高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.03.28(火)

高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件

研修・セミナー・カンファレンス セミナー・イベント

セキュリティ・キャンプ実施協議会と独立行政法人情報処理推進機構(IPA)が主催し、経済産業省が共催する「セキュリティ・キャンプ中央大会2012」は、情報セキュリティのハイレベルな技術者を育成するために2004年から開催されているイベントである。

7月9日月曜日の午後5時まで、「ソフトウェア」「Webセキュリティ」「ネットワーク」「セキュアOS」の4クラス各10名の応募者を受け付けているのだが、この応募課題が「ハイレベル過ぎる」「ヤバい」と一部で話題になっているので紹介したい。

たとえば「ソフトウェア・セキュリティ・クラス」の応募課題は次のような質問ではじまる。

  質問(どちらかに○をつけてください)
  [A] Windowsを使ったことはありますか?
  [はい・いいえ]

  [B] C言語は読み書きできますか?
  [はい・いいえ]

中学生、高校生を主な対象とするイベントでC言語とはどうかと思うが、ここまではまだ高度なIT人材育成のための研修イベントとして常識の範囲内といえるだろう。しかし、

  [C] マルウェアを解析したことはありますか?
  [はい・いいえ]

この質問あたりから、マウスをスクロールする指が止まる。中学生、高校生を主な対象とするイベントの応募課題である。さらには、

  Return-Oriented Programming(ROP)に対するあなたの考えを書いてください。

とか、

  以下はあるプログラムをIDAで逆アセンブルした結果です。これを見て気付いた点について、自由に書いてください。

  ----- バイナリ
  00000BA3: EB FF C0 48 40 48 51 FF 75 08 E8 96 18 00 00 89
  00000BB3: C2 EB FF C0 48 40 48 89 D0 C9 C3 89 F6

  ----- 逆アセンブル結果
  .text:00000BA3 loc_BA3:
  .text:00000BA3 jmp short near ptr loc_BA3+1
  .text:00000BA5 db 0C0h, 48h, 40h
  .text:00000BA8 dd 75FF5148h
  .text:00000BAC db 8, 0E8h
  .text:00000BAE dd offset read-0BAEh-4
  .text:00000BB2 dw 0C289h
  .text:00000BB4 dd 48C0FFEBh, 0D0894840h, 0F689C3C9h

に至って、セキュリティ・キャンプの志の高さがあらわになってくる。なにしろ、中高校生を主な対象とするイベントの応募課題である。

Return-Oriented Programmingは、既存プログラムを拝借しコードを組み替え悪意のある動作をさせる攻撃手法であり、IDAとは、コンピュータウイルス解析などにも用いられるが、要はリバースエンジニアリングツールだ。

おそらくは、プロのシステムエンジニアでも、苦労するか、あるいは手も足も出ないようなこの課題に、果たして正解を寄せる中高生の応募者はいるのだろうか。セキュリティ・キャンプに第1回から関わり、現在講師ワーキンググループのリーダをつとめる宮本久仁男さんを訪ねた。

ちなみに宮本さんは、NTTデータに勤務しており、情報学の博士号も持っているが、「課題を全部正答するのは難しい」と明るく即答してくれた。

――誰がこの課題を作っているんですか?

応募課題は、一線で活躍する各クラスの担当講師により作成されています。セキュリティ・キャンプの目的のひとつに、日本各地に埋もれている若い才能の発掘があるんです。技術やプログラミングの才能やセンスを見極めるには、その道のプロが見ないとわからないし、通りいっぺんのことを質問してもわからないことも多いのです。このため、このような課題を提示させていただいてます。セキュリティ・キャンプは「出る杭」をもっと出させるために行うイベントです。過去のセキュリティ・キャンプでは、中学生の参加者が、大学生の参加者に技術を教えたりしていたこともありました。そういう人たちを見つけたいんです。

――セキュリティ・キャンプの参加者の平均年齢はどのくらいですか?

16~17歳くらいです。最も若い参加者は中学2年生、逆に最高齢は大学4年生がいました。

――セキュリティ・キャンプの卒業生はその後どのように活躍していますか? やはりみなさんLACのようなハードコアなセキュリティに強い会社に入って研究一筋なんでしょうか。

確かにそういう方もいらっしゃいますが、全然違うキャリアを歩んでる方もいらっしゃいます。これまでセキュリティ・キャンプは合計357名の修了生を輩出しています。理系に進学している人はもちろん多いです。また、社会に出た方は、セキュリティ企業で活躍している人もいますが全員そういう訳ではありません。むしろ、金融システムとか重要インフラに関わったりWebサービスを提供する企業、そしてユーザ企業と言われる場こそ、これからの活躍の場があるようにも思います。

――この課題に正答できないと参加できないんですか?

実は必ずしも全部正答する必要はありません。それよりも、応募されるみなさんが、わからない問題に対して、どう調べて、どう挑戦したかを見させていただいています。ガッツと努力も重要な基準です。

――セキュリティ・キャンプは、今年から長期的な目標を設定したそうですが。

近年日本でも、APTや標的型攻撃など、重要情報や国家機密に対する攻撃が対岸の火事とはいえない状況になっています。これからの日本で、国家の経済や産業を守るための人材を発掘し、コミュニティを形成し育成していくことをセキュリティ・キャンプの目標としています。第9回目を迎える今年から、運営のための集まりを組織しています。そこにソニーや日立、富士通をはじめとする民間企業が会員として参画し、運営に協力する官民連携の運営スタイルがとられています。多数の応募をお待ちしています。7月9日月曜日の午後5時まで受け付けています。
《高橋 潤哉》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

研修・セミナー・カンファレンス カテゴリの人気記事 MONTHLY ランキング

  1. [Security Days Spring 2017 インタビュー] もう闇雲に怖がらせて買わせる時代ではない(フォーティネット)

    [Security Days Spring 2017 インタビュー] もう闇雲に怖がらせて買わせる時代ではない(フォーティネット)

  2. [Security Days Spring 2017 インタビュー] 自社SIRTで培ったノウハウをソリューション導入からMSSまでワンストップに提供(NHN テコラス)

    [Security Days Spring 2017 インタビュー] 自社SIRTで培ったノウハウをソリューション導入からMSSまでワンストップに提供(NHN テコラス)

  3. 外からのサイバー攻撃と内部犯行の違いとは~内部不正対策の三要素

    外からのサイバー攻撃と内部犯行の違いとは~内部不正対策の三要素

  4. [Security Days Spring 2017 レポート] ランサムウェアの歴史と未来 - 世界最初のランサムウェアはフロッピーを郵送?(ESET)

  5. [Security Days Spring 2017 インタビュー] ユーザー視点に立ったSOCサービスで、プロバイダならではのセキュリティインテリジェンスを提供(IIJ)

  6. [Security Days Spring 2017 インタビュー] IoTを含む百万以上のエンドポイントを可視化し、脅威を自動的に検出し封じ込める「ForeScout CounterACT」(フォアスカウト・テクノロジーズ)

  7. 自動化された攻防戦 「CGC」 が 2 億円の賞金以上に与えたインパクト

  8. IoT と AI がもたらすパラダイムシフト「PDCA」から「CAPD」へ ~ 電機大 安田学長

  9. [Security Days Spring 2017 インタビュー] NIST、FISC基準に準拠したマトリクス認証「SECUREMATRIX」の新バージョン「V10」とは(シー・エス・イー)

  10. [Security Days Spring 2017 インタビュー] 2020は一からセキュリティを見直す絶好の機会(シスコシステムズ)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×