11月18日から11月21日にかけて、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）主催の「Internet Week 2014 ～あらためて“みんなの”インターネットを考えよう～」が、秋葉原の富士ソフトアキバプラザで開催される。

「Internet Week」は、毎年11月に、計40近くものセッションが会期中に行われる、年1度の非商用イベントだ。インターネットやその基盤技術に関するエンジニアを主な対象に、最新動向やチュートリアルがある。


今回のテーマは「あらためて“みんなの”インターネットを考えよう」。Internet Weekの実行委員長は「2014年は上半期から、UDPを用いた大規模なDDoS、OpenSSL Heartbleed問題、DNS毒入れ問題などが続き、また、いわゆるフィッシングやスマートフォン向けアプリを仲介した詐欺が横行、企業による大規模な個人情報流出もあり、『セキュリティ』や『プライバシー』に関連する事象が多数発生した」と述べている。技術的な解決方法は存在していても、対応が後手にまわったり、対応しなければならないインシデントは山積みになっているのが現状だ。

こうした事態を踏まえ、Internet Weekではいつもに増してセキュリティ関連セッションを増やし、また、対応についても皆で考え、より良い未来を作りたいと考えている。

これから連載にて、このInternet Week 2014のセッションのうち、情報セキュリティに関するセッションのうち特に注目のものについて、そのセッションの見どころ・意義・背景などを、各セッションのコーディネーターに語ってもらう。

1回目となる今回は、初日の11月18日(火)夕方に行われるプログラム「本当に身につくセキュリティの学び方」について、JPCERTコーディネーションセンターの中津留勇氏に語っていただいた。

--

Q: 「本当に身につくセキュリティの学び方」というタイトルは、情報セキュリティ人材不足が叫ばれる昨今、目を引きますね。

中津留：そうですね。世の中では人材不足も叫ばれていますが、海外に目を向けると「CTF」のような遊びの感覚で、技術者が自分の力を磨くイベントが数多くあります。実はこうした形は、日本でも出来つつあることをご存じでしょ
うか。単に海外のものをまねるだけではなく、特有な形で教育が出来てきているんです。こうした新しいセキュリティの学び方を、知らない方にぜひ知ってもらいたいと思っています。

Q: そもそも、「CTF」とは何なのでしょうか?

中津留：CTFとは、「Capture The Flag」の略で、もともとは「互いに相手陣地の旗を取ろう」というゲームです。これをセキュリティに当てはめて、互いのサーバを攻め合ったり、クイズを解いたりするような形式で技術力を競い合います。いわゆる、「ハッカー大会」と言えるかもしれません。日本国内の取り組みとしては、今回紹介する「Seccon」があります。

Q: このプログラムでは、「Seccon」以外にも、「Hardening(ハードニング)」や「セキュリティキャンプ」についても紹介されるようですが、これらについてもどういうものなのでしょうか。

中津留：「Hardening」は日本発祥の技術競技です。参加者は、脆弱なサーバの管理者になって主催者側からの攻撃を受けます。そのような中での運用力を競うイベントです。CTFが攻撃手法に重きを置いている一方、Hardeningは、守りにフォーカスしています。

「守る」ということには、単に技術的な穴をふさぐということだけではなく、問い合わせ対応等も含まれます。例えば、「Webサイトに脆弱性がある」と報告を受けたときに、まずどう対応するか、Webに状況を載せるのか等、そういう対応力も含めて総合的に判断されます。

一方の「セキュリティキャンプ」は、セキュリティ人材の発掘・育成のために、若い人をターゲットにしたものです。数日間の合宿で「セキュリティに興味を持つ若者が、最前線で活躍する人から最新技術を徹底的に学べる」というものです。

Q: Internet Weekの参加者で学生などは少ないと思うのですが、どうして若者をターゲットにしたこの「セキュリティキャンプ」についても紹介するのでしょうか?

中津留：確かに参加者には、セキュリティキャンプ自体の対象者はいないかもしれません。しかし、こうしたキャンプに若い人は積極的に参加していますし、その卒業生が現在活躍しているという成果もあります。そのため、まずは、その教育内容を知り、自身の学習や自組織の人事活動に上手に取り入れる必要性などを感じて欲しいと思っています。

Q. このプログラムのテーマと、 Internet Week全体の今年のテーマ：「あらためて“みんなの”インターネットを考えよう」はどのように関わりますか?

中津留：セキュリティの知識というと、資格試験ばかり思い浮かべる人もいるかもしれませんが、そうではなく、「あらためてセキュリティ教育を考えませんか」と提案したいです。

「堅苦しくつまらない」ではなく、遊びのような楽しみを含めた形式での、人間が本来持つ五感を使っての教育が必要なのではないでしょうか。そのために、今回紹介するようなイベントに是非とも参加して欲しいですし、また、その経験が海外でのイベントへの参加へのきっかけになればと思っています。

Q. そうした新しいセキュリティ教育を、Internet Weekで紹介したいと考えたわけですね。

中津留：はい、そうなんです。こうした教育は、まだまだ企業内で受け入れられているところは少ないと思います。その理由として認知不足はもちろん、実際に手を動かすこういった教育に対して、遊びの延長ようなイメージを持たれる方がいるからです。楽しむという感覚は強いですが、その結果得られるものが本当に役立つというところを知って欲しいですね。

Q. 最後に、このプログラムはどのような方に聴いていただきたいですか?

セキュリティ人材として成長したい方はもちろん、自社でこうした試みを取り入れてみたい方、特にセキュリティ人材不足に悩んでいる方にオススメしたいと思います。