専門学校生向けセキュリティ競技会 MBSD Cybersecurity Challenges 2023、プレゼンの最中に起こった「事故」とは

　全国の専門学校と高等専門学校の学生を対象にしたサイバーセキュリティ競技会「MBSD Cybersecurity Challenges 2023」の最終審査会が 12 月 15 日に都内で開催された。全国 18 の学校から 55 チームがエントリーし、審査を通過した上位 10 チームが、審査員をクライアントに見立てたプレゼンテーションを行い、最終審査が実施された。

　MBSD Cybersecurity Challenges は、スーパーエンタープライズ企業を主な顧客としてサイバーセキュリティサービスを提供する、三井物産セキュアディレクション株式会社が主催するイベントで、セキュリティの仕事への興味喚起を目的としており、2016 年から毎年開催され今年で 8 回目を迎えた。

　学生に出される課題は、Web アプリケーション等のセキュリティホールを見つける脆弱性診断や、WAF（ウェブ アプリケーション ファイアウォール）の開発、セキュリティ研修コンテンツの開発、診断ツール開発などで、セキュリティ企業の業務やセキュリティ管理の現場に現実に存在する実務的課題を毎回設定しており「仕事体験」の目的もある。

　今年「MBSD Cybersecurity Challenges 2023」の課題は、Web アプリケーションの自動巡回ツール開発。特定の URL からスタートして、診断対象となる Web ページを自動で巡回し、必要な情報をリストアップする機能を持つことが最低限の機能要件とされた。

　最終審査会に参加した上位 10 チームは以下の通り。

・復活の電子遊戯部（新潟コンピュータ専門学校）
・delikitchup（情報科学専門学校）
・チーム望月（静岡産業技術専門学校）
・Bananacat（情報科学専門学校）
・あ！、どかん、どかん（日本工学院北海道専門学校）
・塞翁が馬（YIC情報ビジネス専門学校）
・ぷりてぃふぉー・UIWI（YIC情報ビジネス専門学校）
・ゴレンジャー（YIC情報ビジネス専門学校）
・X-Frame-Options（名古屋情報メディア専門学校）
・ごとうぐみ（新潟情報専門学校）

　各チームがそれぞれ 12 分間のプレゼンテーションを行い、その後、国分裕をはじめとする三井物産セキュアディレクションの技術者による質疑応答が行われた。各チームの発表の詳細は割愛するが、プレゼンテーションの最中、会場が最も盛り上がった瞬間があった。

　それは、新潟コンピュータ専門学校から参加した「復活の電子遊戯部」が、独特のユーモアのあるプレゼンを展開し、最後に仕上げとして、診断結果を閲覧できる Web ページへ誘導する QR コードを投影し、診断結果へのアクセスを会場の面々に促したときだった。QR コードを読み込んでアクセスしたページには「Error 1033」というメッセージが華麗に表示され、この想定外の「事故」「インシデント」に会場全体が興奮に包まれた。最後まで段取り通り進んだらそれはセキュリティのイベントではない、とでも言うかのように。

　プレゼン終了後、別室に移動した審査員によって審議が行われた。審査は、提出されたツールの「効果」「使いやすさ」「独自性」を基準として行われた。

　上位 3 チームのうち、第 3 位は情報科学専門学校から参加した「Bananacat（バナナキャット）」。特徴的な画像解析を行ったことと、実装が優れていた点が評価された。

　第 2 位は、YIC情報ビジネス専門学校の「塞翁が馬」。機能だけではなく、クローラを走らせるためのテストサイトをゼロから構築し、クローラによる巡回とテストサイトのアップデートを双方何度もくり返すことで完成度を高めていく開発手法も評価された。

　そして最優秀賞 第 1 位は、エラーが表示されるページへ QR コードで誘導するという失態を期せずして演じた、新潟コンピュータ専門学校の「復活の電子遊戯部」。全般的に機能が高かったことと、ユーザーインターフェースに気配りがあふれていた点が評価され最優秀となった。

　復活の電子遊戯部のメンバーは「すべて穴だらけでグダグダのプレゼンだったので、本選会場に自分たちが来てよかったのかと思っていたが、最優秀となり感無量」という受賞コメントを残した。

　サイバーセキュリティの仕事とは、事故発生や攻撃に周到に備え、細心の注意で幾重にも防御は施すものの、それを思いも寄らない手法で攻撃側から裏をかかれ、常に「想定外」のインシデントや事故に見舞われ続けるという呪われた仕事である。むしろそれがセキュリティの仕事の真骨頂だ。MBSD Cybersecurity Challenges が「用意した正解」を発表するだけの場ではなく、不確実性と直面する場になったとき企画趣旨は完遂する。

