ランサムウェアによるシステムの麻痺や外部からの不正アクセスによる個人情報漏洩といったサイバー攻撃の被害が連日のように報じられ、脅威はこれまでになく身近なものになってしまいました。企業や社会インフラを支える重要なシステムで障害が発生すると、真っ先に「サイバー攻撃のせいでは?」と疑う人も出てくるほどです。今や、セキュリティを生業にする人はもちろん、それ以外のあらゆる人にとっても、セキュリティに関する知識が求められるようになりました。
ですが長年に渡ってこびりついたイメージのせいか、「サイバーセキュリティはなんとなく難しくて怖いもの」という先入観は、まだまだ根強いようです。また、「やたらと横文字ばかりで、よくわからない」という声もちらほら聞かれます。
だからといって避けて通るのはもったいない話です。マルウェア解析や暗号のように深い知識が求められる領域があるのは確かですが、基本は、情報処理技術者試験の延長で身につく知識からスタートできます。技術に限らず、各種法令やガイドラインの動向のように、いわゆる「文系」的な学びで理解できる分野も少なくありません。そうした知識が、普段の業務に活用されたり、次のチャレンジにつながる場面は少なくないはずです。
それでもなんとなく二の足を踏んでいる方にまずお勧めしたいのが、コミュニティに参加し、共通の問題意識を持つ人たちとともに知識を身につけていく方法です。有志の手によって、特定のテーマに沿った勉強会やカンファレンス、本格的に技術を競う CTF などさまざまな場が用意されています。
こうした真面目な会はとても有用ですが、一方で「楽しみながら」学ぶことも忘れたくないものです。そんなユニークな場の一つが「アルティメットサイバーセキュリティクイズ」(UCSQ)です。2018 年に開催された第 1 回以来、コロナ禍の時期もオンラインで継続して開催され続け、7 年目を迎えました。
UCSQ は、クイズ形式でセキュリティに関する知識を競う場として企画されました。CTF のように専門的なスキルを持たなくても、頭の中にある知識だけで気軽に参加できることが特徴です。また、セキュリティを含めた IT系のイベントが首都圏に集中する中、大阪で開催されていることもユニークな点といえます。土地柄もあって、これほどたびたび笑いに包まれながら進行するイベントは珍しいのではないでしょうか。
●過去最大の参加者、最大のスポンサーを集めたUCSQ 2024
UCSQ は毎年 7 月の第二土曜日を開催日としています。2024 年 7 月 13 日には「UCSQ 2024」が、CTC(伊藤忠テクノソリューションズ)の会場提供を受け、大阪・ノースゲートビルディングのオフライン会場とオンラインのハイブリッド形式で開催されました。
コロナウイルス蔓延を受けた緊急事態宣言が解除され、一時期はオンライン開催ばかりとなっていたさまざまなイベントがリアル開催に戻っています。イベント過多の感もある中、果たしてどのくらい申し込みがあるか不安もあったそうですが、蓋を開けてみればオンライン参加 185 名、オフライン参加も 93 名と、過去最多の参加者を集めました。イベントを支えるスポンサーも 28 社、個人スポンサー 10 名と、こちらも過去最大となりました。
会場は、「セキュリティのことはまったくわかりません」と初めて足を運んだ人もいれば、その前々週に開催された「白浜シンポジウム」でも顔を合わせていたセキュリティ担当者もいる、と言った具合にバラエティに富んだ参加者でほぼ満室に。実は、その後出されるクイズのヒントとなる CM動画が流されていたのですが、会話に夢中になるあまりそちらに目が向かない……という人もいたようです。
UCSQ は、テレビで人気のクイズ番組だった「アメリカ横断ウルトラクイズ」や「パネルクイズ アタック25」などの形式を採用したクイズ大会です。
まず、スリーアウト制のマルバツクイズによるオフライン予選、および制限時間内にマルバツ形式のクイズに答えていくオンライン予選が行われ、上位 8 名と、その後の敗者復活戦を勝ち抜いた 2 名が準決勝に進みます。準決勝は、これもスリーアウト制の四択クイズで、選ばれし上位 4 名がアタック 25 形式の決勝に進む形式です。
