SSTバックヤード

SSTのサービスや業務など、さまざまな裏側をメンバーよりお届けする社員ブログです。

千葉大学主催「第3回千葉大学セキュリティバグハンティングコンテスト」表彰式より

こんにちは、広報のツユです!

今回は、弊社CTOのはせがわが講習会講師及びアドバイザーとして携わらせていただいている、千葉大学セキュリティバグハンティングコンテスト(以下、コンテスト)の表彰式にお邪魔してきました。

千葉大学セキュリティバグハンティングコンテスト表彰式会場
千葉大学セキュリティバグハンティングコンテスト表彰式会場

コンテストは、千葉大学の情報セキュリティの向上と人材育成の双方を目指して、学科を問わず千葉大学に在籍する学生に向けて毎年開催されています。
このコンテストへ参加する学生には、セキュリティに関する法律・倫理、技術に関する講習の受講が義務付けられており、この講習を終えた上で、決められたサイトの脆弱性を検査することを許可された「ハンターライセンス」が発行されます。
昨年度までは興味のある学生を対象とした任意参加のコンテストでしたが、本年度からは講習の受講およびレポートの提出によって授業として単位認定されるようになりました。

コンテストについては、千葉大学主催「千葉大学セキュリティバグハンティングコンテスト」レポートもありますので、併せて読んでいただければと思います。 また、千葉大学のサイトにも記事が載っていますので、そちらもご覧ください。 www.chiba-u.ac.jp

千葉大学セキュリティバグハンティングコンテストの実態

大学関係者からのお話

コンテストは、2016年より始まり、今年で三度目の開催となりました。
発足時に大学関係者の方々が抱いていたビジョンは、どれくらい実現出来ているのでしょうか。
コンテストの実情や実感している事について、コンテストの運営の一人である、准教授の佐藤氏にお話を伺いました。

Q. 千葉大学セキュリティバグハンティングコンテストはどのような目的の元に開催されているのでしょうか?改めて教えてください。

佐藤氏
インターネットが普及した現代において、バグそのものやバグを利用した攻撃の存在を認知すること、そして特異なスキルがなくとも攻撃できることを知るきっかけになればと考えています。
セキュリティ人材を育てるのではなく、昨今はどのような仕事をするにしてもセキュリティの要素が必要と考えており、
こういった分野もあるということを知ってもらいたい、というのが一番の動機です。


Q. 初回の開催目的に対して、成功した点、逆にうまくいかなかった点はありますか?

佐藤氏
うまくできた点は予想以上に参加者が集まったこと。
うまくいかなかった点は学内サイトの検査にあまり取り組んでもらえていないことです。


コンテストに参加する学生には、脆弱性を意図的に潜ませた脆弱性調査の練習用サイトだけでなく、実際に学内で稼働していサイトに対しても検査できる権限が与えられます。
ですが、実際には学生による学内サイトの検査があまり実施されていないという佐藤氏のお話を聞くと、脆弱性を探す『バグハント』という行為は大半の学生にはハードルが高いのかもしれません。

学生たちにとってのコンテスト

脆弱性を見つけられない場合でも、レポートを提出することで評価を得られるコンテストとなっているにも関わらず、本年度に提出されたレポートはわずか6チーム分だったそう。
参加する学生たちは、このコンテストをどう感じているのでしょうか。受賞した学生たちに、お話を伺ってみました。

f:id:t_rolio:20181108161418j:plain

受賞された学生の皆さん
受賞された学生の皆さん

日常においての意識の変化はあったのか

Q. コンテストに参加してみた感想を教えてください。

学生A
楽しかったのと大変だったのが半々です。
現在は文系を専攻していて、プログラミングは高校の頃にかじった程度なので、基礎知識から勉強する必要がありました。
脆弱性がなかなか見つけられずに苦労しましたが、参考にと読み始めた本が面白くて、楽しく学ぶことができました。
攻撃者視点を持つことによって、防御方法を学ぶ事ができたのはとても良い経験になったと思います。
脆弱性についての知識に加えてプログラムの仕組みが分かった事自体も、今後に役立つと思いました。


学生B
セキュリティには詳しくなかったものの、情報系全般に関しては興味があり、面白そうだと思ったので参加しました。
脆弱性を見つけた瞬間はとても楽しかったです。苦労した点は、まったく経験がないのでどこに脆弱性がありそうか見当を付けられなかった事です。
今までは趣味でパソコンを弄るくらいしかしていませんでしたが、今回こうしてレポートを書く事で、実生活にどのように影響してくるのか、どのような対策をすべきかを、具体的に考えるようになりました。


学生C
『見れないものが見れる』経験が楽しくて、去年に引き続き、今年も参加しました。
今年は時間がなかなか取れず、自分で納得のいくまで診断を行えなかったのが心残りです。 診断を実施する為の日数が足りなくて苦労はしましたが、レポートの書き方のノウハウがあった点で、去年の経験が活きたと思います。


参加した学生の今後は?

Q. 来年も参加したいですか?

学生A
来年は別の分野を攻めたいのでもう参加はしないと思いますが、セキュリティ系も面白いと感じたので、視野には入れていきたいです。


学生C
来年は大学院に進むので、参加者として携わる事はもう無いかと思います。でも、今後は運営側に回り、やられサイトを作ってみたいです。

インタビューから感じた事

やはり多くの学生が「いざ手を動かしてバグを探すとなると、何から始めればいいのか分からない」という所から始まり、大学側が掲げる目標の手前で躓いてしまうようです。
このような知識的なハードルの高さも、Webセキュリティ業界のプレイヤー不足の一因なのかもしれません。
インターネットやプログラミング用語って横文字や似た響きの単語が多いので、字面と意味が一致するようにするだけでも大変ですもんね…

ですが、その課題を超えた学生は、プログラムの仕組みを理解したり脆弱性を発見するといった面白さや達成感を見出している模様。
日常でセキュリティを意識するだけでなく、今後の活動の視野にも入るようになったという点においては、大学側の目論見は大成功だったのではないでしょうか。

こういったWebセキュリティへの理解や発見の喜びを見たり聞いたり触れたりし、興味を持ってもらえるよう、今後もきっかけになるような機会づくりや人材育成活動にご協力させていただきたいと思います。
また、Webセキュリティの専門企業であるSSTの仕事を知ってもらい、Webセキュリティを身近に感じてもらえるよう、インターンシップやMeetupなども実施していきます。
今後の活動も是非ご期待ください!

インターンシップ・SST Meetupについては上記リンクからどうぞ!