　「Error 1033」が表示されたとき「復活の電子遊戯部」のメンバーは、顔色を失うかと思いきや、むしろ笑いの神様がおりてきた芸人でもあるかのように、生き生きと笑顔で対応を行い、5 分かそこらでページの修正を完了させた。想定外に遭遇してへこむどころか逆に活気づいた彼らには確かに、将来セキュリティのプロフェッショナルとなりうる素養があったかもしれない。

　MBSD Cybersecurity Challenges は年々「採用イベント」の性格が強くなっており、近年はそれをまったく隠そうともしなくなっている（少々露骨になっている）印象があるが、企画当初の「学生にセキュリティの仕事への興味を喚起し、体験の機会とする」というコンセプトと品格はまだ生きている。

　国分裕をはじめとする審査員の質問はときに鋭利に問題点や不備を指摘するものであり、成長を促す視点があり、決して学生を接待するだけのイベントとはなっていない。

　また、三井物産セキュアディレクション取締役の神吉敏雄は、審査員審議中に行われたミニ講演で「海外では CSO は Chief Security Officer（最高セキュリティ責任者）ではなく Chief Scapegoat Officer（編集部註：セキュリティ事故が発生した際に「いけにえ＝ Scapegoat」となって責任をとらされる可哀想な役職、といった意味合い）と呼ばれている」実態を紹介し、海外ですらセキュリティに従事する者は、職掌や業務への尊敬を受けているとは言い切れず、単に企業や組織に機能として求められ存在しているに過ぎないという暗い側面を、笑い話という木馬に擬装して突きつけた。よくある、サイバーセキュリティの仕事の「良い面だけ」を若者に紹介する洗脳的イベントと一線を画した瞬間でもあった。

　もともと会社名の略称だった「MBSD」だが、MBSD Cybersecurity Challenges に参加する学生は皆、「MBSD にエントリーする」「MBSD を進める」「MBSD 間に合わない」「MBSD する」など社名がいまや「一般名称化」している。面白い現象だし、このイベントが果たした意義のひとつかもしれない。

　何よりも、先輩が作ったチームを後輩が後を継ぎ、何代にもわたって「MBSD する」チームが複数存在する。今回最優秀賞 第 1 位に輝いた「復活の電子遊戯部」は、2019 年に「電子遊戯部」として参加、2021 年には「帰ってきた電子遊戯部」として本選に出場し最優秀賞を飾った。その後さらに 2022 年に「最後の電子遊戯部」、そして今年 2023 年に「復活」し、二度目の最優秀賞に輝いた。

　こうしたケースで、卒業した先輩から後輩に受け継がれているものは単にチーム名だけにとどまることは絶対にあるまい。何人かは頭髪に白いものが混じり始めた審査員にとって、若者たちのセキュリティの切磋琢磨が時代を超えて未来に受け継がれていくさまを目撃することができるのは、きっとひそかに胸熱なのではないかと推察する。

● MBSD Cybersecurity Challenges 各年度の課題と最優秀賞チーム一覧

2016年：
　最優秀賞第 1 位： WCDI（日本工学院八王子専門学校）
　課題： SNSシステムの脆弱性を探す
　参加： 29 校、78 チーム

2017年：
　最優秀賞第 1 位： IPFactory（情報科学専門学校）
　課題： オンラインバンキングシステムの脆弱性を調査
　参加： 32 校、79 チーム

2018年：
　最優秀賞第 1 位： IPFactory（情報科学専門学校）
　課題： 攻撃を受けたWebサイトを調査
　参加： 36 校、106 チーム

2019年：
　最優秀賞第 1 位： 0xDEADBEEF（ECCコンピュータ専門学校）
　課題： WAFをセットアップし、サイバー攻撃を食い止める
　参加： 29 校、76 チーム

2020年：
　最優秀賞第 1 位： 0xDEADBEEF（ECCコンピュータ専門学校）
　課題： セキュリティ教育でWebサイトの脆弱性を改善
　参加： 83 チーム

2021年：
　最優秀賞第 1 位： 帰ってきた電子遊戯部（新潟コンピュータ専門学校）
　課題： セキュリティ内製化を支援する診断ツールを開発
　参加： 50 チーム

2022年：
　最優秀賞第 1 位： IPFactory（情報科学専門学校）
　課題： Webアプリケーションの脆弱性を発見
　参加： 105 チーム

2023年：
　最優秀賞第 1 位： 復活の電子遊戯部（新潟コンピュータ専門学校）
　課題： Webアプリケーションの巡回ツールを開発
　参加： 18 校、55 チーム