会津大学で一風変わったサイバーセキュリティ人材育成が進んでいる。普段は守る側の技術者に攻撃者を疑似体験させるというものだ。防衛庁や福島県警の職員など39人が参加した4日間の演習講座を取材した。
4時間半の攻撃体験
「思いもよらぬ方法で攻撃したチームがいました。すばらしい発想です」。会津大学とシステム開発のFSK(福島県いわき市)が主催し、シマンテックとネットワンシステムズが協力した「2015年度サイバー攻撃対策演習・情報セキュリティ講座」の3日目、午後4時30分から始まった演習振り返りの冒頭、講師を務めたシマンテックの林聡エンタープライズセキュリティ事業統括本部コンサルティングサービス本部リードプリンシパルコンサルタントはこう切り出しだ。
39人の受講生たちは午前9時からの座学の後、午前10時40分から午後4時20分まで、休憩をはさみながら計4時間半も架空のインターネットバンキングサイトを攻撃。振り返りでは自チームの攻撃内容とその狙いをそれぞれ発表し合った。林氏によれば「入力フィールドを狙うのがサイバー攻撃の基本」だが、あるチームはログインをわざと失敗してからディレクトリー構造が変わるのに目を付けて攻撃の糸口にした。SQLインジェクション攻撃に成功したあるチームは「バックエンドのデータベース構造を想像しながら攻撃した」と発表した。
時に称賛の声と拍手を送り、時に林氏の教えに熱心に耳を傾け、メモを取る受講者たち。「皆さんが攻撃した通り、攻撃者はどこに脆弱性があるか、常に想像しながらトライ&エラーで攻めてきます」。こう話す林氏は「壁をドンドン叩いているやつがいることを検知する仕組みが、皆さんが帰る先の組織には入っていますか」とも受講生に問いかけた。
受講者の出身母体は様々だ。大半を占める21人は福島県外のIT企業のエンジニアだが、インフラ系ユーザー企業や福島県警、防衛省のエンジニアや、選抜された会津大生や高専生も参加した。林氏は「差はあるものの受講者の技術や経験はそれなりのレベル」と評価。
バックグラウンドが多様な人が集まるとチームとしての発想や手法の豊かさにつながると話す林氏は、セキュリティエンジニアは組織で孤独なことが多いと指摘。「チームで目標に向かって作業するうちに、自分の得手不得手や、コミュニケーションの取り方や、(リーダーなのかアナリストなのかといった)役割も分かってくる。防御に生かすため攻撃者の思考を学ぶことが目的の演習だが、オリエンテーションなどを通して、横のつながりを持てたり悩みを打ち明けたりもできる。それだけにチーム編成には頭を悩ませた」(林氏)。
人もエミュレートできるサイバーレンジ
会津大の全4日間の演習は初日が「サイバー攻撃の最前線」や「ハッキングツール解説」といった講座。2日目と3日目がサイバー攻撃演習で、4日はサイバー防衛の演習だ。記者が取材したのは3日目の攻撃(中級)の演習で、架空のインターネットバンキングサイトに標的型攻撃を仕掛けるというものだった。