ただ、「成績上位者の方には豪華な賞品が用意されますが、成績が振るわなかった方にも抽選で当たりが用意されています」(池田氏)と、一連のプログラム終了後の懇親会まで楽しめる仕掛けも用意されました。
●全員正解ばかりで勝ち抜きが決まらない? レベルの高い予選に
サイバーセキュリティクイズと銘打つ以上、出題内容はセキュリティに関連するものが中心ですが、時折「一般教養」も織り交ぜられます。また、これもクイズ番組でおなじみですが、ちょっとだけ綴りが違っていたり、問題の前半だけ聞いて急いで回答すると間違えてしまう「引っかけ問題」も時々含まれ、会場を盛り上げました。
オフライン予選のマルバツクイズは、「豪華賞品を獲得したいか~~~!」「おー」というかけ声でスタートしました。
参加者が黙々と問題に取り組むオンライン予選とは異なり、オフラインでは、参加者の互いの様子はもちろん、出題担当の池田氏やスタッフの顔色もうかがうことができます。「OSINTで、『この人、正解しそうだな』と思う人について行ってもいいですよ」(池田氏)というノリでクイズは進行していきました。
たとえば「情報セキュリティの CIA は、機密性・Confidentiality、完全性・Integlity、可用性・Availability である」という問題が出されると、会場からは「引っかけがあるような気がする」「スペルが違う?」という声がぼそぼそと聞こえてきました。実際、この問題の正解は「×」。Integrity の l と r の綴りが違う、というオチです。
今回の問題は、立命館大学の上原教授の監修を得て、「IPA の情報セキュリティ10大脅威、第一位のランサムウェアによる被害は、10 年連続 10 回目の選出である。○か×か」「IMAP のポート番号は 144 である。○か×か」といったスタンダードな問題が出題されていきました。
それも影響してか、数人ずつ脱落者が出ることもあるものの、全員がしっかり正解する問題が少なくありません。問いを重ねてもなかなか準決勝進出者が決まらない事態に、「少しは空気を読んで笑いを取ってもいいんですよ」「用意してきた問題がなくなっちゃうかも」と焦る場面もあったほどです。
結局、「パソコンの取扱説明書は、著作権保護の対象となる。○か×か」という、セキュリティ隣接領域の質問で人数が絞られ、最後は急遽、大阪のテーマパークや遊園地の開園日を問うご当地問題で勝ち抜けを決めていくことになるほど、レベルの高い争いになりました。
●最新の時事ネタに ChatGPT を活用した問題も盛り込んだ決勝は白熱の展開
予選を勝ち抜いた 8 名に、スポンサー各社が用意したクイズに答える敗者復活戦を勝ち抜いた 2 名を加えた 10 名による準決勝からは、少し難易度がアップしていきます。予選は、「情報セキュリティマネジメント試験」相当のレベルですが、準決勝と決勝は「情報処理安全確保支援士」相当の問題となりました。
たとえば「送信ドメイン認証の仕組みである DMARC で、認証に失敗したメッセージの処理方法を、監視のみのポリシーで導入する場合の設定はどれか。A:Observation、B:Surveillance、C:Inspection、D:None」といった具合に、より現場の設定・運用に関連した内容が問われていくことになります。
オフライン会場から準決勝に進出した方々は別室に集められ、Zoom でクイズが進行していきます。予選で敗退した参加者らは、「これならわかるよね」「意外と難しいかも」と感想をつぶやきつつ、その姿を応援しました。残念ながら準決勝の途中で敗退した参加者が戻ってきたときには、会場は健闘をたたえる拍手で包まれました。
こちらも激戦となり、新型NISA の正式名称を問う一般教養問題でも決着がつかないサドンデスを経て、A氏、たけむら氏、Nomizou氏、そして敗者復活戦から勝ち上がった Noribomb氏の四名が決勝に進出しました。2021 年に優勝した Tubasaさんも、賞品でゲットした Mac経由でオンライン参加し、準決勝に残っていましたが、ここで敗退。「今年もすごく楽しかったです」とコメントし、応援する側に回りました。
そしていよいよ運命の決勝戦です。
