まるで成長しない社員向け、ユニークな教育プラン続出 ~ オンラインでも強い印象を残した「MBSD Cybersecurity Challenges 2020」 | ScanNetSecurity
2021.04.22(木)

まるで成長しない社員向け、ユニークな教育プラン続出 ~ オンラインでも強い印象を残した「MBSD Cybersecurity Challenges 2020」

5 回目となった「MBSD Cybersecurity Challenges 2020」では、脆弱性診断やフォレンジックを取り上げてきたこれまでの回とはがらりと異なる内容となった。テーマはずばり「教育」だ。

研修・セミナー・カンファレンス セミナー・イベント
●意外や意外、今年の課題は「セキュリティ教育」

 専門学校生や高等専門学校生を対象としたコンテスト「MBSD Cybersecurity Challenges」は、情報セキュリティに興味を持ってもらい、ひいてはセキュリティ業界の入り口に立ってもらうことを目的としたコンテストだ。学生たちはセキュリティ専門会社のコンサルタントの立場になって、脆弱なWebサイトを運用する顧客企業からのさまざまな「相談」に答えてきた。

 毎回新たな方向性を打ち出してきたコンテストだが、5 回目となった「MBSD Cybersecurity Challenges 2020」では、脆弱性診断フォレンジックを取り上げてきたこれまでの回とはがらりと異なる内容となった。テーマはずばり「教育」だ。

 設定はこんな感じだ。とあるWebサイトの運営会社は脆弱性を指摘され、昨年のコンテストのテーマともなったWebアプリケーションファイアウォール(WAF)も導入するなど、さまざまな対策に取り組んだ。にもかかわらず、依然として脆弱性はなくならない。そこでこの会社の社長は気付いた。問題はセキュリティリテラシーの低さだーー。

 そこで各チームに「社員教育のためのプランを提案して欲しい」という依頼が入った。さて、皆さんはどのように社員のセキュリティリテラシー向上のための教育プランを立てるだろうかーーというのが、今回の課題だ。

 ご存じの通り世の中は新型コロナウイルスの影響で様変わりし、専門学校・高等専門学校も少なからぬ影響を受けた。その中でも過去問を参照し、脆弱性の詳細や対策方法について学んでいたであろう学生たちにとっては意外な課題だったかもしれない。それでも全国 21 校から 83 チームがエントリーし、思い思いの教育プランを提出した。そして、提出物の内容を審査する一次審査を通過した 10 チームが、2020 年 12 月 17 日に開催されたオンライン最終審査会に出場した。

●オンラインでも印象深いプレゼンテーションを展開した 10 チーム

 トップバッターは「0xDEADBEEF」(ECCコンピュータ専門学校)。Webサイトの開発・運用に関わるエンジニアをターゲットに、「セキュアアプリケーション開発運用研修」を提案した。HTTP をはじめとする Web の基礎知識に始まり、OWASP Top 10 に挙げられるような主要なWebアプリケーションの脆弱性の原因と影響、対策方法、そしてセキュア開発ライフサイクルや各工程の開発方法に学ぶという隙のない構成を通して、エンジニアのセキュリティ意識の改善を図る方法を提案した。

 「Zone」(日本工学院北海道専門学校)は、管理職やプロジェクトマネージャーを対象に、Emotet をはじめとする最近の脅威や個人情報の取り扱いに関するセキュリティリテラシーの向上を図るプログラムを提案。e-ラーニング形式のテストを実施し、結果に応じて「社内資格」を与えてモチベーション向上につなげるというアイデアも盛り込まれた。

 「非の呼吸 ファイアウォール」(静岡産業技術専門学校)は、チーム名からも分かるとおり、人気漫画のネタをいろいろと盛り込みながら、実際の事例を自社の環境に置き換えて原因と影響を検討する教育プログラムを用意した。セキュリティインシデントを自分事として考えながらセキュリティに関する知識と意識、危機感を持たせ、ひいては「俺は俺の責務を全うする」という責任感の醸成を支援するという。

 「おさかなのくに」(東京電子専門学校)は、座学とリスク分析をテーマにしたグループワークを組み合わせた教育を提案した。WAF に関する技術的な解説に加え、セキュリティゲーム「セキュ狼」を実施してチームワークを高め、人的・組織的な対応力を高めていく意図だ。プログラムの最後に AI による採点を取り入れた確認テストが含まれていたり、セミナーの合間にストレッチの時間を設けるといったちょっとしたアイデアが審査員にも強い印象を与えていたようだ。

