こんにちは!CTOのはせがわです。
千葉大学では、学内の情報セキュリティの向上とセキュリティ分野における人材育成の両方を目的とした「セキュリティバグハンティングコンテスト」と呼ばれるユニークな取り組みを2016年から実施しており、SSTもこれに協力していますので今回はその内容を紹介します。
千葉大学サイト
http://www.chiba-u.ac.jp/others/topics/info/41201772428_1.htmlプレスリリース(千葉大学サイト)
http://www.chiba-u.ac.jp/general/20161124secbugcon.pdf開催概要(SSTサイト)
https://www.securesky-tech.com/seminar/170804.html https://www.securesky-tech.com/seminar/161215.html
開催内容
このコンテストは、大学の管理運営するWebサイトにセキュリティに関わるバグ(すなわち脆弱性)が存在しないかどうかを学生が自分たち自身の手で調査を行い、結果をレポートにまとめて提出、優秀なレポート提出者には表彰を行うというもので、8月の開会式から1ヶ月間のコンテスト期間が設けられています。
また、2017年度(第2回)のコンテストでは千葉大学の学生だけでなく、先に開催された第12回情報危機管理コンテストで優勝した木更津高専からも4チームが特別ゲストとして参戦します。
- 関連記事(木更津工業高等専門学校サイト)
http://www.kisarazu.ac.jp/news/第12回大学対抗・情報危機管理コンテストにて優勝/
コンテスト期間中にそれぞれのチームが検査対象として定められている学内のサーバーに対して脆弱性診断を行い、見つけた脆弱性をレポートとしてまとめて提出するという形式ですが、診断に慣れていない学生でも十分に手ごたえを感じてもらえるよう脆弱性たっぷりの演習用サーバーも用意されています。
加えて、演習用サーバー以外にも学内で実際に運用されているサーバーも検査対象として含まれており、まさにコンテストを通じて脆弱性を発見することが学内のセキュリティ水準を向上させていくことに直結している取り組みになっています。
コンテストの特色
コンテストの形式自体は現在多くの企業が取り組んでいるセキュリティバグ報奨金制度をモデルにしていますが、そういった報奨金制度と大きく異なるものとして、脆弱性が見つからなかった場合であってもどういった検査を行い、何を根拠として脆弱性が発見できなかったかということもレポートに記載することで審査対象となるという点があります。 また、コンテストというルールに則ったうえで検査を行い、許可されていないサイトに不適切な攻撃行為を行わないようにするために、技術に関する講義だけではなく、刑法を専門とする石井副学長による法律・倫理の講義も受講しなければコンテスト参加のためのライセンスを授与されない等、教育機関らしい取り組みも特色です。
コンテスト参加者の多くは理工系の学生ですが、少数ながら様々な学部からの学生もコンテストに参加しています。例えば前回(第1回)入賞した園芸学部の1年生の方は「農業・漁業は多くの面でITを活用しその恩恵を受けているが、林業はまだまだITを活用できているとは言い難く、今後より広くITの活用が広がっていく中でセキュリティに対するニーズも強くなっていく」という思いのもとに参加されたということで、まさに将来を担う若者ということで非常に心強く思いました。
セキュリティ業界の未来
私個人としても、またセキュアスカイ・テクノロジーという会社としても、このように将来のセキュリティ業界を担う若者の育成に深く関われることを非常に誇りに思っています。今後も、日本のセキュリティ技術の向上について、様々な形で教育等にも関わっていきたいと考えておりますので、よろしくお願いいたします。