「TCP 53番は?」のようなベーシックな設問も含まれているのですが、早押しクイズとなるため、ベースとなる知識があっても心理的に焦ってしまったり、引っかけ問題に見事に引っかかってしまい、正解そのものは知っていても正答にならず「残念」な結果になってしまうなど、悲喜こもごもの戦いが繰り広げられました。
決勝では、コンピュータ・ネットワークに関する基本的な知識に関するものから、SBOM やアタックサーフェイスマネジメント、安全保障で求められる「クリアランス」のような、最近話題のキーワードに至るまで、まんべんなく知識を問う問題が出題されました。中には、「OpenAI が開発した人工知能システムは?」という問題もありました。実は「この問題は、ChatGPT に考えてもらいました」という時事ネタでした。
オフライン会場では、問題を監修した上原教授により、問題そのもの、そしてパネルの取り方について解説が繰り広げられるという豪華な一幕もありました。
たとえば「ネットワークのアクセス制御、ユーザーまたはデバイスが認証認可を行うときのプロトコルは 802.何?」という問題の回答は「X」ですが、「X は小文字ではなく、大文字です。横断的に決める規格は大文字にするというルールがあるんです」(上原教授)。これには会場も思わず「へぇぇー」と、まるで講義を聴くかのように納得していました。さらには、「このパネルが取られるときついよね……」と、この先の展開の先読みもしていただきました。
決勝は非常にドラマチックな、白熱した展開になりました。途中までは青のパネルの A氏が大きくリードしていたのですが、アタックチャンスを Nomizou氏がゲット。
そして「今、何問目?」という問題にも見事正解して一気にパネルをひっくり返してトップに躍り出たのです。その後、白のたけむら氏も追い上げたものの及ばず、堂々の優勝を飾ったのです。この胸熱な展開に、会場も大きくどよめきました。
「日頃の行いのせいか(笑)、運がよかったです」(Nomizou氏)
A氏は二度目の決勝進出、そして Nomizou氏やたけむら氏は昨年敗退したものの、オフライン会場で決勝の様子を見ながらエアボタンを押して「勝手に決勝戦」を楽しんでいた面々です。こんな風に、普段からこつこつ知識を身につけつつ、イベントも楽しみきろうという思いを持つことが、勝ち抜くこつなのかもしれません。
数時間に及んだ戦いの後は、これも恒例の、川口設計の川口洋氏による特別講演が行われました。川口氏は、政策研究大学院大学で発生したセキュリティインシデント対応に途中から加わり、報告書のとりまとめにも携わりました。その経験を通して、あらためて「経営」の責任をより問うべき時期に来ていると感じているそうです。
「技術的なところの課題は全体の三割で、残り七割が組織の課題です。結局、経営がその組織を作っており、この事態を招いているのではないでしょうか」(川口氏)
表彰式では、デジタルデバイスや家電、そして「おいしいもの詰め合わせ」などの豪華賞品が、上位入賞者、そして参加したものの惜しくも敗退した方の中から抽選で送られました。最後の懇親会では、今回のサプライズとして、池田氏自らチョイスしたクラフトビールが用意され、会場は大いに盛り上がりました。
今回初めて参加したセキュリティ企業の社員は「こんなに楽しいとは思いませんでした。決勝も進出したつもりで一緒にチャレンジしていました」と感想を述べていました。なお、マルバツクイズの最初に出された「CIA」については、「簡単だと思っていたら、案の定引っかかってしまいました。悔しいです」だそうです。
決勝を戦った A氏は、引っかけ問題を警戒した結果、慎重になりすぎて出遅れてしまったと振り返りました。別室で決勝を戦う間、「オフライン部屋のざわめきも聞こえてきました」といいます。ほかにもあちこちから「来年は優勝を目指したい」といったリベンジを誓う声も聞かれました。来年にぜひ期待したいところです。
また、経営層向けの問題を考えてみたり、「自分ならここを掘り下げたい」という分野を集中的に取り上げたりと、自分なりの「UCSQ」を考えてみるのも面白いかもしれません。皆さんなら、どんなクイズを考えますか?
![[インタビュー] 脆弱性を探す「バウンティハンター」を育てる、高度サイバーセキュリティ人材育成の一環 (MBSD) 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/20559.jpg)