 「カメジョ」(日本工学院北海道専門学校)は、Webエンジニアを対象にした座学と確認テストに加え、Docker と OWASP Juice Shop を用いた疑似環境を用意し、攻撃の手口を体験してもらうという教育プログラムを提案した。自分のサイトを攻撃者として見ることによって、弱点を知り、リテラシーの向上につなげていくという、現実のセキュリティ教育にも通じる内容だ。

 「†CC_RAST†」(日本電子専門学校)は、「脆弱性診断の内製化」が解決策になると指摘し、そのために必要なセキュアなWebアプリの開発の研修を提案した。代表的な脆弱性の解説に加え、OWASP ZAP を用いたWebアプリケーション診断を自力で行えるようにすることで、セキュリティ意識や知識の向上を図るだけでなくコスト削減にもつながると、経営層を意識した提案を行っていた点が印象的だった。

 「センスオブセンス」(創造社デザイン専門学校)が提案したのは、基本的なセキュリティリテラシーに関する教育プログラムだが、ボーカロイドを使ったプレゼンテーションで参加者を驚かせた。また、ただの学習ではなくノベルゲーム形式を取り入れるなど、「コンテンツを早送りして学習をサボらせない」「楽しくわかりやすく学習できる」といった工夫を凝らしていた。

 「セキュリティなんもわからん」(麻生情報ビジネス専門学校)は、広く社員にソーシャルエンジニアリングや標的型メール攻撃の手法と対策を教えるというもの。再学習を通して習熟度を上げていくアプローチを提案した。また付録として、スクリーンセーバーの設定方法、アカウントの管理方法、ファイルの暗号化方法などをまとめた「個人でできるセキュリティ対策手順書」を用意し、基本的なセキュリティ意識と対策の強化を支援するパッケージにした。

 セキュリティ教育のはずが、突然、「『バンコク旅行すごろく』を始めましょう」という出だしに驚かされたのが「ふしぎなポッケ」(HAL東京)のプレゼンテーションだ。まず旅行すごろくで、海外旅行で遭遇するさまざまなトラブルを想定し、それぞれに応じた「ガードカード」を作っておくとゴールまで無事にたどり着けることを示す。そして同じアプローチが情報セキュリティにも言えると説明し、情報漏洩やクレジットカードの不正利用といったさまざまなトラブルが発生する「情報セキュリティすごろく」で上がりを目指すためにどんな対策が必要かを考えていくーーという内容だ。すごろくを通して、「セキュリティを強化することで安全、安心に暮らしていくことができる、つまり幸せに生きていくための重要な手段である」ことを認識してもらう、非常にユニークな内容だった。

 最後は「失踪者」(新潟コンピュータ専門学校)で、気付きを得るための個人ワーク、その気付きや疑問点を共有して格差を埋めるためのグループワーク、最後にその内容を的確にまとめて伝える発表の 3 つの段階を通して、インシデントの可能性に気づき、対処方法を考えていくプログラムを提案した。ディスカッションを通して、新しい脅威や脆弱性情報が発生した際に積極的に情報を共有できる環境を整え、セキュリティレベルを向上する土台を作っていくというイメージだ。

最終審査会出場チーム一覧
●「誰に、何を学んでもらうか」、目的に沿った提案が鍵に

 オンラインでのプレゼンテーションが一通り修了した後、コンテンツや独創性、プレゼンテーションなどの観点から評価を行い、入賞チームが決定した。

 三位は、「非の呼吸 ファイアウォール」。今回のコンテスト参加を通してさまざまな考え方や工夫が出て、インスピレーションが得られたという。代表者は「今、すごく創作意欲がわいています」と前向きなコメントを残した。

 二位には、昨年わずか 0.1 ポイント差で入賞を逃した「失踪者」が入った。「レッドチーム側の内容かな、という予想とだいぶ違って驚きましたが、どのようなものを作るかをかなり話し合って完成まで持っていき、入賞につながりうれしいです」と述べた。

 そして、何と二連覇で優勝を飾ったのは 0xDEADBEEF だった。「前日は夜中の二時、三時まで必死にコンテンツを作成しましたが、その甲斐がありました」と述べていた。

