第260号コラム:上原 哲太郎 理事
(立命館大学 情報理工学部 情報システム学科 教授)
題:「インシデント・レスポンスのための人材育成
~白浜シンポジウム併設危機管理コンテストとは~」

いきなり私事で恐縮ではありますが、私こと上原は3月末をもって総務省 情報通信国際戦略局 通信規格課 標準化推進官の職を辞し、この4月から立命館大学に採用して頂きました。こちらでは、情報理工学部情報システム学科にサイバーセキュリティ研究室という新しい研究室を立ち上げています。研究テーマには、デジタル・フォレンジックを明記しました。7月頃には学生が配属され、いよいよ活動開始する予定です。関係の皆様にもご指導ご鞭撻を賜りたく、今後ともよろしくお願いいたします。

さて、このメールマガジンでも私が担当になるたびに例年ご案内申し上げております通り、「サイバー犯罪に関する白浜シンポジウム」が今年も5月23~25日の日程で開催されます。今年は特に、例の遠隔操作ウィルス事件を意識したテーマが設定されていますので、それを中心とした話題が出るかと思います。あの事件では警察の能力、とりわけ人材の確保が課題であることが浮き彫りになりました。情報セキュリティ関係の人材育成というのは業界的にも長く問題にされてきた大きな課題の一つで、さまざまな取り組みが各所でなされていますが、デジタル・フォレンジック関係の人材育成の取り組みはそれほど多くはないのではないでしょうか。そんな中、昨年あたりは比較的関係が深い取り組みとして、CTFやそれに似た形式のコンテストが話題になりました。特に、経済産業省がCTF形式のセキュリティコンテスト「CTFチャレンジジャパン」を後推ししたことは一般マスコミにも取り上げられ、大きな話題になりました。その他、類似の取り組みとしてSECCON CTFやWASForum Hardening Projectなどのようなものがあると思います。

これらのCTFは、DEF CON CTFにインスパイアされているものが多いと思うのですが、白浜シンポジウムでも8年ほど前からちょっと毛色の違うコンテストとして「情報危機管理コンテスト」なるものを併設しておりますのでご紹介します。
http://www.riis.or.jp/symposium/vol.17/page_con01.html ※リンク切れ

情報危機管理コンテストは、もともと白浜シンポジウムの10周年企画として始められました。目標はズバリ若手技術者の育成であり、特に大学でセキュリティを専門に学ぶ学生が主なターゲットではありましたが、現実としては大学生であれば特に縛りはなく参加できるため、さまざまな専門の学生が参加しています。コンセプトとしては、企画当時から既にCTFや「セキュリティ甲子園」があり、後者は物議を醸していたことから、「警察官が多数集まる集会の併設イベントとしてできるだけ『ホワイト』なものであること」とすることに大きな労力が注がれました。結果として、現在は以下のような形式で本戦が行われています。

・eコマースシステムやWeb掲示板などのサービスを行うシステムが各チームに提供されます。またヘルプデスクとしての電話も置かれます。

・各チームは2~4名で構成され、ある企業からこのシステムの管理を委託された事業者という設定になっており、主にトラブル対応とヘルプデスクの役割を担います。

・そのシステムは、運営側であらかじめ用意したシナリオに沿ってインシデントが発生します(実際には攻撃をしかけるか、わざとシステム障害を起こしています)。インシデント発生直後に、また運営側がサービス企業やその顧客などの役割として苦情のメールや電話をかけます。

・これに対して各チームは適切に顧客対応した上でインシデントの原因を見極め、サービス企業およびサービスの顧客両方に適切な対応を行った上で、障害回復、再発防止を行います。

・運営が用意したシナリオの終了が宣言されたら、サービス企業の経営者向けの報告書(事件の概要と再発防止策がまとめられたもの)を提出させます。

・審査は、一連の顧客対応や技術対応、報告書の内容を総合して行います。

このようにして、競技参加者に不正アクセス等類似行為をさせることなく(逆に言えばその役割を運営側が全て担うことによって)コンテストが成り立つように工夫しています。詳しくは下記ページをご覧いただければと思います。
http://www.riis.or.jp/symposium/vol.17/page_con06.html

さて、このコンテスト、8年間続けてきまして感じることは、最初それほど深く考えていたわけではないのですが、結果としてインシデント・レスポンスを行うことの出来る技術者・管理者の育成を総合的に行うことのできる取り組みとなっているということです。もう少し踏み込んで申しますと、大学における情報セキュリティ人材育成は、暗号などの体系的な理論が立てやすい分野では比較的上手くいっていますが、社会的ニーズが多いはずのシステム管理やネットワーク管理、そしてインシデント・レスポンスではあまり良い策がなく、上手くいっていないと感じていたところがあります。それが、手前味噌な話ではありますがこのコンテストではたまたま上手くいっており、ここ何年かこの分野に対して「土地勘のある」学生を送り出せているのではないかという手応えを感じております。そのこともあって、前々職である京都大学では大学院向きの高度人材育成プログラムであるIT-Keys ( http://it-keys.naist.jp/ ※リンク切れ)においてこのコンテストのコンテンツを提供しております。とはいえ、IT-Keysもコンテストの準備となるインシデント・レスポンスに関する基礎的な技術を積み上げる部分が弱く、教育プログラムとしてまだブラッシュアップの余地を感じていました。そして、実はその部分の教育を含めて上手くいっているのは、このコンテストのシステムを発案し、シナリオを作成している和歌山大学の川橋裕先生の元で実際に運営に参加している川橋研の学生さんたちの活動であると思っております(本コンテストに対して毎年多大な労力をかけていただいている川橋研メンバーの皆さんの働きには本当に頭が下がります)。そこで現在所属している立命館においては、研究室においてインシデント・レスポンスに適した人材育成のあり方を考えていくつもりです。まず手始めには、来年のこの種のコンテストを見据えて活動していきますので、各コンテストに関わっておられる方がおられましたら、うちの学生たちが参加した際にはよろしくお願いいたします。

なお、人材育成には出口戦略のあり方も重要です。そのような活動の中育った学生の就職先について、当研究会の会員の皆様にもちょっとご相談させて頂きたく存じます。是非ご協力をお願いいたします…というのが、今回のコラムの一番の本音、でした。

【著作権は上原氏に属します】