと利便性の両立も可能に(富士通、富士通フロンテック)

  10. [Security Days Fall 2016 開催直前インタビュー] VDI による IT ガバナンス強化で防ぐ内部犯行と、使い勝手と安全を両立するモバイル活用(ヴイエムウェア)

  11. Black Hat USA 2016 , DEFCON 24 を 128 倍楽しむ方法

  12. 「CODE BLUE 2016」の全講演が決定、全自動サイバー攻防戦CGC優勝者も登壇(CODE BLUE事務局)

  13. サイバー攻撃対策に特化した特別併催企画「サイバーセキュリティワールド2016」を新設(東京ビッグサイト)

  14. [インタビュー] 鵜飼裕司 今年の Black Hat USA 2016 注目 Briefings

  15. [レポート] セキュリティに賭するもの ~ インターポール 福森大喜氏 セキュリティ・キャンプ2016 特別講義

  16. [Black Hat USA 2014 レポート] 標的型攻撃実証ツールをBlack Hat USA 2014で公開、マクニカネットワークス セキュリティ研究センター 凌研究員

  17. 高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件

  18. CODE BLUE 第 3 回をふりかえって~ BLUE 篠田佳奈氏インタビュー

  19. [RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは? ~ タニウム社 チーフセキュリティアーキテクトに聞く

  20. [Security Days Fall 2016開催直前インタビュー] 人工知能がサイバーセキュリティにもたらすゲームチェンジ(Cylance)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★10月7日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★10月7日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×