2016.06.28(火)

高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件

研修・セミナー・カンファレンス セミナー・イベント

セキュリティ・キャンプ実施協議会と独立行政法人情報処理推進機構(IPA)が主催し、経済産業省が共催する「セキュリティ・キャンプ中央大会2012」は、情報セキュリティのハイレベルな技術者を育成するために2004年から開催されているイベントである。

7月9日月曜日の午後5時まで、「ソフトウェア」「Webセキュリティ」「ネットワーク」「セキュアOS」の4クラス各10名の応募者を受け付けているのだが、この応募課題が「ハイレベル過ぎる」「ヤバい」と一部で話題になっているので紹介したい。

たとえば「ソフトウェア・セキュリティ・クラス」の応募課題は次のような質問ではじまる。

  質問(どちらかに○をつけてください)
  [A] Windowsを使ったことはありますか?
  [はい・いいえ]

  [B] C言語は読み書きできますか?
  [はい・いいえ]

中学生、高校生を主な対象とするイベントでC言語とはどうかと思うが、ここまではまだ高度なIT人材育成のための研修イベントとして常識の範囲内といえるだろう。しかし、

  [C] マルウェアを解析したことはありますか?
  [はい・いいえ]

この質問あたりから、マウスをスクロールする指が止まる。中学生、高校生を主な対象とするイベントの応募課題である。さらには、

  Return-Oriented Programming(ROP)に対するあなたの考えを書いてください。

とか、

  以下はあるプログラムをIDAで逆アセンブルした結果です。これを見て気付いた点について、自由に書いてください。

  ----- バイナリ
  00000BA3: EB FF C0 48 40 48 51 FF 75 08 E8 96 18 00 00 89
  00000BB3: C2 EB FF C0 48 40 48 89 D0 C9 C3 89 F6

  ----- 逆アセンブル結果
  .text:00000BA3 loc_BA3:
  .text:00000BA3 jmp short near ptr loc_BA3+1
  .text:00000BA5 db 0C0h, 48h, 40h
  .text:00000BA8 dd 75FF5148h
  .text:00000BAC db 8, 0E8h
  .text:00000BAE dd offset read-0BAEh-4
  .text:00000BB2 dw 0C289h
  .text:00000BB4 dd 48C0FFEBh, 0D0894840h, 0F689C3C9h

に至って、セキュリティ・キャンプの志の高さがあらわになってくる。なにしろ、中高校生を主な対象とするイベントの応募課題である。

Return-Oriented Programmingは、既存プログラムを拝借しコードを組み替え悪意のある動作をさせる攻撃手法であり、IDAとは、コンピュータウイルス解析などにも用いられるが、要はリバースエンジニアリングツールだ。

おそらくは、プロのシステムエンジニアでも、苦労するか、あるいは手も足も出ないようなこの課題に、果たして正解を寄せる中高生の応募者はいるのだろうか。セキュリティ・キャンプに第1回から関わり、現在講師ワーキンググループのリーダをつとめる宮本久仁男さんを訪ねた。

ちなみに宮本さんは、NTTデータに勤務しており、情報学の博士号も持っているが、「課題を全部正答するのは難しい」と明るく即答してくれた。

――誰がこの課題を作っているんですか?

応募課題は、一線で活躍する各クラスの担当講師により作成されています。セキュリティ・キャンプの目的のひとつに、日本各地に埋もれている若い才能の発掘があるんです。技術やプログラミングの才能やセンスを見極めるには、その道のプロが見ないとわからないし、通りいっぺんのことを質問してもわからないことも多いのです。このため、このような課題を提示させていただいてます。セキュリティ・キャンプは「出る杭」をもっと出させるために行うイベントです。過去のセキュリティ・キャンプでは、中学生の参加者が、大学生の参加者に技術を教えたりしていたこともありました。そういう人たちを見つけたいんです。

――セキュリティ・キャンプの参加者の平均年齢はどのくらいですか?

16~17歳くらいです。最も若い参加者は中学2年生、逆に最高齢は大学4年生がいました。

――セキュリティ・キャンプの卒業生はその後どのように活躍していますか? やはりみなさんLACのようなハードコアなセキュリティに強い会社に入って研究一筋なんでしょうか。

確かにそういう方もいらっしゃいますが、全然違うキャリアを歩んでる方もいらっしゃいます。これまでセキュリティ・キャンプは合計357名の修了生を輩出しています。理系に進学している人はもちろん多いです。また、社会に出た方は、セキュリティ企業で活躍している人もいますが全員そういう訳ではありません。むしろ、金融システムとか重要インフラに関わったりWebサービスを提供する企業、そしてユーザ企業と言われる場こそ、これからの活躍の場があるようにも思います。

――この課題に正答できないと参加できないんですか?

実は必ずしも全部正答する必要はありません。それよりも、応募されるみなさんが、わからない問題に対して、どう調べて、どう挑戦したかを見させていただいています。ガッツと努力も重要な基準です。

――セキュリティ・キャンプは、今年から長期的な目標を設定したそうですが。

近年日本でも、APTや標的型攻撃など、重要情報や国家機密に対する攻撃が対岸の火事とはいえない状況になっています。これからの日本で、国家の経済や産業を守るための人材を発掘し、コミュニティを形成し育成していくことをセキュリティ・キャンプの目標としています。第9回目を迎える今年から、運営のための集まりを組織しています。そこにソニーや日立、富士通をはじめとする民間企業が会員として参画し、運営に協力する官民連携の運営スタイルがとられています。多数の応募をお待ちしています。7月9日月曜日の午後5時まで受け付けています。
《高橋 潤哉》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. サイバーインシデント対応にはいくらかかる? 費用試算詳細とサイバーセキュリティ保険加入状況、保険料例

    サイバーインシデント対応にはいくらかかる? 費用試算詳細とサイバーセキュリティ保険加入状況、保険料例

  2. 9月23~25日、セキュリティ・ミニキャンプを広島で開催(IPA)

    9月23~25日、セキュリティ・ミニキャンプを広島で開催(IPA)

  3. ScanNetSecurity勉強会レポート:サンドボックス製品使用実感比較

    ScanNetSecurity勉強会レポート:サンドボックス製品使用実感比較

  4. セキュリティ・キャンプの参加者51名が決定、最年少は15歳(IPA)

  5. [Black Hat USA 2015] “無名”の日本のサイバーセキュリティ製品が Black Hat に挑戦するまで

  6. CTF開催、SOCオペレータとしてRSA製品を用いインシデントに迫る(EMCジャパン)

  7. 通信インフラがダウン状態でもスマホ同士をWi-Fi Direct機能を利用して接続する「スマホdeリレー」(構造計画研究所)

  8. 「セキュリティ・キャンプ全国大会2016」募集開始、世情を反映し内容も更新(IPA)

  9. [RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは? ~ タニウム社 チーフセキュリティアーキテクトに聞く

  10. [RSA Conference 2015 USA] IOC (Indicator of Compromise) は死んだのか? タニウム社 講演レポート

アクセスランキングをもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×