サイト内の現在位置

トップレベルの高専学生向け演習”2023 堅牢化スキルチャレンジ”開催報告

NECセキュリティブログ

2024年4月19日

NECサイバーセキュリティ戦略統括部セキュリティ技術センターの榊です。2024年2月24日(土)~25日(日)に、国立高等専門学校機構サイバーセキュリティ人材育成事業(K-SEC)と共同で、トップレベルの高専学生向けに実践的な堅牢化技術を学ぶ演習”2023 堅牢化スキルチャレンジ”を開催しました[1]。本ブログでは、その取り組み内容や当日の様子をお伝えします。

演習開催の目的

本演習は、NECのセキュリティ専門家の講義を通じて学生のセキュリティ実践力を強化すること、および他学校間の学生交流やNEC社員との交流による学生自身のキャリア育成を目的に開催しました。2023年9月にNECが開催した学生向けCTFイベント”NEC Security Skills Challenge for Students”[2]で上位に入賞した学生を含む、最大12名が参加してくれました。

演習概要

競技は2日間実施しました。1日目は脆弱性のある仮想システムの堅牢化を行い、2日目は堅牢化したシステムに対して実施されたサイバー攻撃の対処を行なっていただきました。なお、競技はチーム制を採用しました。両チームとも1,000点を持ち点としており、特定の要件が満たせなかった場合に減点が入ります。減点要素は「システムの不健全な状態が続く(システムにアクセスできない、設定が誤っている 等)」や「講師によるサイバー攻撃が成立する」といったものです。その他の詳細は以下の通りです。

  • 開催日 2024年2月24日(土)~25日(日)
  • 主催  国立高等専門学校機構サイバーセキュリティ人材育成事業(K-SEC)、NEC
  • 会場  木更津工業高等専門学校
  • 参加者 学生向けCTF ”NEC Security Skills Challenge for Students(2023年9月開催)”の上位入賞者 12名
  • 演習内容
    • 1日目 講義、2チームに分かれてシステム堅牢化演習、交流会
    • 2日目 攻撃に対するレスポンス、堅牢化対応、表彰

なお今回使用した演習環境は、NECの社員がセキュリティスキルを強化する研修で実際に用いているものです。

演習当日の様子

両チームの得点の推移は以下の通りです。

  • 1日目終了時(講師によるサイバー攻撃実施前)
    競技開始から得点がジワジワと減少している様子がわかります。これは、システムの設定が適切ではない状態が継続していたためです。開始から6時間ほど経過してからは、Group1の減点が止まっている様子も見えます(赤枠内)。うまく堅牢化できたようですね。
    ※横軸の数字の1は10分を意味しています。
  • 1日目終了時(講師によるサイバー攻撃実施後)
    両チームとも、最後に得点がガクっと減少しています(赤枠内)。この時、両チームが堅牢化したシステムに対し、講師によるサイバー攻撃が実施されました。両チームともに、堅牢化が不十分な箇所があったようです。
  • 2日目終了時
    こちらが最終スコアです。両チームとも持ち点がだいぶ減ってしまいました。

全体通して、参加者のみなさんはかなり苦戦されている印象でした。参加者の中にはシステム開発の経験者もいましたが、今まで堅牢化にはあまり焦点を当てていなかったようです。そんな中でもお互い積極的にコミュニケーションを取りながら、前向きに演習に取り組んでくれました。
1日目の演習後に実施した交流会では「あそこはもっとこうすればよかった」「ここはあの人がテキパキと実装してくれた」と、参加者のみなさんが演習中の様子を話してくれました。演習そのものや、学生間交流を有意義に感じていただいている雰囲気を感じ、主催者としてホッと一安心しました。
最後のアンケートでは「自校の授業ではできないような内容だったので、この演習に参加できて本当に良かった」や「レベルが高かったが、ツールやログの見方などを教えて頂き、参考になった」といったお声をいただくことができました。参加者のみなさんにとっては難易度の高い演習だったようですが、スキルアップのための良い機会にしていただけたようです。

まとめ

以上、高専学生向け演習”2023 堅牢化スキルチャレンジ”のご紹介でした。NECは、独立行政法人国立高等専門学校機構との包括連携協定[3]にもとづき、NECの専門技術者による出前授業や演習環境の提供、全国の国立高専の教職員との定期的な情報交換など、産学共同で教育支援を行っており、今回はその取り組みの一つとなっています。今後も産学連携の多種多様なイベントを開催してまいりますので、お見逃しなく!

参考資料

執筆者プロフィール

榊 龍太郎(さかき りゅうたろう)
セキュリティ技術センター リスクハンティング・システムグループ

ペネトレーションテスト、脆弱性診断を通じたセキュリティ実装支援、社内CTF運営、ペネトレーションテスト自動化ツール開発リード、その他社内外向けのセキュリティ人材育成施策に従事。
2019年6月にIPA 産業サイバーセキュリティセンター中核人材育成プログラムを修了。
またインプレスグループが運営する技術解説サイト「ThinkIT」にて、RISS試験に関するWeb記事2件の執筆を担当。
new windowhttps://thinkit.co.jp/article/18849
new windowhttps://thinkit.co.jp/article/19367
CISSP/CCSP/情報処理安全確保支援士(RISS) /GIAC GPEN/CEH/CCSE/AWS CLF・SAA・SOA・DVA・SAP・DOP・SCS・DAS・MLS・DBS・PASを保持。
趣味は家族サービス。

執筆者の他の記事を読む

アクセスランキング