全国の専門学校と高等専門学校の学生を対象にしたサイバーセキュリティ競技会「MBSD Cybersecurity Challenges 2024」の最終審査会が 12 月 12 日に都内で開催された。全国 17 の学校から 39 チームがエントリーし、審査を通過した上位 10 チームが、審査員をクライアントに見立てたプレゼンテーションを行う最終審査が実施された。
MBSD Cybersecurity Challenges(MBSDCC)は、エンタープライズ企業を主な顧客としてサイバーセキュリティサービスを提供する、三井物産セキュアディレクション株式会社(MBSD)が主催するイベントで、セキュリティの仕事への興味喚起を目的としており、2016 年から毎年開催され今年で 9 回目を迎えた。
学生に出される課題は「Web アプリケーション等のセキュリティホールを見つける脆弱性診断」や「WAF(ウェブ アプリケーション ファイアウォール)の開発」「セキュリティ研修コンテンツの開発」「診断ツール開発」などで、セキュリティ企業の業務やセキュリティ管理の現場に現実に存在する課題を毎回設定しており業務体験や職業体験の目的もある。
今年「MBSD Cybersecurity Challenges 2024」の課題は、インターネットに公開された IT 資産を発見し、脆弱性や設定ミスなどのリスクを継続的に評価するツールである ASM(Attack Surface Management)の企画・開発・実証という、昨年につづいてホビー性の低い課題である。ちなみに 39 という参加チーム数は、これまでの開催でもっとも少ない(最多は 2022 年開催の 105 チーム)。これが大手代理店が仕組むような出来レース的イベントならば参加数が少ないことでショボンとすることもあるのかもしれないが MBSDCC 会場の審査員にそんな空気は微塵も存在しなかった(その理由は後述)。
参加した学生たちは、存在すら把握できていない自社 Web サイトなどをいかに調査し管理するか、その方法を検討し、ASMツールを開発し、実証を行い、その結果を報告した。
最終審査会に参加した上位 10 チームは以下の通り(エントリー順)。
・ドルフィン(専門学校穴吹コンピュータカレッジ)
・NANANAナオキ(YIC情報ビジネス専門学校)
・not alone(YIC情報ビジネス専門学校)
・シン・電子遊戯部(新潟コンピュータ専門学校)
・電子遊戯部(1).exe [でんしゆうぎぶ かっこいち えぐぜ](新潟コンピュータ専門学校)
・NetWork Addicts(東京電子専門学校)
・Fashu HSGW [ふしゅーはせがわ](岩崎学園情報科学専門学校)
・チーム達典(東京電子専門学校)
・サンギF(静岡産業技術専門学校)
・麻生使節団(麻生情報ビジネス専門学校 福岡校)
各チームがそれぞれ 12 分間のプレゼンテーションを行い、その後、MBSD の技術者(審査員も務める)による質疑応答が行われた。
実は開催者である当の MBSD 自身が「CAAV」という SaaS 型 の ASM 製品を開発・提供もしている。それもあってか今年はとにかく質疑応答が長かった。所要時間をオーバーした学生チームはひとつもなかった一方で、審査員による質問でプレゼンのたびに 5 分ぐらいずつ質疑応答の所要時間がオーバーし、予定は少しずつ後ろ倒しになっていった。例年は、国分裕の質問に見られるような「重要なことにそれとなく気づかせる」教育的な配慮の発言が多いのだが、今年はかなり具体的な質問がプレゼンテーションごとに 4 ~ 5 件出される始末で、学生には実にいい経験になったことは間違いない。 MBSD Cybersecurity Challenges の上位入賞者には MBSD でのインターンシップが与えられる。ことと次第によってはインターンで来た際に「CAAV」の開発現場に呼ぼうという魂胆すらあったかもしれない。そんな、新しい発想を持つ若い技術者への謙虚さが感じられた。好奇心と謙虚さこそセキュリティ技術者の資質である。
