第４４８号コラム「バグハンティングと大学でのセキュリティ人材育成」

第４４８号コラム：石井 徹哉　理事（千葉大学　副学長、大学院専門法務研究科　教授）
題：「バグハンティングと大学でのセキュリティ人材育成」

サーバやサーバアプリケーションの脆弱性について、セキュリティ上の問題を発見し、解消していくことが必要とされています。大学、とりわけ国立大学の場合、これまで比較的自由に情報ネットワーク、情報システムを構築できたため、組織的に情報セキュリティの対策がなされてこなかった経緯もあり、外部に公開しているサーバ等について多種多様な脆弱性がありうるにも関わらず、脆弱性の調査・検査を十分に実施する体制はできていない状況です。

この場合、外部機関にペネトレーションテスト等を依頼するなどして脆弱性を検査することもあります。今後この種の検査をすることも可能でしょうが、専門業者に依頼した場合の費用は、極めて高額となり、予算の厳しい国立大学にとって障壁が高いものとなっています。脆弱性を専門機関に依頼することに代え、またはこれを補完するために、企業・機関によってはバグハンティングを外部に公開し、脆弱性の発見に対して報奨金を出しているところもあります。海外の大学では、MIT  がこのような制度を設けています。ただ、日本の大学で報奨金制度 (Bounty Program) を導入することは、様々な障害が横たわっています。

予算が制約され、報奨金制度の導入も困難な大学において情報システムの脆弱性を検査する仕組みとして千葉大学で考えたのが、バグハンティングコンテストです。学生に大学の管理するサーバについて脆弱性がないか調査させて、脆弱性の検査のプロセス、サーバの安全性の評価をレポートにまとめてもらい、これを審査し、優秀者を表彰しようというものです 。優秀者の表彰、副賞の贈呈というインセンティブを付与して、コンテストという少々参加意欲をあおる形で学生を募ることで、脆弱性の検査についても一定の効果を確保しつつ、大学におけるセキュリティ人材育成のあり方を検討する契機にもなるのではないかと考えてのものです（詳細は、参加学生のブログを参照のこと）。実際に参加した学生は、63名でした。審査は、レポートによるプレゼンを重視しており、現在審査中です。

今回は、時間的制約もあったことから、導入から展開としてのコンテストまでを同時に実施しています。そのため、初心者向けの導入的な講習、コンテスト参加資格付与のための講習、テストサーバに対する脆弱性調査、実稼働しているサーバに対する脆弱性調査が一体となっています。今後の展開は、まだ未定ですが、私自身は、正規の授業として実施した上でコンテストをするのがよいのではないかと考えています。例えば、テストサーバの調査についても、今回はかなり制約された脆弱性の設定であるため、稼働しているサーバの調査も偏りが生じています。できれば、初心者向けの講習のほか、テストサーバの調査の授業をしっかりとすることで多様なアプローチができる技量を修得してもらえると、実際の脆弱性検査としてのコンテストもより充実したものになるものと考えています。

このようなものが果たして人材育成に意味があるのかということが問われるかもしれません。ただ、テストサーバであっても、例えば、クロスサイトスクリプティングを実行してハッキングできたとなれば、なにかわくわくした気持ちが起きるのではないでしょうか。私自身、学部学生の頃は、パンチカードでのプログラミングだったのに、大学院生のときUNIXアカウント付与の講習案内を偶々みて参加して、emacsなどの使い方などを教わったあと端末をいろいろ操作したとき、即時にサーバが反応を返してくるというところに非常に新鮮味があり、はまっていった覚えがあります。こうしたわくわく感からいろいろ自分であれこれ弄る学生がでてくることが実は重要ではないかと思っています。あつらえられたカリキュラムをたんたんとこなすというだけでは、セキュリティ人材の育成はないように思っています。

できれば、各大学でこのような情報セキュリティに関する事柄でわくわくするような制度、イベントが盛り上がっていかないとセキュリティ人材の底辺拡大は、進まないのではないでしょうか。

（雑感）
私は、審査員ではないですが、立場上レポートをチェックして気付いたのですが、ある脆弱性を発見した学生の手法をみると、対象とするWebアプリケーション、サーバプログラムが違うものの、やり方・発想は、私がやっていた頃とそれほど変わらないところもあるようです（詳細は、脆弱性がもれてしまうので秘匿）。

【著作権は、石井氏に属します】