2019/02/19
2018年8月17日に東京・秋葉原にて、セキュリティコンテスト「SANS NetWarsトーナメント2018」が開催されました。情報セキュリティの専門会社であるNRIセキュアテクノロジーズ(以下、「NRIセキュア」)が2014年から、次世代を担う若者を対象に毎年開催しているイベントです。情報セキュリティ分野に従事する人材の不足が深刻化するなかで、同社はセキュリティ人材の裾野の拡大に取り組んでいます。
サイバー犯罪に伴うセキュリティニーズの増加と人材不足
世界のサイバー犯罪は増え続けており、それが世界経済にもたらす損害額は、約6,000億米ドル(約63兆円)と推計され、世界のGDPの0.8%にも相当します。国連のSDGs(持続可能な開発目標)の目標9にも「強靭(レジリエント)なインフラ構築」が掲げられており、サイバー犯罪は解決すべき重大な社会課題となっています。
サイバー犯罪に対処するには、情報セキュリティ分野に従事する人材の確保が重要です。しかし、長らく日本ではIT人材そのものが不足しており、情報セキュリティ分野に従事する人材の不足は、とくに深刻です。2016年時点の経済産業省の報告によれば、日本の情報セキュリティ人材はおよそ28万人であり、13万人以上が不足していました。2020年には、37万人にまで増加するものの、およそ19万人分が不足すると予測されています。
NRIセキュアが毎年行っている「NRI Secure Insight 2018」においても、「9割近くの企業でセキュリティ人材が不足」しているという結果でした。同社の設立当時からセキュリティ教育に携わり、現在はサイバーセキュリティ教育サービス室長を務める佐藤健は次のように語ります。「セキュリティの分野は、情報セキュリティのエンジニア、ネットワークアナリスト、コンサルタントなど、多様な専門分野に分かれており、そのすべての分野で軒並み人材が不足しています」、「高度な専門知識を持ちつつ、お客様にサービスや製品を提供するセキュリティ専門企業においてさえ、情報システムなどにまつわるリスクを管理し、経営の視点から情報セキュリティをマネジメントすることができる人材が足りていません。ましてや、一般の企業においてはなおさらです」
NRIセキュアテクノロジーズ(株)
サイバーセキュリティ教育サービス室長
佐藤健
世界トップクラスのセキュリティ教育プログラムを提供
そこでNRIセキュアでは、学生を対象にしたセキュリティコンテスト「SANS NetWarsトーナメント」を、2014年から毎年開催しています。若い人たちに最先端の情報セキュリティを体感してもらい、この分野への関心を少しでも深めてもらうことが目的です。コンテストの運営に携わるサイバーセキュリティ教育サービス室の上田健吾は次のように語ります。「セキュリティ人材の裾野の拡大を目指した」
NRIセキュアテクノロジーズ(株)
サイバーセキュリティ教育サービス室
上田健吾
NRIセキュアは、セキュリティ人材の必要性に早くから着目し、セキュリティ専門の教育サービスを提供してきました。その一つが、SANS Security Trainingです。これは、米国にある世界トップクラスのセキュリティ研究・教育機関SANS Instituteが開発したプログラムで、対象とする範囲やレベルによって日数は変わりますが、受講者は1~6日間にわたって集中的に実践的なトレーニングを積むことができます。NRIセキュアでは、情報セキュリティ担当者やシステム管理者など、セキュリティに関する知識やキャリアを身につけたい社会人向けに、このプログラムを提供してきました。
しかし、このプログラムは、拘束時間が長く、高額なため、学生が気軽に参加できるようなものではありません。そこで、SANS Instituteは、教育に主眼を置いて、CTF※形式のセキュリティコンテストを通じて、最先端の情報セキュリティの世界に触れ、どのような知識やスキルが必要とされているのかを体験できる「SANS NetWarsトーナメント」を開発しました。知識のみならず、実際の情報セキュリティの問題を解決していくことで、実践的なスキルを身に付けることができます。NRIセキュアは、これを無償で提供しています。
本年は試みとしてコンテストのみの1日のイベントにしましたが、2014年から17年までは、初日にSANSの公認トレーナーがセキュリティに関わる技術や診断方法などについて講義し、2日目にコンテストを行うという形で実施していました。
コンテストは、大まかに下記の5つのレベルに分かれており、比較的簡単に解くことができる低いレベルから始まり、徐々に難易度が高くなっていきます。それぞれのレベルをクリアしない限り、上のレベルに進むことはできません。ちなみに、レベル5に達した参加者は未だにいません。
| レベル | コンテストの内容 | 形式 |
|---|---|---|
| 1 | 問題出題形式でセキュリティに関する知識を問う | 出題 |
| 2 | 一般ユーザとしてログインしたコンピュータの管理者権限を奪った上で、管理者権限での操作を行い、問題に答える。 | 出題 |
| 3 | オンラインでサーバに侵入して、隠されたファイル(フラッグ)を探し出す。 | CTF |
| 4 | サーバを経由してイントラネットに侵入する。 | CTF |
| 5 | 他の参加者と攻防戦を行う。 | 攻防戦 |
- Capture The Flagの略。もとは、相手陣地の旗を奪い合う野外ゲームのこと。情報セキュリティ分野では、コンピュータをクラッキングして(不正侵入して)目標とするデータを奪取するCTF形式と、チームに分かれ味方のコンピュータを守りながら、敵方のコンピュータに侵入する攻防戦形式の2つに大別される。
セキュリティについて基礎から学べる
参加者の多くは、全国各地の大学生や大学院生、専門学校生ですが、なかには高校生もいます。7月初頭に募集をはじめ8月中旬に締め切り、8月下旬に実施というのが毎年の流れです。募集には主に、ツイッターやフェイスブック、セキュリティ関連のコミュニティのメーリングリストを通じて行われています。大々的な告知をしていないにもかかわらず「初回である2014年は告知から数日で、募集枠の100人を超えてしまった」と上田は振り返ります。
参加者のバックグラウンドは、セキュリティについてはまったくの初心者から、各地のセキュリティコンテストに何度も参加している猛者までさまざま。「個人個人の参加目的を把握しきれてはいませんが、アンケートを見る限り、コンテストを通じて基礎から情報セキュリティについて学べる点に意義を見出しているようです」と佐藤。「毎年繰り返し参加する人も多く、友人や知人に勧めたい、という声も聞きます。セキュリティ人材の裾野を拡大する、というコンテスト開催の目的は、達成できているように考えています」。
警視庁の特別捜査官も参加
当日はコンテスト開始前に、警視庁サイバー犯罪対策課の特別捜査官2名が登壇し、昨今のサイバー犯罪の実態や、どのような行為が犯罪になるのかなどを説明しながら、セキュリティ分野を担う人材は、今後ますます重要になることを訴えました。
「サイバー攻撃はより高度化しているうえに、従来の情報セキュリティの範疇にはなかった分野にまでセキュリティの必要性が出てきました。ブロックチェーンそのものの技術や、スマートフォン、IoTに関わる制御技術などです。さまざまなセキュリティの分野を広く知り、深く理解していることが、これからは必要だと思っています」と佐藤は強調します。
NRIセキュアはこれからも、広い視野に立って、セキュリティ人材の育成に努めることで、社会の強靭なインフラ構築の一翼を担っていきます。
さらに詳しいことを知りたい方のために、以下の情報をご紹介します。
- NRIジャーナルの更新情報はFacebookページでもお知らせしています