おっさん技術者たちの所要時間オーバーの質疑応答の過程では MBSD の技術者が学生の発想から学ぶという瞬間も何度か見られた。毎年あるのだが今年はその回数が多かったと思う。MBSDCC 審査員は、ときにプライベートの時間を犠牲にして MBSDCC プロジェクトの進行にあたることがあるという。こうした技術を媒介とした若者とのコミュニケーションと成長こそがその犠牲への報酬であるのだろう。
上位 3 位のチームは下記の通り。
第 3 位は新潟コンピュータ専門学校から参加した「シン・電子遊戯部」。新規性のある提案が盛り込まれていた一方で誤検知や過検知への考慮がしっかりとなされていた点が評価された。
第 2 位は、静岡産業技術専門学校の「サンギF」。ツールを使った結果の説明が充分になされていた点と、ソフトウェアの設計がしっかりされており実現性が高いプロジェクトである点が評価された。
そして最優秀賞 第 1 位は、麻生情報ビジネス専門学校 福岡校の「麻生使節団」。プレゼンテーションの構成がわかりやすく伝わりやすかったことと、複数のツールを組み合わせて品質を高める努力を行ったこと、法律を含めた安全面も考慮されていた点が評価された。
上位入賞チームへの贈賞を行った三井物産セキュアディレクション株式会社 執行役員 関原 優 は「たとえ確固とした技術力があっても、それがちゃんと顧客に伝わって評価されることはすごく大事なことで、いいソフトウェアを作ってもその機能がわかってもらえなければ採用されないし、重要な脆弱性を見つけても理解してもらえないと直してもらえない。伝えることと伝わることがプロとして仕事をしていく上で重要」とコメントした。
● MBSD Cybersecurity Challenges 各年度の課題と最優秀賞チーム一覧
2016年:
最優秀賞第 1 位: WCDI(日本工学院八王子専門学校)
課題: SNSシステムの脆弱性を探す
参加: 29 校、78 チーム
2017年:
最優秀賞第 1 位: IPFactory(情報科学専門学校)
課題: オンラインバンキングシステムの脆弱性を調査
参加: 32 校、79 チーム
2018年:
最優秀賞第 1 位: IPFactory(情報科学専門学校)
課題: 攻撃を受けたWebサイトを調査
参加: 36 校、106 チーム
2019年:
最優秀賞第 1 位: 0xDEADBEEF(ECCコンピュータ専門学校)
課題: WAFをセットアップし、サイバー攻撃を食い止める
参加: 29 校、76 チーム
2020年:
最優秀賞第 1 位: 0xDEADBEEF(ECCコンピュータ専門学校)
課題: セキュリティ教育でWebサイトの脆弱性を改善
参加: 83 チーム
2021年:
最優秀賞第 1 位: 帰ってきた電子遊戯部(新潟コンピュータ専門学校)
課題: セキュリティ内製化を支援する診断ツールを開発
参加: 50 チーム
2022年:
最優秀賞第 1 位: IPFactory(情報科学専門学校)
課題: Webアプリケーションの脆弱性を発見
参加: 105 チーム
2023年:
最優秀賞第 1 位: 復活の電子遊戯部(新潟コンピュータ専門学校)
課題: Webアプリケーションの巡回ツールを開発
参加: 18 校、55 チーム
2024年:
最優秀賞第 1 位: 麻生使節団(麻生情報ビジネス専門学校 福岡校)
課題: ASM(Attack Surface Management)ツールの検討
参加: 17 校、39 チーム
![DX時代に求められるセキュリティ内製化を支援せよ ~ 学生チームが診断ツール作成にトライ [MBSD Cybersecurity Challenges 2021] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/37385.jpg)
![まるで成長しない社員向け、ユニークな教育プラン続出 ~ オンラインでも強い印象を残した [MBSD Cybersecurity Challenges 2020] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/33559.jpg)