 さて、一口に教育プランといっても、「誰に、何を学んでもらい、セキュリティリテラシーの向上につなげるか」によって、用意すべきコンテンツは異なってくる。エンジニアならセキュアなWebサイトの作り方を学んでもらう必要があるだろうし、社長をはじめとする経営層ならばリスクに早期に気付き、対処するための方法論を知る必要があるだろう。

二連覇を果たし謙虚に最優秀賞受賞の思いを語る0xDEADBEEF(ECCコンピュータ専門学校)
二連覇を果たし謙虚に最優秀賞受賞の思いを語る0xDEADBEEF(ECCコンピュータ専門学校)

 今回は各チームともユニークなアイデアや視点にあふれた提案を行ったが、「Webサイトの開発に当たるエンジニア」にフォーカスした教育プランを検討したチームと、社員全体のセキュリティリテラシー向上につながる教育プランを提案したチームに大別できた。

 企画や審査に当たった MBSD の小河氏は、「多くのチームが、課題の最後にあった『社員のセキュリティリテラシーを向上させる教育プランを提案できるだろうか』という部分にフォーカスしてコンテンツを作成していたが、課題文に含まれていた『WAF の導入』や『依然として脆弱性がある』といった部分にも気付いてもらえるとさらに良かったのではないか」と述べ、それが、セキュアなWebサイト構築に関する教育を提案したチームの高評価につながったとした。

 今回の課題で言うと、「WAF を導入したにもかかわらず、まだ脆弱性が残っている」ことの原因は何なのだろうか。たとえば、設計に問題にあるのかもしれないし、セキュアコーディングに関する知識が足りないのかもしれない。あるいは、人の出入りが多くてノウハウが蓄積できない環境にあるのかもしれない。

 そんなふうにさまざまな角度から原因を掘り下げ、過去に起こった事例を探して問題点を分析・評価したり、セキュアコーディングに活用できるフレームワークを探してみたり、脆弱性を含むデモサイトを作って再現するなど、さまざまなアプローチを探ることが有用だ。あるいは、セキュアな設計に関するドキュメントを参照しながら、実際に自分自身の手で設計からやってみることも非常に大事で、「身を以て体験することで、自分自身の知識も更新できる」(小河氏)とした。

 その意味で、優勝を飾った 0xDEADBEEF は、「Webセキュリティに特化した内容ながら、77 ページにも上るボリュームがあり、技術的にもレベルの高いコンテンツだった。かなり力を入れて作成したことが審査員にも伝わった」(講評を行った洲崎氏)。そのまま開発者や運用者向けの教育コンテンツとして使えるんじゃないかと審査員に思わせるほど、クオリティが高かったという。

 それ以外にも、脆弱性を試すことのできるハンズオン環境を提案したカメジョ、すごろくという独創的なアイデアを披露した(残念ながら、セキュリティ教育受講者向けのイメージでプレゼンテーションを構成してしまい、経営者向け提案資料ではなかったことで得点をロスしてしまった)不思議なポッケなど、印象に残るチームが多々あった。

 また MBSD コンサルティング事業部長の井上氏は、コンサルティングや営業という観点から、「プレゼンは何のために行うかといえば、聞き手に行動を促すためだ。今回の課題であれば、教育サービスを買ってもらうという目的が明確になっているかどうかが審査のポイントの 1 つになった」とした。

 そして、相手の役職や年齢、経験、スキルなどを想定し、それぞれに適した説明を行うことがプレゼンテーションのポイントだとアドバイスした。たとえば、社長相手にクロスサイトスクリプティングの話をしても伝わらないだろうが、IT 部門の部長ならば理解してもらえるかもしれないーーそんな具合に聞き手を想像し、どんなメリットがあるかを伝えていくことが重要だという。ただ「これは、社会人 3 年目でもできる人がいないくらい非常に難しいこと。いつかそういう機会があったときに覚えておくと、半歩リードできるのではないか」という。

●セキュアな運用に近づく道は、常に失敗から学び、知見を蓄積すること

 小河氏は審査の時間を使って行ったミニ講演の中で、今回の課題に背景や意図を説明した。

 小河氏は普段ペネトレーションテストに携わり、さまざまな企業のセキュリティを検証してきた経験を持つ。「たとえば古いバージョンのソフトウェアを利用していたり、ファイルサーバ上に暗号化されないまま認証情報が置いてあったり単純なパスワードを使っているといった問題は非常に多く、一社だけでなくいろいろな企業で出てくる」という。

 なぜ、企業によってネットワーク構成もサーバ構成も違うのに、同じような問題が出てくるのだろうか。同氏は、「人は同じような運用をするし、その結果として同じようなミスをする。そのため、問題の本質も同じようなものになってくるのではないか」と述べた。

 小河氏はあえて「人類にとって、セキュアな運用はまだ早い」としながらも、そこで諦めてはいけないと述べた。そして、「どうすればコストをかけずにセキュアな運用ができるようになるかというと、常に失敗から学び、知見を蓄積していく必要がある」と呼びかけた。

 たとえば、認証情報が平文のままファイルサーバ上に置いてあるという問題一つとっても、「なぜそこに置いてあるのか」「なぜ平文か」といった原因をさまざまな角度から分析し、根本的な対策を取り、同じミスが繰り返されないようにするーー地道だがそうした知見の蓄積を重ねていくことが重要だという。

 ただ、何も危機意識がないとなかなか人は動かない。あるペネトレーションテストでは、顧客から「え、セキュリティアップデートって必要なんですか?」と尋ねられ、絶句した経験があるという。なぜアップデートが必要か、しないとどのようなリスクがあるのかについて教育を行い、社内ルールに反映させていく必要があるとした。

 そして最後に「今回の課題を通していろいろと経験し、勉強になったこともあれば、もっと改良できたなと反省する部分や気付きが得られたと思う。それらを知識として己の中に取り込み、いかしていってもらえれば」と呼びかけた。

●セキュリティは創造的で能動的な仕事、今回の経験を大きな糧に

 このように過去のコンテストとはがらりと趣向の異なる内容となった MBSD Cybersecurity Challenges 2020 だが、参加チームのコンテンツの質の高さには驚きを覚えた。既存のセキュリティエンジニアを超える逸材がここにいるのだーーそんな感想を抱いてしまうほどだった。

 「セキュリティの仕事に就くと、必ずどこかで教育コンテンツを作ったり説明資料を作成する仕事にぶつかることになるだろう。もしかすると講演を行うこともあるかもしれない。そうしたときに、コンテストでの経験がプラスに働いてくれれば非常にうれしい」(洲崎氏)。さらに「自分が教える側に回ると勉強になることが非常に多い。教えるためのコンテンツを作ると、自分の勉強にもなる」とし、ぜひ今後に生かして欲しいと呼びかけた。

 主に人事に携わる鳥島氏は、MBSD で多くのセキュリティ人材が活躍していることを紹介した。同僚達に「やりがい、働きがいは何か」について話を聞く中で、「やはり人の役に立ちたい、ということがセキュリティの仕事に関わることで実現できると感じ取った」という。常に新しい技術にトライできること、経験や知識を積み上げれば積み上げるほど、それを価値として仕事に活かせることにやりがいを感じる人もいるそうだ。

 MBSD の代表取締役社長、神吉氏はコンテストの冒頭挨拶において、「企業ネットワークを構築したり、アプリケーションを開発するといった IT の仕事は、あらかじめ要件が決められていて、その通りに作る仕事だと思われがちだ。しかしグローバルで見るとそうではない。IT の仕事は本来、誰かの指示を受けるのではなく、自分たちで創意工夫しながら改善を続けていくアーティストのような創造的な仕事だ」と述べた。

 世界を見渡すと、いわゆる「もの作り」の世界においても、ハードウェアではなくソフトウェアがすべてを制御する時代になりつつある。神吉氏は「ここでものを言うのは、誰かからの指示に従うのではなく、能動的に創造的に作っていく考え方だ」と指摘した。そして「皆さんにはぜひそうした仕事に携わって欲しいし、実はサイバーセキュリティの世界は、日本では数少ない創造的で能動的な仕事をやっている場所だ」とし、今回のチャレンジを機に、より興味を深めて欲しいと参加者に呼びかけた。

 一般財団法人職業教育キャリア教育財団の原田氏も「皆さんのプレゼンテーションを聞いて、非常に頼もしいなと感じた。自分たちが学習していることがいずれ必ず世の中を救うと思う。自分たちを信じてこれからも頑張ってほしい」と、力強くエールを送った。
《高橋 睦美》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×